Поделиться через

Настройка регистрации и входа с помощью учетной записи Google с помощью Azure Active Directory B2C

Это важно

Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Дополнительные сведения см. в разделе "Вопросы и ответы".

Прежде чем начать, используйте селектор типа политики в верхней части этой страницы, чтобы выбрать тип политики, которую вы настроите. Azure Active Directory B2C предлагает два метода определения способа взаимодействия пользователей с вашими приложениями: с помощью предопределенных потоков пользователей или полностью настраиваемых пользовательских политик. Действия, которые необходимо выполнить, отличаются для каждого метода.

Это важно

Начиная с 30 сентября 2021 г. Google не рекомендует использовать поддержку входа в веб-режим. Если ваши приложения аутентифицируют пользователей через встроенное веб-представление и вы используете федерацию Google с Azure AD B2C, пользователи Google Gmail не смогут пройти аутентификацию. Подробнее.

Замечание

В Azure Active Directory B2C пользовательские политики преимущественно предназначены для выполнения сложных сценариев. В большинстве случаев рекомендуется использовать встроенные потоки пользователей. Ознакомьтесь со статьей Начало работы с настраиваемыми политиками в Azure Active Directory B2C, чтобы узнать о базовом пакете настраиваемых политик, если еще не сделали этого.

Предпосылки

Создание приложения Google

Чтобы включить вход пользователей с учетной записью Google в Azure Active Directory B2C (Azure AD B2C), необходимо создать приложение в консоли разработчиков Google. Дополнительные сведения см. в разделе Настройка OAuth 2.0. Если у вас еще нет учетной записи Google, вы можете зарегистрироваться по адресу https://accounts.google.com/signup.

  1. Выполните вход в консоль разработчиков Google с учетными данными для учетной записи Google.
  2. В левом верхнем углу страницы выберите список проектов, а затем щелкните Создать проект.
  3. Введите имя в поле Имя проекта и щелкните Создать.
  4. Убедитесь, что вы используете новый проект, выбрав раскрывающийся список проекта в левом верхнем углу экрана. Выберите свой проект и нажмите кнопку Открыть.
  5. В меню слева выберите API и службы , а затем экран согласия OAuth. Выберите "Внешний " и нажмите кнопку "Создать".
    1. Введите Имя для вашего приложения.
    2. Выберите электронную почту службы поддержки пользователей.
    3. В разделе "Домен приложения" введите ссылку на домашнюю страницу приложения, ссылку на политику конфиденциальности приложения и ссылку на условия обслуживания приложения.
    4. В разделе "Авторизованные домены" введите b2clogin.com.
    5. В разделе Контактные данные разработчика введите разделенные запятыми сообщения электронной почты Google, чтобы уведомить вас о любых изменениях в проекте.
    6. Нажмите кнопку "Сохранить".
  6. Выберите Учетные записи в меню слева, затем выберите Создать учетные записи>OAuth клиента.
  7. Из списка Application type (Тип приложения) выберите Web application (Веб-приложение).
    1. Введите Имя для вашего приложения.
    2. В поле "Авторизованные источники JavaScript" введите https://your-tenant-name.b2clogin.com. Если вы используете личный домен, введите https://your-domain-name.
    3. Для URI авторизованного перенаправления введите https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp. Если вы используете личный домен, введите https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Замените your-domain-name личным доменом и your-tenant-name именем клиента. Используйте все строчные буквы при вводе имени клиента, даже если клиент определен с прописными буквами в Azure AD B2C. Во всех случаях замените your-tenant-name поддоменом каталога (арендатора). Например, если основной домен клиента — это contoso.onmicrosoft.com, используйте contoso. Если у вас нет имени арендатора, узнайте, как прочитать данные о вашем арендаторе.
  8. Нажмите кнопку "Создать".
  9. Скопируйте значения идентификатора клиента и секрета клиента. Вам потребуется оба из них, чтобы настроить Google в качестве поставщика удостоверений в вашем клиенте. Секрет клиента — это важные учетные данные безопасности.

Настройка Google в качестве поставщика удостоверений

  1. Войдите на портал Azure с учетной записью, которая имеет по крайней мере права администратора внешнего поставщика удостоверений .
  2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
  3. Выберите все службы в левом верхнем углу портала Azure, найдите и выберите Azure AD B2C.
  4. Выберите поставщики удостоверений, а затем выберите Google.
  5. Введите Имя. Например, Google.
  6. В поле Идентификатор клиента введите идентификатор клиента созданного ранее приложения Google.
  7. В качестве секрета клиента введите секрет клиента, записанный ранее.
  8. Нажмите кнопку "Сохранить".

Добавление поставщика удостоверений Google в пользовательский поток

На этом этапе поставщик идентификации Google настроен, но он еще не доступен ни на одной из страниц входа. Чтобы добавить поставщика удостоверений Google в поток пользователя, выполните следующие действия.

  1. В клиенте Azure AD B2C выберите потоки пользователей.
  2. Выберите поток пользователя, в который вы хотите добавить поставщика удостоверений Google.
  3. В разделе социальные провайдеры удостоверений выберите Google.
  4. Нажмите кнопку "Сохранить".
  5. Чтобы протестировать вашу политику, выберите Запустить поток пользователя.
  6. Для приложения выберите веб-приложение с именем testapp1 , которое вы ранее зарегистрировали. В поле URL-адрес ответа должно содержаться значение https://jwt.ms.
  7. Нажмите на кнопку Запустить пользовательский поток.
  8. На странице регистрации или входа выберите Google , чтобы войти с помощью учетной записи Google.

Если процесс входа выполнен успешно, браузер перенаправляется в https://jwt.ms. На странице отображается содержимое токена, возвращаемого Azure AD B2C.

Создание ключа политики

Необходимо сохранить секрет клиента, записанный ранее в клиенте Azure AD B2C.

  1. Войдите на портал Azure.
  2. Если у вас есть доступ к нескольким клиентам, щелкните значок Настройки в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню Каталоги и подписки.
  3. Выберите все службы в левом верхнем углу портала Azure, а затем найдите и выберите Azure AD B2C.
  4. На странице "Обзор" выберите Identity Experience Framework.
  5. Выберите ключи политики и нажмите кнопку "Добавить".
  6. В разделе "Параметры" выберите Manual.
  7. Введите имя для ключа политики. Например: GoogleSecret. Префикс B2C_1A_ добавляется автоматически в имя ключа.
  8. В поле Secret введите ваш секрет клиента, который вы записали ранее.
  9. Для использования ключа выберите Signature.
  10. Нажмите кнопку "Создать".

Настройка Google в качестве поставщика удостоверений

Чтобы пользователи могли войти с помощью учетной записи Google, необходимо определить учетную запись в качестве поставщика утверждений, с которым Azure AD B2C может взаимодействовать через конечную точку. Конечная точка предоставляет набор утверждений, используемых Azure AD B2C для проверки подлинности определенного пользователя.

Вы можете определить учетную запись Google в качестве поставщика утверждений, добавив его в элемент ClaimsProviders в файле расширения политики.

  1. Откройте файлTrustFrameworkExtensions.xml .

  2. Найдите элемент ClaimsProviders . Если он не существует, добавьте его в корневой элемент.

  3. Добавьте новый ClaimsProvider следующим образом:

    <ClaimsProvider>
  <Domain>google.com</Domain>
  <DisplayName>Google</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="Google-OAuth2">
      <DisplayName>Google</DisplayName>
      <Protocol Name="OAuth2" />
      <Metadata>
        <Item Key="ProviderName">google</Item>
        <Item Key="authorization_endpoint">https://accounts.google.com/o/oauth2/auth</Item>
        <Item Key="AccessTokenEndpoint">https://accounts.google.com/o/oauth2/token</Item>
        <Item Key="ClaimsEndpoint">https://www.googleapis.com/oauth2/v1/userinfo</Item>
        <Item Key="scope">email profile</Item>
        <Item Key="HttpBinding">POST</Item>
        <Item Key="UsePolicyInRedirectUri">false</Item>
        <Item Key="client_id">Your Google application ID</Item>
      </Metadata>
      <CryptographicKeys>
        <Key Id="client_secret" StorageReferenceId="B2C_1A_GoogleSecret" />
      </CryptographicKeys>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" />
        <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
        <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
        <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
        <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
        <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="google.com" />
        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
        <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
        <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
        <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

  4. Задайте client_id идентификатору приложения из регистрации приложения.

  5. Сохраните файл.

Добавить пользовательский сценарий

На этом этапе поставщик удостоверений настроен, но он еще не доступен на любой из страниц входа. Если у вас нет собственного пользовательского пути, создайте дубликат существующего пути пользователя шаблона, в противном случае перейдите к следующему шагу.

  1. Откройте файлTrustFrameworkBase.xml из начального пакета.
  2. Найдите и скопируйте все содержимое элемента UserJourney , который включает в себя Id="SignUpOrSignIn".
  3. Откройте TrustFrameworkExtensions.xml и найдите элемент UserJourneys . Если элемент не существует, добавьте его.
  4. Вставьте все содержимое элемента UserJourney , скопированного в качестве дочернего элемента UserJourneys .
  5. Переименуйте идентификатор пути пользователя. Например: Id="CustomSignUpSignIn".

Добавьте поставщика удостоверений в путь пользователя

Теперь, когда у вас есть путь пользователя, добавьте нового поставщика идентификации в этот путь. Сначала вы добавляете кнопку входа, а затем связываете кнопку с действием. Действие — это технический профиль, который вы создали ранее.

  1. Найдите элемент шага оркестрации, который включает в себя Type="CombinedSignInAndSignUp" или Type="ClaimsProviderSelection" в процессе работы пользователя. Обычно это первый шаг оркестрации. Элемент ClaimsProviderSelections содержит список поставщиков удостоверений, с которыми пользователь может войти. Порядок элементов определяет порядок кнопок входа, представленных пользователю. Добавьте XML-элемент ClaimsProviderSelection . Задайте для параметра TargetClaimsExchangeId понятное имя.

  2. На следующем шаге оркестрации добавьте элемент ClaimsExchange . Установите Id на значение идентификатора целевого обмена утверждениями. Обновите значение TechnicalProfileReferenceId на идентификатор ранее созданного технического профиля.

Следующий XML-код демонстрирует первые два этапа оркестрации взаимодействия пользователя с поставщиком удостоверений:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="GoogleExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="GoogleExchange" TechnicalProfileReferenceId="Google-OAuth2" />
  </ClaimsExchanges>
</OrchestrationStep>

Настройте политику доверяющей стороны

Политика проверяющей стороны, например SignUpSignIn.xml, указывает пользовательский сценарий, который будет выполнять Azure AD B2C. Найдите элемент DefaultUserJourney в поддерживающей стороне. Обновите ReferenceId, чтобы он соответствовал идентификатору пути пользователя, где вы добавили провайдера идентификации.

В следующем примере для CustomSignUpSignIn пути пользователя для параметра ReferenceId задано значение CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Отправка настраиваемой политики

  1. Войдите на портал Azure.
  2. Щелкните значок каталога и подписки на панели инструментов портала, а затем выберите каталог, содержащий клиент Azure AD B2C.
  3. В портале Azure найдите и выберите Azure AD B2C.
  4. В разделе "Политики" выберите Identity Experience Framework.
  5. Выберите " Отправить настраиваемую политику", а затем отправьте два измененных файла политики в следующем порядке: политика расширения, например TrustFrameworkExtensions.xml, политика проверяющей стороны, например SignUpSignIn.xml.

Проверка настраиваемой политики

  1. Выберите политику доверенной стороны, например B2C_1A_signup_signin.
  2. Для приложения выберите веб-приложение, которое вы ранее зарегистрировали. В поле URL-адрес ответа должно содержаться значение https://jwt.ms.
  3. Нажмите кнопку "Запустить сейчас ".
  4. На странице регистрации или входа выберите Google , чтобы войти с помощью учетной записи Google.

Если процесс входа выполнен успешно, браузер перенаправляется на https://jwt.ms, где отображается содержимое токена, возвращаемого Azure AD B2C.

Дальнейшие шаги