Google을 ID 공급자로 추가(미리 보기)
적용: Workforce 테넌트 외부 테넌트(자세히 알아보기)
Google과의 페더레이션을 설정하면 고객이 자신의 Google 계정으로 애플리케이션에 로그인할 수 있습니다. 사용자 흐름의 로그인 옵션 중 하나로 Google을 추가하면 고객은 Google 계정으로 애플리케이션에 등록하고 로그인할 수 있습니다. (고객을 위한 인증 방법 및 ID 공급자에 대해 자세히 알아봅니다.)
필수 조건
- 외부 테넌트입니다.
- 등록 및 로그인 사용자 흐름.
Google 애플리케이션 만들기
Google 계정으로 고객의 로그인을 사용하도록 설정하려면 Google 개발자 콘솔에서 애플리케이션을 만들어야 합니다. 자세한 내용은 OAuth 2.0 설정을 참조하세요. Google 계정이 없는 경우 https://accounts.google.com/signup
에서 등록할 수 있습니다.
Google 계정 자격 증명을 사용하여 Google 개발자 콘솔에 로그인합니다.
해당 계정을 사용하라는 메시지가 표시되면 서비스 약관에 동의합니다.
페이지의 왼쪽 위 모서리에서 프로젝트 목록을 선택한 다음 새 프로젝트를 선택합니다.
프로젝트 이름을 입력하고 만들기를 선택합니다.
화면 왼쪽 위에 있는 프로젝트 드롭다운을 선택하여 새 프로젝트를 사용하고 있는지 확인합니다. 이름으로 프로젝트를 선택하고 열기를 선택합니다.
빠른 액세스 또는 왼쪽 메뉴에서 API 및 서비스를 선택한 다음 OAuth 동의 화면을 선택합니다.
사용자 유형에서 외부를 선택한 다음 만들기를 선택합니다.
OAuth 동의 화면의 앱 정보에서
- 애플리케이션의 이름을 입력합니다.
- 사용자 지원 이메일 주소를 선택합니다.
권한 부여된 도메인 섹션에서 도메인 추가를 선택한 다음
ciamlogin.com
및microsoftonline.com
을 추가합니다.개발자 연락처 정보 섹션에서 프로젝트 변경 내용을 알릴 Google 이메일을 쉼표로 구분하여 입력합니다.
저장 및 계속을 선택합니다.
왼쪽 메뉴에서 자격 증명을 선택합니다.
자격 증명 만들기를 선택한 다음 OAuth 클라이언트 ID를 선택합니다.
애플리케이션 형식에서 웹 애플리케이션을 선택합니다.
- "Microsoft Entra 외부 ID"와 같이 애플리케이션에 적합한 이름을 입력합니다.
- 유효한 OAuth 리디렉션 URI에 다음 URI를 입력합니다.
<tenant-ID>
를 고객 디렉터리(테넌트) ID로 바꾸고<tenant-subdomain>
을 고객 디렉터리(테넌트) 하위 도메인으로 바꿉니다. 테넌트 이름이 없는 경우 테넌트 세부 정보를 읽는 방법을 알아봅니다.
https://login.microsoftonline.com
https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.com
https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.com
https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2
https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2
만들기를 실행합니다.
클라이언트 ID 및 클라이언트 암호 값을 기록해 둡니다. 테넌트에서 Google를 ID 공급자로 구성하려면 두 값이 모두 필요합니다.
참고 항목
경우에 따라 앱에서 Google의 확인이 필요할 수 있습니다(예: 애플리케이션 로고를 업데이트하는 경우). 자세한 내용은 Google의 확인 상태 가이드를 확인합니다.
Microsoft Entra 외부 ID에서 Google 페더레이션 구성
Google 애플리케이션을 만든 후 이 단계에서는 Microsoft Entra ID에서 Google 클라이언트 ID와 클라이언트 암호를 설정합니다. Microsoft Entra 관리 센터 또는 PowerShell을 사용하여 이를 수행할 수 있습니다. Microsoft Entra 관리 센터에서 Google 페더레이션을 구성하려면 다음 단계를 따릅니다.
Microsoft Entra 관리 센터에 로그인합니다.
ID>External Identities>모든 ID 공급자로 이동합니다.
기본 제공 탭에서 Google 옆에 있는 구성을 선택합니다.
이름을 입력합니다. 예: Google+
클라이언트 ID에 대해 이전에 만든 Google 애플리케이션의 클라이언트 ID를 입력합니다.
클라이언트 암호에는 기록한 클라이언트 암호를 입력합니다.
저장을 선택합니다.
PowerShell을 사용하여 Google 페더레이션을 구성하려면 다음 단계를 따릅니다.
Microsoft Graph PowerShell for Graph 모듈의 최신 버전을 설치합니다.
다음 명령을 실행합니다.
Connect-MgGraph
로그인 프롬프트에서 적어도 외부 ID 공급자 관리자로 로그인합니다.
다음 명령을 실행합니다.
Import-Module Microsoft.Graph.Identity.SignIns $params = @{ "@odata.type" = "microsoft.graph.socialIdentityProvider" displayName = "Login with Google" identityProviderType = "Google" clientId = "00001111-aaaa-2222-bbbb-3333cccc4444" clientSecret = "000000000000" } New-MgIdentityProvider -BodyParameter $params
Google 애플리케이션 만들기 단계에서 만든 앱의 클라이언트 ID와 클라이언트 암호를 사용합니다.
사용자 흐름에 Google ID 공급자 추가
이 시점에서 Google ID 공급자는 Microsoft Entra ID에 설정되었지만 아직 로그인 페이지에서는 사용할 수 없습니다. 사용자 흐름에 Google ID 공급자를 추가하려면 다음을 수행합니다.
외부 테넌트에서 ID>External Identities>사용자 흐름으로 이동합니다.
Google ID 공급자를 추가하려는 사용자 흐름을 선택합니다.
설정에서 ID 공급자를 선택합니다.
기타 ID 공급자에서 Google을 선택합니다.
저장을 선택합니다.