Добавление Google в качестве поставщика удостоверений

Область применения: внутренние клиенты внешние клиенты (подробнее)

Настроив федерацию с Google, вы позволяете клиентам входить в приложения с помощью собственных учетных записей Google. После добавления Google в качестве одного из вариантов входа в поток пользователя клиенты могут зарегистрироваться и войти в приложение с помощью учетной записи Google. (Дополнительные сведения о методах проверки подлинности и поставщиках удостоверений для клиентов.)

Предварительные условия

• Внешний арендатор.
• Пользовательский поток регистрации и входа в систему.

Создание приложения Google

Чтобы включить вход для клиентов с учетной записью Google, необходимо создать приложение в консоли разработчиков Google. Дополнительные сведения см. в разделе Настройка OAuth 2.0. Если у вас еще нет учетной записи Google, вы можете зарегистрироваться по адресу https://accounts.google.com/signup.

1. Выполните вход в консоль разработчиков Google с учетными данными для учетной записи Google.

2. Принять условия использования, если будет предложено это сделать.

3. В левом верхнем углу страницы выберите список проектов, а затем щелкните Создать проект.

4. Введите имя в поле Имя проекта и щелкните Создать.

5. Убедитесь, что вы используете новый проект, выбрав раскрывающийся список проекта в левом верхнем углу экрана. Выберите свой проект и нажмите кнопку Открыть.

6. В меню "Быстрый доступ" или в меню слева выберите API и службы, а затем экран согласия OAuth.

7. В поле "Тип пользователя" выберите "Внешний", а затем нажмите кнопку "Создать".

8. На экране согласия OAuth в разделе Сведения о приложении

   1. Введите Name для вашего приложения.
   2. Выберите адрес электронной почты службы поддержки пользователей.

9. В разделе "Авторизованные домены " выберите "Добавить домен", а затем добавьте ciamlogin.com и microsoftonline.com.

10. В разделе Контактные данные разработчика введите разделенные запятыми сообщения электронной почты Google, чтобы уведомить вас о любых изменениях в проекте.

11. Выберите Сохранить и продолжить.

12. В меню слева выберите "Учетные данные"

13. Выберите " Создать учетные данные", а затем идентификатор клиента OAuth.

14. Из списка Application type (Тип приложения) выберите Web application (Веб-приложение).

    1. Введите подходящее имя приложения, например "Внешняя идентификация Microsoft Entra".
    2. В Допустимые URI перенаправления OAuth введите следующие URI. Замените <tenant-ID> идентификатор каталога клиента (клиента) и <tenant-subdomain> поддомен каталога клиента (клиента). Если у вас нет имени арендатора, узнайте, как прочитать данные о вашем арендаторе.
    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
    • https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
    • https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.com
    • https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.com
    • https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2
    • https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

15. Нажмите кнопку создания.

16. Запишите значения идентификатора клиента и секрета клиента. Вам нужны оба значения, чтобы настроить Google в качестве провайдера идентификации в клиенте.

Настройка федерации Google в Microsoft Entra External ID

После создания приложения Google на этом шаге вы задали идентификатор клиента Google и секрет клиента в идентификаторе Microsoft Entra. Для этого можно использовать Центр администрирования Microsoft Entra или PowerShell. Чтобы настроить федерацию Google в Центре администрирования Microsoft Entra, выполните следующие действия.

1. Войдите в центр администрирования Microsoft Entra. 

2. Перейдите к Entra ID>Внешние удостоверения личности>Все поставщики удостоверений личности.

3. На вкладке "Встроенные" рядом с Google выберите "Настроить".

4. Введите Имя. Например, Google.

5. В поле Идентификатор клиента введите идентификатор клиента созданного ранее приложения Google.

6. В качестве секрета клиента введите секрет клиента, записанный ранее.

7. Выберите Сохранить.

Чтобы настроить федерацию Google с помощью PowerShell, выполните следующие действия.

1. Установите последнюю версию модуля Microsoft Graph PowerShell для работы с Graph.

2. Выполните следующую команду: Connect-MgGraph

3. В окне ввода учетных данных войдите в систему как минимум в роли администратора внешнего поставщика удостоверений.

4. Выполните следующую команду:

   Import-Module Microsoft.Graph.Identity.SignIns
   $params = @{
   "@odata.type" = "microsoft.graph.socialIdentityProvider"
   displayName = "Login with Google"
   identityProviderType = "Google"
   clientId = "00001111-aaaa-2222-bbbb-3333cccc4444"
   clientSecret = "000000000000"
   }
   New-MgIdentityProvider -BodyParameter $params
   

Используйте идентификатор клиента и секрет клиента из приложения, созданного на шаге создания приложения Google.

Добавление поставщика удостоверений Google в пользовательский поток

На данном этапе поставщик идентификаций Google был настроен в Microsoft Entra ID, но он пока не доступен ни на одной из страниц входа. Чтобы добавить поставщика удостоверений Google в поток пользователя, выполните следующие действия.

1. В вашем внешнем клиенте перейдите к Entra ID>Внешние идентичности>Потоки пользователей.

2. Выберите пользовательский поток, в котором вы хотите добавить поставщика удостоверений Google.

3. В разделе "Настройки" выберите поставщики удостоверений.

4. В разделе "Другие поставщики удостоверений" выберите Google.

5. Выберите Сохранить.

Связанное содержимое

• Добавить Facebook в качестве поставщика удостоверений
• Добавление Apple в качестве поставщика удостоверений
• Добавить OpenID Connect в качестве внешнего поставщика удостоверений