Introduction

Ce guide explique comment configurer une fédération OpenID Connect (OIDC) entre Google Workspace / Cloud Identity (fournisseur d’identité) et Wikit IAM (broker OIDC).
Une fois la configuration terminée, les utilisateurs de votre organisation pourront se connecter à Wikit avec leur identifiant et mot de passe Google Workspace habituels.

Prérequis

• Être administrateur Google Workspace (ou accompagné par l’admin).
• Avoir accès à la Google Cloud Console de l’organisation.
• Connaître :
  • votre domaine Google Workspace (ex. client.fr)
  • le slug d’organisation fourni par Wikit (ex. client)
  • l’URL d'authentification Wikit IAM : https://auth.wikit.ai

Configuration côté Google Workspace

Étape 1 : Créer (ou sélectionner) un projet Google Cloud

1. Connectez-vous à la Google Cloud Console avec un compte administrateur.
2. Sélectionnez un projet existant, ou cliquez sur Créer un projet.
3. Nom recommandé : Wikit-SSO-<votre_organisation> (ex. Wikit-SSO-client1).

Étape 2 : Configurer l’écran de consentement OAuth

1. Dans le menu, allez dans : API et services → Écran de consentement OAuth.
2. Type d’utilisateur :
   • Choisissez Interne (recommandé) pour limiter l’accès aux utilisateurs de votre domaine Google Workspace.
3. Renseignez les champs demandés :
   • Nom de l’application : Wikit
   • Email de support
   • Contacts développeur
4. Laissez les scopes par défaut (Wikit utilise uniquement openid, email, profile).
5. Cliquez sur Enregistrer.

Étape 3 : Créer une application OAuth (OIDC) et récupérer les identifiants

1. Allez dans : API et services → Identifiants.

2. Cliquez sur Créer des identifiants → ID client OAuth.

3. Sélectionnez :

   • Type d’application : Application Web

4. Renseignez :

   • Nom : Wikit SSO

   • URI de redirection autorisés : ajoutez exactement l’URL fournie par Wikit :

     https://auth.wikit.ai/realms/wikit-prod/broker/{slug-organisation}/endpoint

     Exemple pour client1 :

     https://auth.wikit.ai/realms/wikit-prod/broker/client1/endpoint

     Important : l’URI doit être identique caractère par caractère.
     Sinon Google retournera une erreur redirect_uri_mismatch.

5. Cliquez sur Créer.

6. Copiez les valeurs affichées :

   • ID client (Client ID)
   • Secret client (Client Secret)

Étape 4 : (Recommandé) Restreindre l’accès aux utilisateurs de votre domaine

Pour garantir que seuls les comptes de votre domaine (ex. @client1.fr) puissent se connecter :

1. Ouvrez la Google Admin Console.
2. Allez dans :
   Sécurité → Accès et contrôle des données → Contrôles des API → Contrôle d’accès aux applications
3. Trouvez l’application Wikit SSO que vous venez de créer.
4. Définissez l’accès sur Approuvée / Trusted pour les unités d’organisation ou groupes concernés.

Informations à transmettre à Wikit

Merci d’envoyer à votre interlocuteur Wikit les éléments suivants :

• Client ID : ...
• Client Secret : ...
• Domaine Google Workspace (ex. client.fr)
• (Optionnel) 1–2 comptes de test (ex. prenom.nom@client.fr)

Wikit finalisera la configuration (Identity Provider OIDC alias {slug-organisation}) et activera le bouton de connexion.

Test de connexion

Une fois la configuration terminée côté Wikit :

1. Allez sur l’URL Wikit habituelle.
2. Cliquez sur Se connecter avec Google Workspace.
3. Authentifiez-vous avec votre compte Workspace (prenom.nom@client1.fr).
4. Vous êtes redirigé vers Wikit et connecté.

Dépannage

• Erreur redirect_uri_mismatch
  → Vérifiez que l’URI de redirection déclarée dans Google est exactement :