次の方法で共有


Google を ID プロバイダーとして追加する (プレビュー)

適用対象: 灰色の X 記号がある白い円。 従業員テナント 内側に白いチェック マーク記号がある緑の円。 外部テナント (詳細情報)

Google とのフェデレーションを設定することで、顧客が自分自身の Google アカウントを使用してアプリケーションにサインインできるようにします。 ユーザー フローのサインイン オプションの 1 つとして Google を追加すると、顧客は Google アカウントを使用してアプリケーションにサインアップしてサインインできます。 (顧客用の認証方法と ID プロバイダーの詳細を確認してください)。

ヒント

今すぐ試す

この機能を試すには、Woodgrove Groceries のデモにアクセスし、"ソーシャル アカウントでサインインする" ユース ケースを開始します。

前提条件

Google アプリケーションを作成する

Google アカウントを使用して顧客のサインインを有効にするには、Google Developers Console でアプリケーションを作成する必要があります。 詳細については、「OAuth 2.0 の設定」を参照してください。 まだ Google アカウントを持っていない場合は、https://accounts.google.com/signup でサインアップできます。

  1. Google アカウントの資格情報で Google Developers Console にサインインします。

  2. サービスの使用条件への同意を求めるメッセージが表示されたらそのようにします。

  3. ページの左上隅にあるプロジェクトの一覧を選択し、[新しいプロジェクト] を選択します。

  4. [プロジェクト名] を入力し、[作成] を選択します。

  5. 画面左上にあるプロジェクト ドロップダウンを選択して、新しいプロジェクトを使用していることを確認します。 名前でプロジェクトを選択し、 [開く] を選択します。

  6. [クイック アクセス] または左側のメニューで、[API とサービス] を選択し、[OAuth 同意画面] を選択します。

  7. [ユーザーの種類] で、[外部] を選択し、[作成] を選択します。

  8. [OAuth 同意画面][アプリ情報] で、

    1. アプリケーションの [名前] を入力します。
    2. [ユーザー サポートのメール] のアドレスを選択します。
  9. [認可済みドメイン] セクションで、[ドメインの追加] を選択し、ciamlogin.commicrosoftonline.com を追加します。

  10. [開発者の連絡先情報] セクションに、プロジェクトに対する変更を通知するための Google へのコンマ区切りメールを入力します。

  11. [Save and Continue](保存して続行) を選択します。

  12. 左側のメニューで、[資格証明] を選択します

  13. [資格情報の作成] を選択してから、[OAuth クライアント ID] を選択します。

  14. [アプリケーションの種類][Web アプリケーション] を選択します。

    1. 「Microsoft Entra 外部 ID」など、アプリケーションに適した名前を入力します。
    2. [有効な OAuth リダイレクト URI] に、以下の URI を入力します。 <tenant-ID> を自分の顧客ディレクトリ (テナント) ID に、<tenant-subdomain> を自分の顧客ディレクトリ (テナント) サブドメインに置き換えます。 テナント名がない場合は、テナントの詳細を読み取る方法を確認してください。
    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
    • https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
    • https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.com
    • https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.com
    • https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2
    • https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2
  15. [作成] を選択します

  16. [クライアント ID][クライアント シークレット] の値を記録します。 テナントで Google を ID プロバイダーとして構成するには、両方の値が必要です。

Note

場合によっては、アプリで Google による確認が必要になる場合があります (たとえば、アプリケーションのロゴを更新した場合)。 詳細については、Google の確認ステータスの guid に関するページを確認してください。

Microsoft Entra 外部 IDで Google フェデレーションを構成する

Google アプリケーションを作成した後、この手順では、Microsoft Entra ID で Google クライアント ID とクライアント シークレットを設定します。 これを行うには、Microsoft Entra 管理センターまたは PowerShell を使用できます。 Microsoft Entra 管理センターで Google フェデレーションを構成するには、次の手順に従います。

  1. Microsoft Entra 管理センターにサインインします。 

  2. [ID]>[External Identities]>[すべての ID プロバイダー] に移動します。

  3. [組み込み] タブの [Google] の横にある [構成] を選択します。

  4. [名前] を入力します。 たとえば、「Google」とします。

  5. [クライアント ID] には、前に作成した Google アプリケーションのクライアント ID を入力します。

  6. [クライアント シークレット] には、記録したクライアント シークレットを入力します。

  7. [保存] を選択します。

PowerShell を使用して Google フェデレーションを構成するには、次の手順に従います。

  1. 最新バージョンの Graph モジュール用 Microsoft Graph PowerShell をインストールします。

  2. 次のコマンドを実行します。Connect-MgGraph

  3. サインイン プロンプトで、少なくとも外部 ID プロバイダー管理者としてサインインします。

  4. 次のコマンドを実行します。

    Import-Module Microsoft.Graph.Identity.SignIns
    $params = @{
    "@odata.type" = "microsoft.graph.socialIdentityProvider"
    displayName = "Login with Google"
    identityProviderType = "Google"
    clientId = "00001111-aaaa-2222-bbbb-3333cccc4444"
    clientSecret = "000000000000"
    }
    New-MgIdentityProvider -BodyParameter $params
    

Google アプリケーションを作成する」の手順で作成したアプリのクライアント ID とクライアント シークレットを使用します。

ユーザー フローに Google ID プロバイダーを追加する

この時点では、Google ID プロバイダーは Microsoft Entra ID で設定されていますが、サインイン ページではまだ使用できません。 Google ID プロバイダーをユーザー フローに追加するには、次のようにします。

  1. 外部テナントで、[ID]>[External Identities]>[ユーザー フロー] に移動します。

  2. Google ID プロバイダーを追加するユーザー フローを選択します。

  3. 設定で、ID プロバイダー を選択します。

  4. [その他の ID プロバイダー] で、[Google] を選択します。

  5. [保存] を選択します。