Přidání Googlu jako zprostředkovatele identity (Preview)

  • Článek

Když nastavíte federaci s Googlem, umožníte zákazníkům přihlásit se k aplikacím pomocí vlastních účtů Google. Po přidání Googlu jako možnosti přihlášení k toku uživatele se zákazníci můžou zaregistrovat a přihlásit k aplikaci pomocí účtu Google. (Přečtěte si další informace o metodách ověřování a zprostředkovatelech identit pro zákazníky.)

Tip

Vyzkoušet

Pokud si chcete tuto funkci vyzkoušet, přejděte na ukázku Woodgrove Potraviny a spusťte případ použití "Přihlášení pomocí sociálního účtu".

Požadavky

  • Externí tenant.
  • Tok uživatele pro registraci a přihlášení

Vytvoření aplikace Google

Pokud chcete povolit přihlašování pro zákazníky pomocí účtu Google, musíte vytvořit aplikaci v konzole Google Developers Console. Další informace najdete v tématu Nastavení OAuth 2.0. Pokud ještě nemáte účet Google, můžete se zaregistrovat na adrese https://accounts.google.com/signup.

  1. Přihlaste se ke konzole Google Developers Console pomocí svých přihlašovacích údajů k účtu Google.

  2. Pokud se zobrazí výzva, přijměte podmínky služby.

  3. V levém horním rohu stránky vyberte seznam projektů a pak vyberte Nový projekt.

  4. Zadejte název projektu a vyberte Vytvořit.

  5. Ujistěte se, že nový projekt používáte tak, že v levém horním rohu obrazovky vyberete rozevírací seznam projektu. Vyberte projekt podle názvu a pak vyberte Otevřít.

  6. V nabídce Rychlý přístup nebo v levé nabídce vyberte rozhraní API a služby a pak obrazovku souhlasu OAuth.

  7. Jako typ uživatele vyberte Externí a pak vyberte Vytvořit.

  8. Na obrazovce souhlasu OAuth v části Informace o aplikaci

    1. Zadejte název aplikace.
    2. Vyberte e-mailovou adresu podpory uživatele.

  9. V části Autorizované domény vyberte Přidat doménu a pak přidejte ciamlogin.com a microsoftonline.com.

  10. V části Kontaktní informace pro vývojáře zadejte čárkami oddělené e-maily pro Google, které vás upozorní na všechny změny projektu.

  11. Zvolte Uložit a pokračovat.

  12. V nabídce vlevo vyberte Přihlašovací údaje.

  13. Vyberte Vytvořit přihlašovací údaje a pak ID klienta OAuth.

  14. V části Typ aplikace vyberte webovou aplikaci.

    1. Zadejte vhodný název aplikace, například "Microsoft Entra Externí ID".
    2. V platné identifikátory URI přesměrování OAuth zadejte následující identifikátory URI. Nahraďte <tenant-ID> ID vašeho adresáře zákazníka (tenanta) a <tenant-subdomain> subdoménou vašeho adresáře zákazníka (tenanta). Pokud nemáte název tenanta, přečtěte si, jak si přečíst podrobnosti o tenantovi.
    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
    • https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
    • https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.com
    • https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.com
    • https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oauth2
    • https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

  15. Vyberte Vytvořit.

  16. Poznamenejte si hodnoty ID klienta a tajného klíče klienta. K konfiguraci Google jako zprostředkovatele identity ve vašem tenantovi potřebujete obě hodnoty.

Poznámka:

V některých případech může vaše aplikace vyžadovat ověření společností Google (například pokud aktualizujete logo aplikace). Další informace najdete v guid stavu ověření Google.

Konfigurace federace Google v Microsoft Entra Externí ID

Po vytvoření aplikace Google v tomto kroku nastavíte ID klienta Google a tajný klíč klienta v Microsoft Entra ID. K tomu můžete použít Centrum pro správu Microsoft Entra nebo PowerShell. Pokud chcete nakonfigurovat federaci Google v Centru pro správu Microsoft Entra, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra

  2. Přejděte k >externím identitám>Identity Všechny zprostředkovatele identity.

  3. Vyberte + Google.

  4. Zadejte Název. Například Google.

  5. Jako ID klienta zadejte ID klienta aplikace Google, kterou jste vytvořili dříve.

  6. Jako tajný klíč klienta zadejte tajný klíč klienta, který jste si poznamenali.

  7. Zvolte Uložit.

Pokud chcete nakonfigurovat federaci Google pomocí PowerShellu, postupujte takto:

  1. Nainstalujte nejnovější verzi modulu Microsoft Graph PowerShell pro Graph.

  2. Spusťte následující příkaz: Connect-MgGraph.

  3. Na výzvě k přihlášení se přihlaste pomocí spravovaného globálního Správa istrator účtu.

  4. Spusťte následující příkaz:

    Import-Module Microsoft.Graph.Identity.SignIns
$params = @{
"@odata.type" = "microsoft.graph.socialIdentityProvider"
displayName = "Login with Amazon"
identityProviderType = "Amazon"
clientId = "00001111-aaaa-2222-bbbb-3333cccc4444"
clientSecret = "000000000000"
}
New-MgIdentityProvider -BodyParameter $params

Použijte ID klienta a tajný klíč klienta z aplikace, kterou jste vytvořili v kroku Vytvoření aplikace Google.

Přidání zprostředkovatele identity Google do toku uživatele

V tuto chvíli je zprostředkovatel identity Google nastavený ve vašem ID Microsoft Entra, ale zatím není k dispozici na žádné přihlašovací stránce. Přidání zprostředkovatele identity Google do toku uživatele:

  1. Ve vašem externím tenantovi přejděte k tokům identity>externích>identit uživatele.

  2. Vyberte tok uživatele, do kterého chcete přidat zprostředkovatele identity Google.

  3. V části Nastavení vyberte zprostředkovatele identity.

  4. V části Další zprostředkovatelé identity vyberte Google.

  5. Vyberte Uložit.

Další kroky