Dodawanie usługi Google jako dostawcy tożsamości (wersja zapoznawcza)

Dotyczy: Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)

Konfigurując federację z firmą Google, możesz zezwolić klientom na logowanie się do aplikacji przy użyciu własnych kont Google. Po dodaniu usługi Google jako jednej z opcji logowania przepływu użytkownika klienci mogą zarejestrować się i zalogować się do aplikacji przy użyciu konta Google. (Dowiedz się więcej na temat metod uwierzytelniania i dostawców tożsamości dla klientów).

Napiwek

Aby wypróbować tę funkcję, przejdź do pokazu Woodgrove Groceries i uruchom przypadek użycia "Zaloguj się przy użyciu konta społecznościowego".

Wymagania wstępne

• Dzierżawa zewnętrzna.
• Przepływ użytkownika rejestracji i logowania.

Tworzenie aplikacji Google

Aby włączyć logowanie dla klientów przy użyciu konta Google, musisz utworzyć aplikację w konsoli Google Developers Console. Aby uzyskać więcej informacji, zobacz Konfigurowanie protokołu OAuth 2.0. Jeśli nie masz jeszcze konta Google, możesz zarejestrować się pod adresem https://accounts.google.com/signup.

1. Zaloguj się do konsoli Google Developers Console przy użyciu poświadczeń konta Google.

2. Zaakceptuj warunki świadczenia usługi, jeśli zostanie wyświetlony monit o to.

3. W lewym górnym rogu strony wybierz listę projektów, a następnie wybierz pozycję Nowy projekt.

4. Wprowadź nazwę projektu, wybierz pozycję Utwórz.

5. Upewnij się, że używasz nowego projektu, wybierając listę rozwijaną projektu w lewym górnym rogu ekranu. Wybierz projekt według nazwy, a następnie wybierz pozycję Otwórz.

6. W obszarze Szybki dostęp lub w menu po lewej stronie wybierz pozycję Interfejsy API i usługi , a następnie ekran zgody OAuth.

7. W polu Typ użytkownika wybierz pozycję Zewnętrzny , a następnie wybierz pozycję Utwórz.

8. Na ekranie zgody OAuth w obszarze Informacje o aplikacji

   1. Wprowadź nazwę aplikacji.
   2. Wybierz adres e-mail pomocy technicznej dla użytkowników.

9. W sekcji Autoryzowane domeny wybierz pozycję Dodaj domenę, a następnie dodaj ciamlogin.com i microsoftonline.com.

10. W sekcji Informacje kontaktowe dla deweloperów wprowadź rozdzielone przecinkami wiadomości e-mail dla firmy Google, aby powiadomić Cię o wszelkich zmianach w projekcie.

11. Wybierz pozycję Zapisz i kontynuuj.

12. W menu po lewej stronie wybierz pozycję Poświadczenia

13. Wybierz pozycję Utwórz poświadczenia, a następnie identyfikator klienta OAuth.

14. W obszarze Typ aplikacji wybierz pozycję Aplikacja internetowa.

    1. Wprowadź odpowiednią nazwę aplikacji, na przykład "Tożsamość zewnętrzna Microsoft Entra".
    2. W obszarze Prawidłowe identyfikatory URI przekierowania protokołu OAuth wprowadź następujące identyfikatory URI. Zastąp <tenant-ID> ciąg identyfikatorem katalogu klienta (dzierżawy) i <tenant-subdomain> domeną podrzędną katalogu klienta (dzierżawy). Jeśli nie masz swojej nazwy dzierżawy, dowiedz się, jak odczytywać szczegóły dzierżawy.
    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
    • https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
    • https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.com
    • https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.com
    • https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2
    • https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

15. Wybierz pozycję Utwórz.

16. Rejestruj wartości identyfikatora klienta i wpisu tajnego klienta. Obie wartości są potrzebne do skonfigurowania usługi Google jako dostawcy tożsamości w dzierżawie.

Uwaga

W niektórych przypadkach aplikacja może wymagać weryfikacji przez firmę Google (na przykład w przypadku zaktualizowania logo aplikacji). Aby uzyskać więcej informacji, zapoznaj się z identyfikatorem GUID stanu weryfikacji firmy Google.

Konfigurowanie federacji Google w usłudze Tożsamość zewnętrzna Microsoft Entra

Po utworzeniu aplikacji Google w tym kroku ustawisz identyfikator klienta Google i klucz tajny klienta w identyfikatorze Entra firmy Microsoft. W tym celu możesz użyć centrum administracyjnego firmy Microsoft Entra lub programu PowerShell. Aby skonfigurować federację Google w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra. 

2. Przejdź do sekcji Identity External Identities>All identity providers (Tożsamości zewnętrzne tożsamości>wszyscy dostawcy tożsamości).

3. Na karcie Wbudowane obok pozycji Google wybierz pozycję Konfiguruj.

4. W polu Nazwa wprowadź nazwę. Na przykład Google.

5. W polu Identyfikator klienta wprowadź identyfikator klienta utworzonej wcześniej aplikacji Google.

6. W polu Klucz tajny klienta wprowadź zarejestrowany klucz tajny klienta.

7. Wybierz pozycję Zapisz.

Aby skonfigurować federację Google przy użyciu programu PowerShell, wykonaj następujące kroki:

1. Zainstaluj najnowszą wersję modułu programu Microsoft Graph PowerShell dla programu Graph.

2. Uruchom następujące polecenie: Connect-MgGraph

3. Po wyświetleniu monitu logowania zaloguj się jako co najmniej administrator zewnętrznego dostawcy tożsamości.

4. Uruchom następujące polecenie:

   Import-Module Microsoft.Graph.Identity.SignIns
   $params = @{
   "@odata.type" = "microsoft.graph.socialIdentityProvider"
   displayName = "Login with Google"
   identityProviderType = "Google"
   clientId = "00001111-aaaa-2222-bbbb-3333cccc4444"
   clientSecret = "000000000000"
   }
   New-MgIdentityProvider -BodyParameter $params
   

Użyj identyfikatora klienta i wpisu tajnego klienta z aplikacji utworzonej w kroku Tworzenie aplikacji Google.

Dodawanie dostawcy tożsamości Google do przepływu użytkownika

Na tym etapie dostawca tożsamości Google został skonfigurowany w identyfikatorze Microsoft Entra ID, ale nie jest jeszcze dostępny na żadnej ze stron logowania. Aby dodać dostawcę tożsamości Google do przepływu użytkownika:

1. W dzierżawie zewnętrznej przejdź do sekcji Identity External Identities>User flows (Przepływy użytkownika tożsamości zewnętrznych tożsamości).>

2. Wybierz przepływ użytkownika, w którym chcesz dodać dostawcę tożsamości Google.

3. W obszarze Ustawienia wybierz pozycję Dostawcy tożsamości.

4. W obszarze Inni dostawcy tożsamości wybierz pozycję Google.

5. Wybierz pozycję Zapisz.

Następne kroki

• Dodawanie usługi Facebook jako dostawcy tożsamości
• Dostosowywanie znakowania na potrzeby środowisk logowania klientów