Hinzufügen von Google als Identitätsanbieter für B2B-GastbenutzerAdd Google as an identity provider for B2B guest users

Durch die Einrichtung eines Verbunds mit Google können Sie eingeladenen Benutzern ermöglichen, sich bei Ihren freigegebenen Apps und Ressourcen mit ihren eigenen Gmail-Konten anzumelden, ohne dass sie Microsoft-Konten erstellen müssen.By setting up federation with Google, you can allow invited users to sign in to your shared apps and resources with their own Gmail accounts, without having to create Microsoft accounts.

Nachdem Sie Google als Anmeldeoption für Ihre Anwendung hinzugefügt haben, können Benutzer auf der Anmeldeseite einfach die E-Mail-Adresse eingeben, mit der sie sich bei Google anmelden. Alternativ können sie zuerst Anmeldeoptionen und dann Mit Google anmelden auswählen.After you've added Google as one of your application's sign-in options, on the Sign in page, a user can simply enter the email they use to sign in to Google, or they can select Sign-in options and choose Sign in with Google. In beiden Fällen werden sie zur Authentifizierung an die Google-Anmeldeseite umgeleitet.In either case, they'll be redirected to the Google sign-in page for authentication.

Anmeldeoptionen für Google-Benutzer

Hinweis

Der Google-Verbund wurde speziell für Gmail-Benutzer konzipiert.Google federation is designed specifically for Gmail users. Um einen Verbund mit G Suite-Domänen einzurichten, verwenden Sie den direkten Verbund.To federate with G Suite domains, use direct federation.

Wichtig

Am 4. Januar 2021 wird Google die Unterstützung für die WebView-Anmeldung einstellen.Starting January 4, 2021, Google is deprecating WebView sign-in support. Wenn Sie einen Google-Verbund oder die Self-Service-Registrierung mit Gmail verwenden, sollten Sie Ihre nativen Branchenanwendungen auf Kompatibilität testen.If you’re using Google federation or self-service sign-up with Gmail, you should test your line-of-business native applications for compatibility.

Wie läuft der Vorgang für Google-Benutzer ab?What is the experience for the Google user?

Wenn ein Google-Benutzer Ihre Einladung einlöst, hängt das Benutzererlebnis davon ab, ob er schon bei Google angemeldet ist:When a Google user redeems your invitation, their experience varies depending on whether they're already signed in to Google:

  • Gastbenutzer, die nicht bei Google angemeldet sind, werden aufgefordert, sich anzumelden.Guest users who aren't signed in to Google will be prompted to do so.
  • Gastbenutzer, die bereits bei Google angemeldet sind, werden aufgefordert, das zu verwendende Konto auszuwählen.Guest users who are already signed in to Google will be prompted to choose the account they want to use. Er muss das Konto auswählen, das Sie für die Einladung verwendet haben.They must choose the account you used to invite them.

Gastbenutzer, bei denen ein Fehler aufgrund eines zu langen Headers angezeigt wird, können Cookies löschen oder ein privates oder Inkognito-Fenster öffnen und sich erneut anmelden.Guest users who see a "header too long" error can clear their cookies or open a private or incognito window and try to sign in again.

Screenshot der Google-Anmeldeseite

Endpunkte für die AnmeldungSign-in endpoints

Google-Gastbenutzer können sich nun mithilfe eines gemeinsamen Endpunkts (d. h. mit einer allgemeinen App-URL, die Ihren Mandantenkontext nicht enthält) bei Ihren mehrmandantenfähigen Anwendungen oder bei Microsoft-Erstanbieter-Apps anmelden.Google guest users can now sign in to your multi-tenant or Microsoft first-party apps by using a common endpoint (in other words, a general app URL that doesn't include your tenant context). Beim Anmeldevorgang wählt der Gastbenutzer zuerst Anmeldeoptionen und dann Bei einer Organisation anmelden aus.During the sign-in process, the guest user chooses Sign-in options, and then selects Sign in to an organization. Der Benutzer gibt dann den Namen Ihres Unternehmens ein und setzt den Vorgang mit seinen Google-Anmeldeinformationen fort.The user then types the name of your organization and continues signing in using their Google credentials.

Google-Gastbenutzer können auch Anwendungsendpunkte verwenden, die Ihre Mandanteninformationen enthalten, z. B.:Google guest users can also use application endpoints that include your tenant information, for example:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Sie können Google-Gastbenutzern auch einen direkten Link zu einer Anwendung oder Ressource zur Verfügung stellen und Ihre Mandanteninformationen einfügen, z. B. https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.You can also give Google guest users a direct link to an application or resource by including your tenant information, for example https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Einstellung der Unterstützung für die WebView-AnmeldungDeprecation of WebView sign-in support

Am 4. Januar 2021 wird Google die Unterstützung für die eingebettete WebView-Anmeldung einstellen.Starting January 4, 2021, Google is deprecating embedded WebView sign-in support. Wenn Sie einen Google-Verbund oder die Self-Service-Registrierung mit Gmail verwenden, sollten Sie Ihre nativen Branchenanwendungen auf Kompatibilität testen.If you’re using Google federation or self-service sign-up with Gmail, you should test your line-of-business native applications for compatibility. Wenn Ihre Apps WebView-Inhalte enthalten, für die eine Authentifizierung erforderlich ist, können sich Benutzer von Google Gmail nicht mehr authentifizieren.If your apps include WebView content that requires authentication, Google Gmail users won't be able to authenticate. Im Folgenden finden Sie bekannte Szenarien mit Auswirkungen auf Gmail-Benutzer:The following are known scenarios that will impact Gmail users:

  • Windows-Apps, die eingebettete WebView-Inhalte oder WebAccountManager (WAM) unter älteren Versionen von Windows verwendenWindows apps that use embedded WebView or the WebAccountManager (WAM) on older versions of Windows.
  • Andere von Ihnen entwickelte native Apps, die ein eingebettetes Browserframework für die Authentifizierung verwendenOther native apps you’ve developed that use an embedded browser framework for authentication.

Diese Änderung wirkt sich nicht auf Folgendes aus:This change does not affect:

  • Windows-Apps, die eingebettete WebView-Inhalte oder WebAccountManager (WAM) unter den neuesten Versionen von Windows verwendenWindows apps that use embedded WebView or the WebAccountManager (WAM) on the latest versions of Windows
  • Microsoft-iOS-AppsMicrosoft iOS apps
  • G Suite-Identitäten, z. B. bei Verwendung eines SAML-basierten direkten Verbunds mit G SuiteG Suite identities, for example when you’re using SAML-based direct federation with G Suite

Wir testen weiterhin verschiedene Plattformen und Szenarien und werden diesen Artikel auf dem neuesten Stand halten.We’re continuing to test various platforms and scenarios, and will update this article accordingly.

So testen Sie Ihre Apps auf KompatibilitätTo test your apps for compatibility

  1. Ermitteln Sie anhand des Google-Leitfadens, ob Ihre Apps betroffen sind.Follow Google’s guidance to determine if your apps are affected.

  2. Nutzen Sie Fiddler oder ein anderes Testtool, injizieren Sie während der Anmeldung einen Header, und verwenden Sie eine externe Google-Identität, um die Anmeldung zu testen:Using Fiddler or another testing tool, inject a header during sign-in and use a Google external identity to test sign-in:

    1. Fügen Sie Ihren HTTP-Anforderungsheadern „Google-Accounts-Check-OAuth-Login:true“ hinzu, wenn die Anforderungen an accounts.google.com gesendet werden.Add Google-Accounts-Check-OAuth-Login:true to your HTTP request headers when the requests are sent to accounts.google.com.
    2. Versuchen Sie sich bei der App anzumelden, indem Sie auf der Anmeldeseite unter accounts.google.com eine Gmail-Adresse eingeben.Attempt to sign in to the app by entering a Gmail address in the accounts.google.com sign-in page.
    3. Wenn die Anmeldung eine Fehlermeldung wie „Dieser Browser oder diese App ist möglicherweise nicht sicher“ verursacht, wird die Anmeldung mit Ihren externen Google-Identitäten blockiert.If sign-in fails and you see an error such as “This browser or app may not be secure,” your Google external identities will be blocked from signing in.
  3. Beheben Sie das Problem, indem Sie eine der folgenden Aktionen ausführen:Resolve the issue by doing one of the following:

    • Wenn Ihre Windows-App eingebettete WebView-Inhalte oder WebAccountManager (WAM) unter einer älteren Version von Windows verwendet, führen Sie ein Update auf die neueste Version von Windows durch.If your Windows app uses embedded WebView or the WebAccountManager (WAM) on an older version of Windows, update to the latest version of Windows.
    • Ändern Sie Ihre Apps so, dass diese den Systembrowser für die Anmeldung verwenden.Modify your apps to use the system browser for sign-in. Weitere Informationen finden Sie in der MSAL.NET-Dokumentation unter Eingebettete Webbenutzeroberfläche im Vergleich zur System-Webbenutzeroberfläche.For details, see Embedded vs System Web UI in the MSAL.NET documentation.

Schritt 1: Konfigurieren eines Google-EntwicklerprojektsStep 1: Configure a Google developer project

Erstellen Sie zunächst ein neues Projekt in der Google Developers Console, um eine Client-ID und einen geheimen Clientschlüssel abzurufen. Beide fügen Sie später in Azure Active Directory (Azure AD) hinzu.First, create a new project in the Google Developers Console to obtain a client ID and a client secret that you can later add to Azure Active Directory (Azure AD).

  1. Wechseln Sie zur Google-APIs unter https://console.developers.google.com, und melden Sie sich mit Ihrem Google-Konto an.Go to the Google APIs at https://console.developers.google.com, and sign in with your Google account. Es wird empfohlen, ein freigegebenes Google-Teamkonto zu verwenden.We recommend that you use a shared team Google account.

  2. Stimmen Sie den Vertragsbedingungen zu, wenn Sie dazu aufgefordert werden.Accept the terms of service if you're prompted to do so.

  3. Erstellen Sie ein neues Projekt: Wählen Sie in der oberen linken Ecke der Seite die Projektliste aus, und wählen Sie dann auf der Seite Projekt auswählen die Option Neues Projekt aus.Create a new project: In the upper-left corner of the page, select the project list, and then on the Select a project page, select New Project.

  4. Geben Sie auf der Seite Neues Projekt dem Projekt einen Namen (z. B. Azure AD B2B), und wählen Sie dann Erstellen aus:On the New Project page, give the project a name (for example, Azure AD B2B), and then select Create:

    Screenshot der Seite „Neues Projekt“

  5. Wählen Sie auf der Seite APIs & Dienste unter dem neuen Projekt die Option Anzeigen aus.On the APIs & Services page, select View under your new project.

  6. Wählen Sie auf der Karte „APIs“die Option Go to APIs overview (Zur API-Übersicht wechseln) aus.Select Go to APIs overview on the APIs card. Wählen Sie OAuth-Zustimmungsbildschirm aus.Select OAuth consent screen.

  7. Wählen Sie Extern und anschließend Erstellen aus.Select External, and then select Create.

  8. Geben Sie im OAuth-Einwilligungsbildschirm einen Anwendungsnamen ein:On the OAuth consent screen, enter an Application name:

    Screenshot des Google-OAuth-Einwilligungsbildschirms

  9. Scrollen Sie zum Abschnitt Authorized domains (Autorisierte Domänen), und geben Sie microsoftonline.com ein:Scroll to the Authorized domains section and enter microsoftonline.com:

    Screenshot des Abschnitts „Authorized domains“ (Autorisierte Domänen)

  10. Wählen Sie Speichern aus.Select Save.

  11. Wählen Sie Credentials aus.Select Credentials. Wählen Sie im Menü Anmeldedaten erstellen die Option OAuth-Client-ID aus:On the Create credentials menu, select OAuth client ID:

    Screenshot des Google APIs-Menüs „Anmeldedaten erstellen“

  12. Wählen Sie unter Anwendungstyp die Option Webanwendung aus.Under Application type, select Web application. Geben Sie der Anwendung einen geeigneten Namen, z. B. Azure AD B2B.Give the application a suitable name, like Azure AD B2B. Geben Sie unter Autorisierte Weiterleitungs-URIs die folgenden URIs ein:Under Authorized redirect URIs, enter the following URIs:

    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant ID>/oauth2/authresp
      (<tenant ID> ist Ihre Mandanten-ID.)(where <tenant ID> is your tenant ID)

    Hinweis

    Ihre Mandanten-ID finden Sie im Azure-Portal.To find your tenant ID, go to the Azure portal. Wählen Sie dort unter Azure Active Directory die Option Eigenschaften aus, und kopieren Sie die Mandanten-ID.Under Azure Active Directory, select Properties and copy the Tenant ID.

    Screenshot des Abschnitts „Autorisierte Umleitungs-URIs“

  13. Klicken Sie auf Erstellen.Select Create. Kopieren Sie die Client-ID und den geheimen Clientschlüssel.Copy the client ID and client secret. Sie verwenden diese Informationen, wenn Sie den Identitätsanbieter im Azure-Portal hinzufügen.You'll use them when you add the identity provider in the Azure portal.

    Screenshot von OAuth-Client-ID und geheimem Clientschlüssel

Schritt 2: Konfigurieren des Google-Verbunds in Azure ADStep 2: Configure Google federation in Azure AD

Sie legen nun die Google-Client-ID und den geheimen Clientschlüssel fest.You'll now set the Google client ID and client secret. Dazu können Sie das Azure-Portal oder PowerShell verwenden.You can use the Azure portal or PowerShell to do so. Testen Sie unbedingt die Konfiguration des Google-Verbunds, indem Sie sich selbst einladen.Be sure to test your Google federation configuration by inviting yourself. Verwenden Sie eine Gmail-Adresse, und versuchen Sie, die Einladung mit Ihrem eingeladenen Google-Konto einzulösen.Use a Gmail address and try to redeem the invitation with your invited Google account.

So konfigurieren Sie den Google-Verbund im Azure-PortalTo configure Google federation in the Azure portal

  1. Öffnen Sie das Azure-Portal.Go to the Azure portal. Wählen Sie im linken Bereich Azure Active Directory aus.On the left pane, select Azure Active Directory.

  2. Wählen Sie Externe Identitäten aus.Select External Identities.

  3. Wählen Sie Alle Identitätsanbieter und dann die Schaltfläche Google aus.Select All identity providers, and then select the Google button.

  4. Geben Sie die Client-ID und den geheimen Clientschlüssel ein, die Sie zuvor erhalten haben.Enter the client ID and client secret you obtained earlier. Wählen Sie Speichern aus:Select Save:

    Screenshot der Seite „Google als Identitätsanbieter hinzufügen“

So konfigurieren Sie den Google-Verbund mithilfe von PowerShellTo configure Google federation by using PowerShell

  1. Installieren Sie die neueste Version des Azure AD PowerShell für Graph-Moduls (AzureADPreview).Install the latest version of the Azure AD PowerShell for Graph module (AzureADPreview).

  2. Führen Sie den folgenden Befehl aus: Connect-AzureADRun this command: Connect-AzureAD

  3. Melden Sie sich an der Anmeldeaufforderung mit dem verwalteten globalen Administratorkonto an.At the sign-in prompt, sign in with the managed Global Administrator account.

  4. Führen Sie den folgenden Befehl aus:Run the following command:

    New-AzureADMSIdentityProvider -Type Google -Name Google -ClientId <client ID> -ClientSecret <client secret>

    Hinweis

    Verwenden Sie die Client-ID und den geheimen Clientschlüssel der App, die Sie hier erstellt haben: „Schritt 1: Konfigurieren eines Google-Entwicklerprojekts“.Use the client ID and client secret from the app you created in "Step 1: Configure a Google developer project." Weitere Informationen finden Sie unter New-AzureADMSIdentityProvider.For more information, see New-AzureADMSIdentityProvider.

Wie entferne ich einen Google Verbund?How do I remove Google federation?

Sie können Ihre Google-Verbundeinrichtung löschen.You can delete your Google federation setup. Wenn Sie dies tun, können sich Google-Gastbenutzer, die ihre Einladungen bereits eingelöst haben, nicht mehr anmelden.If you do so, Google guest users who have already redeemed their invitation won't be able to sign in. Sie können ihnen aber erneut Zugriff auf Ihre Ressourcen gewähren, indem Sie sie aus dem Verzeichnis löschen und erneut einladen.But you can give them access to your resources again by deleting them from the directory and reinviting them.

So löschen Sie den Google-Verbund im Azure AD-PortalTo delete Google federation in the Azure AD portal

  1. Öffnen Sie das Azure-Portal.Go to the Azure portal. Wählen Sie im linken Bereich Azure Active Directory aus.On the left pane, select Azure Active Directory.

  2. Wählen Sie Externe Identitäten aus.Select External Identities.

  3. Wählen Sie Alle Identitätsanbieter aus.Select All identity providers.

  4. Wählen Sie in der Zeile Google die Schaltfläche mit den Auslassungspunkten ( ... ) und dann Löschen aus.On the Google line, select the ellipsis button (...) and then select Delete.

    Screenshot der Schaltfläche „Löschen“ für den Identitätsanbieter für soziale Netzwerke

  5. Wählen Sie Ja aus, um den Löschvorgang zu bestätigen.Select Yes to confirm the deletion.

So löschen Sie den Google-Verbund mithilfe von PowerShellTo delete Google federation by using PowerShell

  1. Installieren Sie die neueste Version des Azure AD PowerShell für Graph-Moduls (AzureADPreview).Install the latest version of the Azure AD PowerShell for Graph module (AzureADPreview).

  2. Führen Sie Connect-AzureAD aus.Run Connect-AzureAD.

  3. Melden Sie sich an der Anmeldeaufforderung mit dem verwalteten globalen Administratorkonto an.In the sign-in prompt, sign in with the managed Global Administrator account.

  4. Geben Sie den folgenden Befehl ein:Enter the following command:

    Remove-AzureADMSIdentityProvider -Id Google-OAUTH

    Hinweis

    Weitere Informationen finden Sie unter Remove-AzureADMSIdentityProvider.For more information, see Remove-AzureADMSIdentityProvider.