Přidání Googlu jako zprostředkovatele identity pro uživatele typu host B2B

Nastavením federace se společností Google můžete pozvaným uživatelům povolit přihlášení ke sdíleným aplikacím a prostředkům pomocí vlastních účtů Gmail, aniž by museli vytvářet účty Microsoft. Po přidání Googlu jako jedné z možností přihlášení aplikace může uživatel na přihlašovací stránce jednoduše zadat adresu Gmailu, kterou používá pro přihlášení ke Googlu.

Možnosti přihlášení pro uživatele Google

Poznámka

Federace Google je navržena speciálně pro uživatele Gmailu. K federaci s doménami Google Workspace použijte federaci zprostředkovatele identity SAML/WS-Fed.

Důležité

  • Azure AD Od 12. července 2021 může být ověřování pro uživatele Gmailu blokováno od 12. července 2021, pokud zákazníci B2B nastavují nové integrace Google pro použití se samoobslužnou registraci nebo pro pozvání externích uživatelů do vlastních nebo obchodních aplikací (s chybovou obrazovkou zobrazenou níže v části Co očekávat). K tomuto problému dochází pouze v případě, že po 12. červenci 2021 vytvoříte integraci Google pro toky uživatelů samoobslužné registrace nebo pozvánky a ověřování Gmailu ve vašich vlastních nebo obchodních aplikacích se nepřesunulo do systémových webových zobrazení. Vzhledem k tomu, že systémová webová zobrazení jsou ve výchozím nastavení povolená, na většinu aplikací to nebude mít vliv. Abyste se tomuto problému vyhnuli, důrazně doporučujeme přesunout ověřování Gmailu do systémových prohlížečů před vytvořením nových integrací Google pro samoobslužnou registraci. Projděte si část Potřebná akce pro vložená webová zobrazení.
  • Od 30. září 2021 google vyřazuje podporu přihlašování z webového zobrazení. Pokud vaše aplikace ověřují uživatele pomocí vloženého webového zobrazení a používáte federaci Google s Azure AD B2C nebo Azure AD B2B pro pozvání externích uživatelů nebo samoobslužnou registraci, uživatelé Google Gmailu se nebudou moct ověřit. Přečtěte si další informace.

Jaké je prostředí pro uživatele Google?

Uživatele Google můžete pozvat ke spolupráci B2B různými způsoby. Můžete je například přidat do adresáře prostřednictvím Azure Portal. Po uplatnění pozvánky se jejich prostředí liší podle toho, jestli už jsou přihlášení ke Googlu:

  • Uživatelům typu host, kteří nejsou přihlášení ke Googlu, se zobrazí výzva, aby to udělali.
  • Uživatelům typu host, kteří už jsou přihlášení ke Googlu, se zobrazí výzva, aby zvolili účet, který chtějí použít. Musí zvolit účet, který jste použili k pozvání.

Uživatelům typu host, kterým se zobrazí chyba "hlavička je příliš dlouhá", můžou vymazat soubory cookie nebo otevřít soukromé nebo anonymní okno a zkusit se znovu přihlásit.

Snímek obrazovky znázorňující přihlašovací stránku Google

Koncové body přihlašování

Uživatelé typu host Google se teď můžou přihlašovat k víceklientům nebo Microsoft aplikací první strany pomocí společného koncového bodu (jinými slovy obecné adresy URL aplikace, která neobsahuje kontext vašeho tenanta). Během procesu přihlašování uživatel typu host zvolí Možnosti přihlášení a pak vybere Přihlásit se k organizaci. Uživatel pak zadá název vaší organizace a bude se dál přihlašovat pomocí svých přihlašovacích údajů Google.

Uživatelé typu host Google mohou také používat koncové body aplikace, které obsahují informace o vašem tenantovi, například:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Uživatelům google typu host můžete také poskytnout přímý odkaz na aplikaci nebo prostředek zahrnutím informací o tenantovi, například https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Vyřazení podpory přihlašování k webovému zobrazení

Od 30. září 2021 Google vyřazuje podporu přihlašování z webového zobrazení. Pokud vaše aplikace ověřují uživatele pomocí integrovaného webového zobrazení a používáte federaci Google s Azure AD B2C nebo Azure AD B2B pro pozvání externích uživatelů nebo samoobslužnou registraci, uživatelé Google Gmailu se nebudou moct ověřit.

Níže jsou uvedené známé scénáře, které ovlivní uživatele Gmailu:

  • Microsoft aplikací (např. Teams a Power Apps) ve Windows
  • Aplikace pro Windows, které k ověřování používají ovládací prvek WebView , WebView2 nebo starší ovládací prvek WebBrowser. Tyto aplikace by měly migrovat na tok Web Account Manager (WAM).
  • Aplikace pro Android využívající prvek uživatelského rozhraní WebView
  • Aplikace pro iOS využívající UIWebView/WKWebview
  • Aplikace využívající ADAL

Tato změna nemá vliv na:

  • Webové aplikace
  • Microsoft 365 služeb, ke kterým se přistupuje prostřednictvím webu (například SharePoint Online, webové aplikace Office a webová aplikace Teams)
  • Mobilní aplikace, které k ověřování používají systémová webová zobrazení (SFSafariViewController v iOSu, vlastní karty v Androidu).
  • Identity pracovního prostoru Google, například při použití federace založené na SAML s Google Workspace
  • Aplikace pro Windows, které používají Správce webových účtů (WAM) nebo Zprostředkovatel webového ověřování (WAB).

Nutná akce pro vložená webová zobrazení

Upravte své aplikace tak, aby pro přihlašování používaly systémový prohlížeč. Podrobnosti najdete v tématu Vložené a systémové webové uživatelské rozhraní v dokumentaci k MSAL.NET. Všechny sady MSAL SDK ve výchozím nastavení používají systémové webové zobrazení.

Co očekávat

Od 30. září Microsoft globálně zavede tok přihlášení zařízení, který slouží jako alternativní řešení pro aplikace, které stále používají vložená webová zobrazení, aby se zajistilo, že ověřování nebude blokováno.

Jak se přihlásit pomocí toku přihlášení zařízení

Tok přihlášení zařízení vyzve uživatele, kteří se přihlásí pomocí účtu Gmail ve vloženém webovém zobrazení, aby před dokončením přihlášení zadali kód v samostatném prohlížeči. Pokud se uživatelé poprvé přihlašují pomocí svého účtu Gmail bez aktivních relací v prohlížeči, zobrazí se jim následující posloupnost obrazovek. Pokud je už existující účet Gmail přihlášený, některé z těchto kroků můžou být vyloučené.

  1. Na přihlašovací obrazovce uživatel zadá svoji adresu Gmailu a vybere Další.

    Snímek obrazovky znázorňující přihlašovací obrazovku

  2. Zobrazí se následující obrazovka s výzvou k otevření nového okna, přechodu na https://microsoft.com/deviceloginadresu a zadání 9místného alfanumerického kódu.

    Snímek obrazovky znázorňující 9místný kód

  3. Otevře se přihlašovací stránka zařízení, kde uživatel může zadat kód.

    Snímek obrazovky znázorňující přihlašovací stránku zařízení

  4. Pokud se kódy shodují, z bezpečnostních důvodů se uživateli zobrazí výzva k opětovnému zadání e-mailu s potvrzením aplikace a umístění přihlášení.

    Snímek obrazovky s obrazovkou pro opětovné zadání e-mailu

  5. Uživatel se ke Googlu přihlašuje pomocí e-mailu a hesla.

    Snímek obrazovky znázorňující přihlašovací obrazovku Google

  6. Znovu se zobrazí výzva k potvrzení aplikace, ke které se přihlašují.

    Snímek obrazovky s potvrzovací obrazovkou aplikace

  7. Uživatel vybere Pokračovat. Výzva potvrdí, že je přihlášený. Uživatel zavře kartu nebo okno a vrátí se na první obrazovku, kde je teď přihlášený k aplikaci.

    Snímek obrazovky s potvrzením přihlášení

Alternativně můžete, aby se stávající i noví uživatelé Gmailu přihlásili pomocí e-mailového jednorázového hesla. Pokud chcete, aby uživatelé Gmailu používali jednorázové heslo k e-mailu:

  1. Povolte jednorázové heslo k e-mailu.
  2. Odeberte federaci Google.
  3. Resetujte stav uplatnění u uživatelů Gmailu, aby mohli dál používat jednorázové heslo e-mailu.

Pokud chcete požádat o rozšíření, měli by ovlivnění zákazníci s ovlivněným ID klienta OAuth obdržet e-mail od vývojářů Google s následujícími informacemi týkajícími se jednorázového rozšíření vynucení zásad, které musí být dokončeno do 31. ledna 2022:

  • "V případě potřeby můžete do 31. ledna 2022 požádat o jednorázové rozšíření vynucení zásad pro vložená webová zobrazení pro každé uvedené ID klienta OAuth. Z důvodu přehlednosti budou zásady pro vložená webová zobrazení vynucovány 1. února 2022 bez výjimek nebo rozšíření.

Aplikace migrované do povoleného webového zobrazení pro ověřování nebudou ovlivněny a uživatelé se budou moct ověřovat přes Google obvyklým způsobem.

Pokud aplikace nejsou migrovány do povoleného webového zobrazení pro ověřování, zobrazí se ovlivněným uživatelům Gmailu následující obrazovka.

Chyba přihlášení Google, pokud se aplikace nemigrují do systémových prohlížečů

Rozlišení mezi CEF/Electron a vloženými webovými zobrazeními

Kromě vyřazení podpory integrovaného webového zobrazení a přihlašování k architektuře google také vyřazuje z provozu ověřování gmailu založeného na Chromium Embedded Framework (CEF). Pro aplikace založené na CEF, jako jsou aplikace Electron, Google zakáže ověřování 30. června 2021. Ovlivněné aplikace obdržely oznámení přímo od Googlu a tato dokumentace je nezabývá. Tento dokument se týká vložených webových zobrazení popsaných výše, která Google omezí k samostatnému datu 30. září 2021.

Nutná akce pro vložené architektury

Pokud chcete zjistit, jestli se to týká vašich aplikací, postupujte podle pokynů googlu .

Krok 1: Konfigurace vývojářského projektu Google

Nejprve v konzole Google Developers Console vytvořte nový projekt, abyste získali ID klienta a tajný klíč klienta, které můžete později přidat do služby Azure Active Directory (Azure AD).

  1. Přejděte na rozhraní Google API na adrese https://console.developers.google.coma přihlaste se pomocí svého účtu Google. Doporučujeme použít sdílený týmový účet Google.

  2. Pokud se zobrazí výzva, přijměte podmínky služby.

  3. Vytvoření nového projektu: V horní části stránky vyberte nabídku projektu a otevřete stránku Vybrat projekt . Zvolte Nový projekt.

  4. Na stránce Nový projekt pojmenujte projekt (například MyB2BApp) a pak vyberte Vytvořit:

    Snímek obrazovky se stránkou Nový projekt

  5. Otevřete nový projekt tak, že vyberete odkaz v okně se zprávou Oznámení nebo pomocí nabídky projektu v horní části stránky.

  6. V nabídce vlevo vyberte Služby ROZHRANÍ API &a pak vyberte Obrazovka souhlasu OAuth.

  7. V části Typ uživatele vyberte Externí a pak vyberte Vytvořit.

  8. Na obrazovce OAuth pro vyjádření souhlasu zadejte v části Informace o aplikacinázev aplikace.

  9. V části E-mail podpory uživatelů vyberte e-mailovou adresu.

  10. V části Autorizované domény vyberte Přidat doménu a pak přidejte microsoftonline.com doménu.

  11. V části Kontaktní informace pro vývojáře zadejte e-mailovou adresu.

  12. Vyberte Uložit a pokračovat.

  13. V nabídce vlevo vyberte Přihlašovací údaje.

  14. Vyberte Vytvořit přihlašovací údaje a pak vyberte ID klienta OAuth.

  15. V nabídce Typ aplikace vyberte Webová aplikace. Dejte aplikaci vhodný název, například Azure AD B2B. V části Autorizované identifikátory URI přesměrování přidejte následující identifikátory URI:

    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant ID>/oauth2/authresp
      (kde <tenant ID> je ID vašeho tenanta)
    • https://login.microsoftonline.com/te/<tenant name>.onmicrosoft.com/oauth2/authresp
      (kde <tenant name> je název vašeho tenanta)

    Poznámka

    ID tenanta zjistíte tak, že přejdete na Azure Portal. V části Azure Active Directory vyberte Vlastnosti a zkopírujte ID tenanta.

  16. Vyberte Vytvořit. Zkopírujte ID klienta a tajný klíč klienta. Použijete je při přidávání zprostředkovatele identity do Azure Portal.

    Snímek obrazovky znázorňující ID klienta OAuth a tajný klíč klienta

  17. Projekt můžete nechat ve stavu publikování Testování a přidat testovací uživatele na obrazovku souhlasu OAuth. Nebo můžete vybrat tlačítko Publikovat aplikaci na obrazovce OAuth pro vyjádření souhlasu a zpřístupnit aplikaci všem uživatelům s účtem Google.

    Poznámka

    V některých případech může aplikace vyžadovat ověření googlem (například pokud aktualizujete logo aplikace). Další informace najdete v nápovědě ke stavu ověření od Googlu.

Krok 2: Konfigurace federace Google v Azure AD

Teď nastavíte ID klienta Google a tajný klíč klienta. Můžete k tomu použít Azure Portal nebo PowerShell. Nezapomeňte otestovat konfiguraci federace Google pozváním. Použijte adresu Gmailu a zkuste pozvánku uplatnit s vaším pozvaným účtem Google.

Konfigurace federace Google v Azure Portal

  1. Přejděte na Azure Portal. V levém podokně vyberte Azure Active Directory.

  2. Vyberte Externí identity.

  3. Vyberte Všichni zprostředkovatelé identity a pak vyberte tlačítko Google .

  4. Zadejte ID klienta a tajný klíč klienta, který jste získali dříve. Vyberte Uložit:

    Snímek obrazovky se stránkou Přidat zprostředkovatele identity Google

Konfigurace federace Google pomocí PowerShellu

  1. Nainstalujte nejnovější verzi modulu Azure AD PowerShell pro Graph (AzureADPreview).

  2. Spusťte tento příkaz: Connect-AzureAD

  3. Po zobrazení výzvy k přihlášení se přihlaste pomocí spravovaného účtu globálního správce.

  4. Spusťte následující příkaz:

    New-AzureADMSIdentityProvider -Type Google -Name Google -ClientId <client ID> -ClientSecret <client secret>

    Poznámka

    Použijte ID klienta a tajný klíč klienta z aplikace, kterou jste vytvořili v kroku 1: Konfigurace vývojářského projektu Google. Další informace najdete v tématu New-AzureADMSIdentityProvider.

Návody odebrat federaci Google?

Nastavení federace Google můžete odstranit. Pokud to uděláte, nebudou se moct přihlásit uživatelé google typu host, kteří už pozvánku uplatnili. Můžete jim ale znovu udělit přístup k vašim prostředkům tak, že resetujete jejich stav uplatnění.

Odstranění federace Google na portálu Azure AD

  1. Přejděte na Azure Portal. V levém podokně vyberte Azure Active Directory.

  2. Vyberte Externí identity.

  3. Vyberte Všichni zprostředkovatelé identity.

  4. Na řádku Google vyberte tlačítko se třemi tečky (...) a pak vyberte Odstranit.

    Snímek obrazovky znázorňující tlačítko Odstranit pro zprostředkovatele sociální identity

  5. Výběrem možnosti Ano potvrďte odstranění.

Odstranění federace Google pomocí PowerShellu

  1. Nainstalujte nejnovější verzi modulu Azure AD PowerShell pro Graph (AzureADPreview).

  2. Spusťte Connect-AzureAD.

  3. Ve výzvě k přihlášení se přihlaste pomocí spravovaného účtu globálního správce.

  4. Zadejte následující příkaz:

    Remove-AzureADMSIdentityProvider -Id Google-OAUTH

    Poznámka

    Další informace najdete v tématu Remove-AzureADMSIdentityProvider.