Configurer Google Workspace pour UserLock SSO

Sécurisez les connexions Google Workspace avec UserLock Single Sign-On (SSO) afin d’appliquer les stratégies d’authentification de l’entreprise tout en simplifiant l’accès des utilisateurs.

Publié le 26 septembre 2025
Ressources utiles

Introduction

Ce guide explique comment intégrer Google Workspace avec UserLock Single Sign-On (SSO) en utilisant le protocole SAML 2.0.

Une fois configurées, les connexions Google Workspace sont authentifiées par UserLock via Active Directory. Cela offre aux utilisateurs une expérience de connexion fluide et permet aux administrateurs d’appliquer les stratégies d’accès UserLock (MFA, restrictions temporelles, machines, ou localisation) aux sessions SSO.

🚩️ Avant de commencer :

  • Vous devez disposer d’un compte Google Workspace avec des droits de super-administrateur.

  • Le SSO UserLock doit déjà être installé et configuré.

Atape 1. Configurer Google Workspace pour le Single Sign-On

  1. Connectez-vous à la console d’administration Google via https://admin.google.com.

  2. Accédez à Security ▸ Authentication ▸ SSO with third party IdP.

Option A. Appliquer le SSO par UO ou Groupe

  1. Dans Third-party SSO for your organization, cochez Set up SSO with third-party identity provider.

  2. Renseignez les champs avec vos valeurs UserLock SSO :

    Paramètres

    Valeurs

    Sign-in page URL

    https://sso.<yourdomain>.com/saml/sso

    Sign-out page URL

    https://sso.<yourdomain>.com/connect/endsession

    Verification certificate

    1. Allez dans UserLock ▸ ⚙️ Paramètres serveur ▸ Single Sign-On

    2. Cliquez sur Télécharger ▸ Certificat SAML.

    3. Ouvrez le fichier dans un éditeur de texte et collez son contenu ici.

  3. (Recommandé) Activez Use a domain-specific issuer.

Option B. Appliquer le SSO par UO ou Groupe

  1. Dans Third-party profiles, cliquez sur ADD SAML PROFILE.

  2. Définissez les champs Entity ID, Sign-in page URL, Sign-out page URL, et importez le certificat UserLock.

  3. Enregistrez le profil.

Affecter le profil SSO

  1. Allez dans Manage SSO profile assignments.

  2. Choisissez l’option souhaitée :

    • Organization's third-party SSO profile (application globale).

    • Another SSO profile (basé sur une UO ou un groupe).

    • None (SSO désactivé, les utilisateurs se connectent avec leurs identifiants Google).

Étape 2. Activer Google Workspace dans UserLock

Dans la console UserLock, allez dans ⚙️ Paramètres serveur ▸ Single Sign-On.

Si appliqué globalement

  1. Cliquez sur la ligne Google.

  2. Renseignez les champs :

    Paramètres

    Valeurs

    Domaine d’e-mail

    Domaine utilisé pour les connexions Google Workspace.

    Émetteur

    Domaine de votre instance Google Workspace (ex. google.com/a/sso.mydomain).

    ACS URL

    ex. https://google.com/a/sso.mydomain/acs.

Si appliqué à des profils UO/Groupe

  1. Depuis la console Google Admin, copiez l’Entity ID et l’ACS URL depuis la section SP Details du profil SSO choisi.

  2. Collez-les dans UserLock.

Dépannage

Pour les problèmes courants, consultez la page Dépannage du SSO.
Si le problème persiste, contactez le support IS Decisions.

En cas d’indisponibilité du SSO

Le SSO peut être désactivé en cas d’urgence. Les super-administrateurs peuvent toujours se connecter avec leur adresse e-mail Google Admin complète et leur mot de passe.

Pour désactiver le SSO dans Google Workspace :

  1. Connectez-vous à la console d’administration Google via https://admin.google.com.

  2. Accédez à Security ▸ Authentication ▸ SSO with third party IdP.

  3. Dans Manage SSO profile assignments, sélectionnez None.

Étapes suivantes

Vous pouvez étendre la sécurité des sessions SaaS en appliquant les stratégies d’accès UserLock, en complément de l’authentification.