Dodawanie usługi Google jako dostawcy tożsamości (wersja zapoznawcza)
Dotyczy:Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
Konfigurując federację z firmą Google, możesz zezwolić klientom na logowanie się do aplikacji przy użyciu własnych kont Google. Po dodaniu usługi Google jako jednej z opcji logowania przepływu użytkownika klienci mogą zarejestrować się i zalogować się do aplikacji przy użyciu konta Google. (Dowiedz się więcej na temat metod uwierzytelniania i dostawców tożsamości dla klientów).
Napiwek
Aby wypróbować tę funkcję, przejdź do pokazu Woodgrove Groceries i uruchom przypadek użycia "Zaloguj się przy użyciu konta społecznościowego".
Wymagania wstępne
- Dzierżawa zewnętrzna.
- Przepływ użytkownika rejestracji i logowania.
Tworzenie aplikacji Google
Aby włączyć logowanie dla klientów przy użyciu konta Google, musisz utworzyć aplikację w konsoli Google Developers Console. Aby uzyskać więcej informacji, zobacz Konfigurowanie protokołu OAuth 2.0. Jeśli nie masz jeszcze konta Google, możesz zarejestrować się pod adresem https://accounts.google.com/signup
.
Zaloguj się do konsoli Google Developers Console przy użyciu poświadczeń konta Google.
Zaakceptuj warunki świadczenia usługi, jeśli zostanie wyświetlony monit o to.
W lewym górnym rogu strony wybierz listę projektów, a następnie wybierz pozycję Nowy projekt.
Wprowadź nazwę projektu, wybierz pozycję Utwórz.
Upewnij się, że używasz nowego projektu, wybierając listę rozwijaną projektu w lewym górnym rogu ekranu. Wybierz projekt według nazwy, a następnie wybierz pozycję Otwórz.
W obszarze Szybki dostęp lub w menu po lewej stronie wybierz pozycję Interfejsy API i usługi , a następnie ekran zgody OAuth.
W polu Typ użytkownika wybierz pozycję Zewnętrzny , a następnie wybierz pozycję Utwórz.
Na ekranie zgody OAuth w obszarze Informacje o aplikacji
- Wprowadź nazwę aplikacji.
- Wybierz adres e-mail pomocy technicznej dla użytkowników.
W sekcji Autoryzowane domeny wybierz pozycję Dodaj domenę, a następnie dodaj
ciamlogin.com
imicrosoftonline.com
.W sekcji Informacje kontaktowe dla deweloperów wprowadź rozdzielone przecinkami wiadomości e-mail dla firmy Google, aby powiadomić Cię o wszelkich zmianach w projekcie.
Wybierz pozycję Zapisz i kontynuuj.
W menu po lewej stronie wybierz pozycję Poświadczenia
Wybierz pozycję Utwórz poświadczenia, a następnie identyfikator klienta OAuth.
W obszarze Typ aplikacji wybierz pozycję Aplikacja internetowa.
- Wprowadź odpowiednią nazwę aplikacji, na przykład "Tożsamość zewnętrzna Microsoft Entra".
- W obszarze Prawidłowe identyfikatory URI przekierowania protokołu OAuth wprowadź następujące identyfikatory URI. Zastąp
<tenant-ID>
ciąg identyfikatorem katalogu klienta (dzierżawy) i<tenant-subdomain>
domeną podrzędną katalogu klienta (dzierżawy). Jeśli nie masz swojej nazwy dzierżawy, dowiedz się, jak odczytywać szczegóły dzierżawy.
https://login.microsoftonline.com
https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.com
https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.com
https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2
https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2
Wybierz pozycję Utwórz.
Rejestruj wartości identyfikatora klienta i wpisu tajnego klienta. Obie wartości są potrzebne do skonfigurowania usługi Google jako dostawcy tożsamości w dzierżawie.
Uwaga
W niektórych przypadkach aplikacja może wymagać weryfikacji przez firmę Google (na przykład w przypadku zaktualizowania logo aplikacji). Aby uzyskać więcej informacji, zapoznaj się z identyfikatorem GUID stanu weryfikacji firmy Google.
Konfigurowanie federacji Google w usłudze Tożsamość zewnętrzna Microsoft Entra
Po utworzeniu aplikacji Google w tym kroku ustawisz identyfikator klienta Google i klucz tajny klienta w identyfikatorze Entra firmy Microsoft. W tym celu możesz użyć centrum administracyjnego firmy Microsoft Entra lub programu PowerShell. Aby skonfigurować federację Google w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
Przejdź do sekcji Identity External Identities>wszyscy dostawcy tożsamości).
Na karcie Wbudowane obok pozycji Google wybierz pozycję Konfiguruj.
W polu Nazwa wprowadź nazwę. Na przykład Google.
W polu Identyfikator klienta wprowadź identyfikator klienta utworzonej wcześniej aplikacji Google.
W polu Klucz tajny klienta wprowadź zarejestrowany klucz tajny klienta.
Wybierz pozycję Zapisz.
Aby skonfigurować federację Google przy użyciu programu PowerShell, wykonaj następujące kroki:
Zainstaluj najnowszą wersję modułu programu Microsoft Graph PowerShell dla programu Graph.
Uruchom następujące polecenie:
Connect-MgGraph
Po wyświetleniu monitu logowania zaloguj się jako co najmniej administrator zewnętrznego dostawcy tożsamości.
Uruchom następujące polecenie:
Import-Module Microsoft.Graph.Identity.SignIns $params = @{ "@odata.type" = "microsoft.graph.socialIdentityProvider" displayName = "Login with Google" identityProviderType = "Google" clientId = "00001111-aaaa-2222-bbbb-3333cccc4444" clientSecret = "000000000000" } New-MgIdentityProvider -BodyParameter $params
Użyj identyfikatora klienta i wpisu tajnego klienta z aplikacji utworzonej w kroku Tworzenie aplikacji Google.
Dodawanie dostawcy tożsamości Google do przepływu użytkownika
Na tym etapie dostawca tożsamości Google został skonfigurowany w identyfikatorze Microsoft Entra ID, ale nie jest jeszcze dostępny na żadnej ze stron logowania. Aby dodać dostawcę tożsamości Google do przepływu użytkownika:
W dzierżawie zewnętrznej przejdź do sekcji Identity External Identities> użytkownika tożsamości zewnętrznych tożsamości).>
Wybierz przepływ użytkownika, w którym chcesz dodać dostawcę tożsamości Google.
W obszarze Ustawienia wybierz pozycję Dostawcy tożsamości.
W obszarze Inni dostawcy tożsamości wybierz pozycję Google.
Wybierz pozycję Zapisz.