Google を ID プロバイダーとして追加する (プレビュー)
適用対象: 従業員テナント 外部テナント (詳細情報)
Google とのフェデレーションを設定することで、顧客が自分自身の Google アカウントを使用してアプリケーションにサインインできるようにします。 ユーザー フローのサインイン オプションの 1 つとして Google を追加すると、顧客は Google アカウントを使用してアプリケーションにサインアップしてサインインできます。 (顧客用の認証方法と ID プロバイダーの詳細を確認してください)。
前提条件
Google アプリケーションを作成する
Google アカウントを使用して顧客のサインインを有効にするには、Google Developers Console でアプリケーションを作成する必要があります。 詳細については、「OAuth 2.0 の設定」を参照してください。 まだ Google アカウントを持っていない場合は、https://accounts.google.com/signup
でサインアップできます。
Google アカウントの資格情報で Google Developers Console にサインインします。
サービスの使用条件への同意を求めるメッセージが表示されたらそのようにします。
ページの左上隅にあるプロジェクトの一覧を選択し、[新しいプロジェクト] を選択します。
[プロジェクト名] を入力し、[作成] を選択します。
画面左上にあるプロジェクト ドロップダウンを選択して、新しいプロジェクトを使用していることを確認します。 名前でプロジェクトを選択し、 [開く] を選択します。
[クイック アクセス] または左側のメニューで、[API とサービス] を選択し、[OAuth 同意画面] を選択します。
[ユーザーの種類] で、[外部] を選択し、[作成] を選択します。
[OAuth 同意画面] の [アプリ情報] で、
- アプリケーションの [名前] を入力します。
- [ユーザー サポートのメール] のアドレスを選択します。
[認可済みドメイン] セクションで、[ドメインの追加] を選択し、
ciamlogin.com
とmicrosoftonline.com
を追加します。[開発者の連絡先情報] セクションに、プロジェクトに対する変更を通知するための Google へのコンマ区切りメールを入力します。
[Save and Continue](保存して続行) を選択します。
左側のメニューで、[資格証明] を選択します
[資格情報の作成] を選択してから、[OAuth クライアント ID] を選択します。
[アプリケーションの種類] で [Web アプリケーション] を選択します。
- 「Microsoft Entra 外部 ID」など、アプリケーションに適した名前を入力します。
- [有効な OAuth リダイレクト URI] に、以下の URI を入力します。
<tenant-ID>
を自分の顧客ディレクトリ (テナント) ID に、<tenant-subdomain>
を自分の顧客ディレクトリ (テナント) サブドメインに置き換えます。 テナント名がない場合は、テナントの詳細を読み取る方法を確認してください。
https://login.microsoftonline.com
https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.com
https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.com
https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2
https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2
[作成] を選択します
[クライアント ID] と [クライアント シークレット] の値を記録します。 テナントで Google を ID プロバイダーとして構成するには、両方の値が必要です。
Note
場合によっては、アプリで Google による確認が必要になる場合があります (たとえば、アプリケーションのロゴを更新した場合)。 詳細については、Google の確認ステータスの guid に関するページを確認してください。
Microsoft Entra 外部 IDで Google フェデレーションを構成する
Google アプリケーションを作成した後、この手順では、Microsoft Entra ID で Google クライアント ID とクライアント シークレットを設定します。 これを行うには、Microsoft Entra 管理センターまたは PowerShell を使用できます。 Microsoft Entra 管理センターで Google フェデレーションを構成するには、次の手順に従います。
Microsoft Entra 管理センターにサインインします。
[ID]>[External Identities]>[すべての ID プロバイダー] に移動します。
[組み込み] タブの [Google] の横にある [構成] を選択します。
[名前] を入力します。 たとえば、「Google」とします。
[クライアント ID] には、前に作成した Google アプリケーションのクライアント ID を入力します。
[クライアント シークレット] には、記録したクライアント シークレットを入力します。
[保存] を選択します。
PowerShell を使用して Google フェデレーションを構成するには、次の手順に従います。
最新バージョンの Graph モジュール用 Microsoft Graph PowerShell をインストールします。
次のコマンドを実行します。
Connect-MgGraph
サインイン プロンプトで、少なくとも外部 ID プロバイダー管理者としてサインインします。
次のコマンドを実行します。
Import-Module Microsoft.Graph.Identity.SignIns $params = @{ "@odata.type" = "microsoft.graph.socialIdentityProvider" displayName = "Login with Google" identityProviderType = "Google" clientId = "00001111-aaaa-2222-bbbb-3333cccc4444" clientSecret = "000000000000" } New-MgIdentityProvider -BodyParameter $params
「Google アプリケーションを作成する」の手順で作成したアプリのクライアント ID とクライアント シークレットを使用します。
ユーザー フローに Google ID プロバイダーを追加する
この時点では、Google ID プロバイダーは Microsoft Entra ID で設定されていますが、サインイン ページではまだ使用できません。 Google ID プロバイダーをユーザー フローに追加するには、次のようにします。
外部テナントで、[ID]>[External Identities]>[ユーザー フロー] に移動します。
Google ID プロバイダーを追加するユーザー フローを選択します。
設定で、ID プロバイダー を選択します。
[その他の ID プロバイダー] で、[Google] を選択します。
[保存] を選択します。