Retour à toutes les spécifications techniques
Comment faire

Configuration d'OpenID Connect

Configurez Azure, ADFS, Okta, Oracle, Google et bien d'autres pour l'authentification OIDC GO-Global grâce à ce guide de configuration étape par étape des fournisseurs d'identité.

Publié le :
5 mai 2026
Dernière mise à jour le :
5 mai 2026
Auteur
Équipe GO-Global
Table des matières

Configuration d'OpenID Connect

Introduction

La mise en place d'une authentification sécurisée et fiable est essentielle pour tout déploiement de GO-Global. Ce guide technique accompagne les administrateurs tout au long du processus de configuration d'OpenID Connect (OIDC) avec les principaux fournisseurs d'identité, notamment Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak et Google Workspace. Grâce à des instructions claires et détaillées, il garantit que votre hôte GO-Global est correctement intégré aux plateformes d'identité modernes pour un accès utilisateur fluide et une sécurité renforcée.

Azure

Les étapes suivantes sont nécessaires pour créer un enregistrement d'application Azure destiné à être utilisé avec Microsoft EntraID (anciennement Azure AD) afin d'authentifier les utilisateurs se connectant à un ou plusieurs hôtes GO-Global. Cette procédure utilise OAuth2 pour Microsoft Identity version 2.0.

Étape 1 : Enregistrer une nouvelle demande

  1. Accédez à : https://portal.azure.com/#view/Microsoft_AAD_RegisteredApps/ApplicationsListBlade
  2. Enregistrer la nouvelle application :
  • Dans la section « Types de comptes pris en charge », sélectionnez « Comptes dans ce répertoire d'organisation uniquement » (Répertoire par défaut uniquement - Locataire unique)
  • Dans la section « URL de redirection », sélectionnez « Web » comme type. Dans le champ « Valeur », saisissez l'URL de redirection de votre domaine. Par exemple : https://example.com/callback.html

Étape 2 : Configurer l'identité visuelle et les propriétés

Dans la section « Marque et propriétés », vérifiez que le domaine de l'éditeur est bien le bon. Par exemple, example.com

Étape 3 : Créer une clé secrète client

  1. Accédez à la section « Certificats et secrets ».
  2. Cliquez sur « Nouveau secret client » et configurez les options.
  3. Copiez la clé secrète et conservez-la en lieu sûr.

Étape 4 : Configurer les paramètres du jeton

  1. Accédez à la configuration des jetons.
  2. Cliquez sur « Ajouter une demande facultative ».
  3. Configurer :
    • Type de jeton: ID
    • Demande: Sélectionner upn
  4. Cliquez sur « Ajouter ».
  5. Activez l'option « Activer l'autorisation du profil Microsoft Graph ».
  6. Cliquez sur « Ajouter » pour enregistrer.

Remarque :

Lors de la configuration de l'enregistrement d'une application avec Azure Active Directory B2C, il n'y a pas de volet « Configuration des jetons » dans l'interface utilisateur du portail Azure. À la place, ajoutez les réclamations facultatives via le manifeste JSON.

Par exemple :

 "optionalClaims": {
   "accessToken": [],
   "idToken": [
        {
           "additionalProperties": [],
           "essential": false,
           "name": "upn",
           "source": null
                 	} 
    ],
    "saml2Token": []
},

Étape 5 : Modifier les autorisations de l'API

GO-Global utilise les autorisations de profil plutôt que User.Read. Supprimez les autorisations inutiles :

  1. Accédez à la section « Autorisations API ».
  2. Recherchez « User.Read » et cliquez sur « Supprimer l'autorisation ».
  3. Confirmez en cliquant sur « Oui, supprimer ».


Vérifiez que l'autorisation déléguée du profil Microsoft Graph figure bien dans la liste. (Elle devrait s'ajouter automatiquement.)

Étape 6 : Configurer l'authentification

  1. Dans la console d'administration, accédez à Options de l'hôte | Authentification.
  2. Configurez les éléments suivants :
  • Désélectionnez toutes les autres options d'authentification.
  • Sélectionnez l'authentification OpenID Connect.
  • Choisissez l'une des options suivantes :
    • Connecter automatiquement les utilisateurs à un compte Windows local, ou
    • Connecter automatiquement les utilisateurs à leurs comptes de domaine.
  • ID du client: copiez l'ID de l'application (client) depuis la page de présentation de l'enregistrement d'application Azure.
  • Clé secrète du client: collez la clé secrète que vous avez copiée précédemment.
  • URL d'autorisation: récupérez l'ID du répertoire (TENANTID) sur la page d'aperçu de l'enregistrement d'application Azure. Remplacez TENANTID dans : https://login.microsoftonline.com/TENANTID/oauth2/v2.0/authorize/?response_type=code&scope=openid%20email%20profile
  • URL du jeton : récupérez l'ID du répertoire (TENANTID) sur la page d'aperçu de l'enregistrement d'application Azure. Remplacez TENANTID dans : https://login.microsoftonline.com/TENANTID/oauth2/v2.0/token
  • URL de redirection: utilisez la même URL que celle saisie lors de l'enregistrement de l'application (par exemple, https://example.com/callback.html)


      3. Cliquez sur OK pour enregistrer.

Remarque :

Dans l'enregistrement d'application Azure, sous le menu « Authentification », assurez-vous que les paramètres « Implicit grant » et « Hybrid flows » ne sont pas activés.

ADFS

Les étapes et paramètres suivants sont nécessaires pour créer une application d'entreprise dans ADFS destinée à être utilisée avec un hôte GO-Global.

1. Sur le serveur Windows ADFS, ouvrez l'outil de gestion ADFS.
2. Dans l'arborescence de navigation à gauche, cliquez avec le bouton droit sur « Application Groups » (Groupes d'applications) et sélectionnez « Add Application Group » (Ajouter un groupe d'applications) pour ouvrir l'assistant.
3. Sélectionnez « Server application » (Application serveur) dans la section « Standalone applications » (Applications autonomes) de l'assistant, puis cliquez sur « Next »(Suivant).
4.    Donnez un nom à l'application, copiez et enregistrez l'identifiant client (Client ID).
5. Saisissez l'URL de rappel GO-Global dans le champ URI de redirection, puis cliquez sur Suivant.
6. Sélectionnez Générer un secret partagé, puis copiez-le pour l'utiliser dans le champ Secret partagé.
7. Cliquez sur Suivant.
8.    Cliquez sur Suivant et enregistrez ce nouveau groupe d'applications.

Pour configurer les liens de point de terminaison d'autorisation et de jeton, remplacez « server1.domain.com » dans https://server1.domain.com/adfs/oauth2/authorize et https://server1.domain.com/adfs/oauth2/token par le nom de domaine complet (FQDN) du serveur ADFS.

Exemple d'URL d'autorisation :
https://[ADFS SERVER FQDN]/adfs/oauth2/authorize

Exemple d'URL de jeton :
https://[ADFS SERVER FQDN]/adfs/oauth2/token 

Remarque :
Dans l'onglet « Authentification » de la boîte de dialogue « Options de l'hôte » de la console d'administration, vous devez sélectionner soit « Connecter automatiquement les utilisateurs à un compte Windows local », soit « Connecter automatiquement les utilisateurs à leurs comptes de domaine ». Si l'une de ces options d'authentification OpenID Connect n'est pas sélectionnée, la connexion ne pourra pas aboutir.  

Oracle

Les étapes et paramètres suivants sont nécessaires pour créer une application dans Oracle Identity Cloud destinée à être utilisée avec un hôte GO-Global.

1. Connectez-vous au service Oracle Identity Cloud.
2. Accédez à la section Applications, cliquez sur Ajouter, puis sélectionnez Application confidentielle.
3. Saisissez un nom pour l'application.
4. Pour l'URL de rappel de liaison, utilisez l'URL du fichier callback.html de GO-Global. (Par exemple : http://GO-GlobalHost.MyDomain.com:491/callback.html)
5. Cliquez sur Suivant pour configurer le client.
6. Pour les types d'autorisation autorisés, sélectionnez Code d'autorisation.
7. Si vous devez utiliser des URL non HTTPS, sélectionnez l'option Autoriser les URL non HTTPS.
8.    Pour l'URL de redirection, utilisez le callback.html de l'hôte GO-Global.
(Par exemple : http://GO-GlobalHost.MyDomain.com:491/callback.html)
9. Définissez Contournement du consentement sur Activé.

Toutes les autres options peuvent utiliser les valeurs par défaut définies par Oracle.

Après avoir créé l'application, cliquez sur celle-ci pour afficher les détails. L'ID client et la clé secrète client se trouvent dans l'onglet Configuration | Informations générales. Ceux-ci devront être copiés dans les paramètres OpenID Connect sur l'hôte GO-Global.

Exemple d'URL d'autorisation :
https://tenant-base-url/oauth2/v1/authorize?scope=openid%20email&response_type=code

Exemple d'URL de jeton :
https://tenant-base-url/oauth2/v1/token?

Remarque :
Dans l'onglet « Authentification » de la boîte de dialogue « Options de l'hôte » de la console d'administration, vous devez sélectionner soit « Connecter automatiquement les utilisateurs à un compte Windows local », soit « Connecter automatiquement les utilisateurs à leurs comptes de domaine ». Si l'une de ces options d'authentification OpenID Connect n'est pas sélectionnée, la connexion ne pourra pas aboutir.  

Okta Identity Cloud

Les étapes et paramètres suivants sont nécessaires pour créer une application dans Okta Identity Cloud destinée à être utilisée avec un hôte GO-Global. Les paramètres non mentionnés peuvent conserver leur valeur par défaut.

Pour plus d'informations sur Okta, rendez-vous sur :
https://help.okta.com/en-us/Content/Topics/Apps/Apps_App_Integration_Wizard_OIDC.htm

1. Depuis le tableau de bord d'Okta Identity Cloud, accédez à Applications.
2. Cliquez sur le bouton Créer une intégration d'application.
3. Pour la méthode de connexion, sélectionnez OIDC - OpenID Connect.
4. Sélectionnez Application Web, qui apparaîtra après avoir sélectionné OIDC à l'étape 3.
5. Pour le type d'application, sélectionnez Application Web.
6. Cliquez sur Suivant
7. Saisissez un nom dans le champ Nom.
8.    Sélectionnez « Client agissant en son nom propre » et cochez la case « Informations d'identification du client ».
9. Sélectionnez « Client agissant au nom d'un utilisateur » et cochez la case « Code d'autorisation ». Ne sélectionnez pas « Implicite (hybride) ».
10. Pour les URI de redirection de connexion, utilisez ici le nom de domaine complet (FQDN) de votre hôte : http://MyHost.MyDomain.com:491/callback.html
11.    Attributions : utilisez cette option pour configurer les utilisateurs qui auront accès. Vous pouvez également ignorer cette étape et la configurer plus tard, une fois l'application créée.
12. Dans Attributions, choisissez de Limiter l'accès aux groupes sélectionnés ou d'Ignorer l'attribution de groupe pour le moment et créez l'application sans attribuer de groupe.
13.    Cliquez sur Enregistrer pour créer cette nouvelle intégration d'application.
14. Sélectionnez la nouvelle application Web pour afficher les pages d'édition.
15. Dans l'onglet Général , copiez et enregistrez l'ID client et la clé secrète. Ceux-ci devront être copiés dans les paramètres OpenID Connect sur l'hôte GO-Global.

Paramètres d'hôte GO-Global
Dans la console d'administration GO-Global, dans les paramètres OIDC, utilisez les URL d'autorisation et de jeton Okta suivantes, ainsi que votre domaine Okta personnalisé à la place de YOUR-OKTA-Domain.
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/authorize
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/token

Exemple d'URL d'autorisation :
https://dev-111222.okta.com/oauth2/default/v1/authorize

Exemple d'URL de jeton :
https://dev-111222.okta.com/oauth2/default/v1/token

Remarque :

Dans l'onglet « Authentification » de la boîte de dialogue « Options de l'hôte » de la console d'administration, vous devez sélectionner soit « Connecter automatiquement les utilisateurs à un compte Windows local », soit « Connecter automatiquement les utilisateurs à leur compte de domaine ». Si l'une de ces options d'authentification OpenID Connect n'est pas sélectionnée, la connexion ne pourra pas aboutir.  

Pour plus d'informations sur Okta, rendez-vous sur : https://help.okta.com/en/prod/Content/Topics/Directory/ad-agent-main.htm.

ManageEngine - Identity Manager Plus

Les étapes suivantes sont nécessaires pour créer une application dans Identity Manager Plus destinée à être utilisée avec un hôte GO-Global.

1. Depuis la page d'administration d'IdentityManager, accédez à l'onglet Application .
2. Cliquez sur Ajouter une application.
3. Saisissez un nom d'application et un nom de domaine.
4.    Sélectionnez l'onglet OAuth/OpenID Connect.
5. Activez l'option Activer OAuth/OpenID Connect.
6. Définissez Flux SSO pris en charge sur Initié par le SP.
7. Utilisez l'URL callback.html de l'hôte GO-Global pour les URL de redirection de connexion.
8. Pour Type de réponse, assurez-vous que seule l'option Code d'autorisation est sélectionnée.

9. Activez l'option « Autoriser le jeton d'actualisation ».
10. Définissez la validité du jeton d'accès sur 3 600 secondes.
11. Définissez l'algorithme de clé sur HS256.
12. Définissez le mode d'authentification du client sur « Sélectionner le secret client Basic » et « Secret client Post ».
13. Cliquez sur « Ajouter une application ».

L'ID client, le secret client, ainsi que les URL de jeton et d'autorisation se trouvent dans Identity Manager Plus | Applications. Cliquez sur le lien Détails dans la colonne Détails IdP.

Exemple d'URL d'autorisation :
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/authorize

Exemple d'URL de jeton :
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/token

KeyCloak

GO-Global prend en charge KeyCloak via l'URL d'autorisation standard.

Les administrateurs peuvent spécifier le champ du jeton d'identification qui contient le nom d'utilisateur. Par défaut, GO-Global tente d'extraire le nom d'utilisateur du champ « e-mail » fourni par KeyCloak, mais il est possible de le configurer pour qu'il récupère le nom d'utilisateur à partir d'autres champs via la propriété OpenIDConnectUserNameField dans le fichier HostProperties.xml.

Pour définir la propriété OpenIDConnectUserNameField


1. Arrêtez le service de publication d'applications.
2. Ouvrez le fichier %PROGRAMDATA%\GraphOn\GO-Global\HostProperties.xml dans un éditeur de texte.
3. Recherchez la propriété OpenIDConnectUserNameField et remplacez sa valeur par le nom de la revendication du jeton d'identification OIDC de l'utilisateur qui contient l'UPN que GO-Global doit utiliser pour authentifier l'utilisateur sous Windows.
4.    Enregistrez le fichier HostProperties.xml.
5. Redémarrez le service de publication d'applications.

Google Workspace/Cloud Identity

Avant de commencer, assurez-vous de disposer soit de Google Workspace Premium avec un domaine personnalisé, soit de Cloud Identity Premium avec un domaine personnalisé. Vérifiez que votre organisation figure bien dans la console d'administration Google. Pour les nouveaux comptes, la création automatique de votre domaine personnalisé peut prendre un certain temps. Créez de nouveaux utilisateurs si nécessaire. GraphOn recommande d'activer la validation en deux étapes pour tous les utilisateurs.


Guide de la console Google Cloud
A. Créez un nouveau projet (par exemple, GG-OIDC-Project) et accédez au projet nouvellement créé.

B. Configurer un écran de consentement OAuth
1. Accédez à « APIs & Services ». Sélectionnez « OAuth consent screen » dans la barre de navigation de gauche. Vous pouvez également, depuis la nouvelle page Google Auth Platform, sélectionner « Branding » à gauche.
2. Sélectionnez « User Type » : « Internal ».
3. Définissez le nom de l'application (par exemple, GG-Auth-Consent).
4.    Dans le champ Page d'accueil de l'application, saisissez l'URL de l'hôte GO-Global ou du répartiteur de charge. (Par exemple, https://myapp.example.com)
5. Dans le champ Domaine autorisé, saisissez le domaine de premier niveau (TLD) de l'hôte GO-Global. (Par exemple, example.com)
6. Cliquez sur Enregistrer et continuer.
7.    Ignorez l'ajout de champs d'application, sauf si la politique de votre organisation l'exige.
8. Cliquez sur Enregistrer et continuer.

C. Créer un identifiant de client OAuth
1. Accédez à API et services | Identifiants | Créer des identifiants | Identifiant de client OAuth. Vous pouvez également, depuis la nouvelle page Google Auth Platform, sélectionner Clients à gauche.
2. Pour le type d'application, sélectionnez Application Web.
3.    Donnez un nom au client OAuth. (par exemple, GG-Auth-Client)
4. Ajoutez une URI de redirection autorisée, en utilisant l'URL de votre serveur web GO-Global ou l'URL de votre équilibreur de charge avec le suffixe /callback.html (par exemple, https://myapp.example.com:491/callback.html). Omettez :491 si le front-end de l'équilibreur de charge écoute sur le port 443.
5. Créez le client.
6. Conservez en lieu sûr l'ID client et la clé secrète générés.

Configuration de l'hôte GO-Global

Configurezles paramètres suivants sur votre ou vos hôtes GO-Global :
1. Accédez à Outils | Options de l'hôte | Authentification.
2. Décochez toutes les cases.
3. Activez l'authentification OpenID Connect.
4. Sélectionnez soit « Connecter automatiquement les utilisateurs à des comptes Windows locaux », soit « Connecter automatiquement les utilisateurs à leurs comptes de domaine ».
5.    Saisissez la chaîne d'identification du client issue de la configuration de votre serveur OpenID Connect dans le champ « Client ID ».
6. Saisissez la chaîne secrète du client issue de la configuration de votre serveur OpenID Connect dans le champ « Client Secret ».
7. Saisissez l'URL d'autorisation utilisée pour authentifier les utilisateurs auprès de votre serveur OpenID Connect dans le champ « Authorize URL ». Par exemple,
https://accounts.google.com/o/oauth2/v2/auth?response_type=code&scope=openid+email
8. Saisissez l'URL du jeton utilisée pour authentifier les utilisateurs auprès de votre serveur OpenID Connect dans le champ URL du jeton. Par exemple, https://oauth2.googleapis.com/token
9.    Dans le champ URL de redirection, saisissez l'URL de votre serveur web GO-Global, d'un serveur web tiers ou d'un équilibreur de charge, avec le suffixe /callback.html.
(Par exemple, https://myapp.example.com:491/callback.html). Omettez :491 si le front-end de votre équilibreur de charge écoute sur le port 443.
10. Cliquez sur OK.

Conclusion

La mise en place d'une authentification sécurisée et fiable est essentielle pour tout déploiement de GO-Global. Ce guide technique accompagne les administrateurs tout au long du processus de configuration d'OpenID Connect (OIDC) avec les principaux fournisseurs d'identité, notamment Azure Entra ID, ADFS, Oracle Identity Cloud, Okta, ManageEngine Identity Manager Plus, KeyCloak et Google Workspace. Grâce à des instructions claires et détaillées, il garantit que votre hôte GO-Global est correctement intégré aux plateformes d'identité modernes pour un accès utilisateur fluide et une sécurité renforcée.

Êtes-vous un ISV qui explore la livraison d'applications basées sur le nuage ? Contactez-nous pour savoir comment GO-Global peut vous aider à rationaliser l'accès aux logiciels pour vos utilisateurs finaux. Ou téléchargez un essai gratuit pour le tester vous-même.

Spécifications techniques connexes

Comment faire
Comment faire : Prise en charge de l'authentification unique GO-Global pour Okta
Comment faire
Comment faire : Prise en charge de l'authentification unique GO-Global pour ADFS
Voir toutes les spécifications techniques

En savoir plus sur GO-Global

Lire nos FAQ - GO-Global
Lire nos FAQ
Support client - GO-Global
Études de cas
Notes de version - GO-Global
Caractéristiques techniques

Réduisez le coût et la complexité de la mise en œuvre de votre application Windows

S'abonner à notre lettre d'information
Merci de vous inscrire à notre lettre d'information.
Oups ! Un problème s'est produit lors de l'envoi du formulaire.