Freigeben über

Hinzufügen von Google als Identitätsanbieter für B2B-Gastbenutzer

Gilt für: Grüner Kreis mit einem weißen Häkchensymbol. Mitarbeiter-Mandanten Weißer Kreis mit einem grauen X-Symbol. Externe Mandanten (weitere Informationen)

Tipp

In diesem Artikel wird das Hinzufügen von Google als Identitätsanbieter für die B2B-Zusammenarbeit in Mitarbeitermandanten beschrieben. Anleitungen zu externen Mandanten finden Sie unter Hinzufügen von Google als Identitätsanbieter.

Durch die Einrichtung eines Verbunds mit Google können Sie eingeladenen Benutzern ermöglichen, sich bei Ihren freigegebenen Apps und Ressourcen mit ihren eigenen Gmail-Konten anzumelden, ohne dass sie Microsoft-Konten erstellen müssen. Nachdem Sie Google als eine der Anmeldeoptionen Ihrer Anwendung hinzugefügt haben, kann ein Benutzer auf der Anmeldeseite die Gmail-Adresse eingeben, die er für die Anmeldung bei Google verwendet.

Anmeldeoptionen für Google-Benutzer

Hinweis

Der Google-Verbund wurde speziell für Gmail-Benutzer konzipiert. Verwenden Sie SAML/WS-Fed Identitätsanbieterverbund, um mit Google Workspace-Domänen verbunden zu werden.

Wichtig

  • Wenn Microsoft Entra B2B-Kunden ab dem 12. Juli 2021 neue Google-Integrationen für die Verwendung mit Self-Service-Registrierung oder zum Einladen externer Benutzer für ihre benutzerdefinierten oder branchenspezifischen Anwendungen einrichten, könnte die Authentifizierung für Gmail-Benutzer blockiert werden (mit dem in "Was zu erwartenden Fehlerbildschirm" angezeigt wird). Dieses Problem tritt nur auf, wenn Sie Benutzerflows für die Google-Integration zur Self-Service-Registrierung oder Einladungen nach dem 12. Juli 2021 erstellen und Gmail-Authentifizierungen in Ihren benutzerdefinierten oder branchenspezifischen Anwendungen nicht in Systemwebansichten verschoben wurden. Da Systemwebansichten standardmäßig aktiviert sind, sind die meisten Apps nicht betroffen. Um das Problem zu vermeiden, sollten Sie unbedingt Gmail-Authentifizierungen in Systembrowser verschieben, bevor Sie neue Google-Integrationen zur Self-Service-Registrierung erstellen. Weitere Informationen finden Sie unter "Aktion", die für eingebettete Webansichten erforderlich ist.
  • Ab dem 30. September 2021 wird Google die Unterstützung für Anmeldungen über die Web-Ansicht einstellen. Wenn Ihre Apps Benutzer mit einer eingebetteten Webansicht authentifizieren und Sie den Google-Partnerverbund mit Azure AD B2C oder Microsoft Entra B2B für externe Benutzereinladungen oder die Self-Service-Registrierung verwenden, können sich Google Gmail-Benutzer nicht authentifizieren. Weitere Informationen.

Wie läuft der Vorgang für Google-Benutzer ab?

Sie können einen Google-Benutzer auf verschiedene Weise zur B2B-Zusammenarbeit einladen. Sie können sie beispielsweise über das Microsoft Entra Admin Center zu Ihrem Verzeichnis hinzufügen. Wenn sie Ihre Einladung einlösen, hängt die Benutzererfahrung davon ab, ob sie schon bei Google angemeldet sind:

  • Gastbenutzer*innen, die nicht bei Google angemeldet sind, werden aufgefordert, sich anzumelden.
  • Gastbenutzer*innen, die bereits bei Google angemeldet sind, werden aufgefordert, das zu verwendende Konto auszuwählen. Er muss das Konto auswählen, das Sie für die Einladung verwendet haben.

Gastbenutzer, bei denen ein Fehler aufgrund eines zu langen Headers angezeigt wird, können Cookies löschen oder ein privates oder Inkognito-Fenster öffnen und sich erneut anmelden.

Screenshot der Google-Anmeldeseite.

Endpunkte für die Anmeldung

Google-Gastbenutzer können sich jetzt mit einem gemeinsamen Endpunkt bei Ihren Mehrinstanzen- oder Microsoft-Erstanbieter-Apps anmelden (d. h. eine allgemeine App-URL, die Ihren Mandantenkontext nicht enthält). Während des Anmeldevorgangs wählt der Gastbenutzer Anmeldeoptionen und dann " Anmelden bei einer Organisation" aus. Der Benutzer gibt dann den Namen Ihres Unternehmens ein und setzt den Vorgang mit seinen Google-Anmeldeinformationen fort.

Google-Gastbenutzer können auch Anwendungsendpunkte verwenden, die Ihre Mandanteninformationen enthalten, z. B.:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Sie können Google-Gastbenutzern auch einen direkten Link zu einer Anwendung oder Ressource zur Verfügung stellen und Ihre Mandanteninformationen einfügen, z. B. https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.

Einstellung der Unterstützung für die WebView-Anmeldung

Ab dem 30. September 2021 wird Google die Unterstützung für Anmeldungen über eingebettete Webansichten einstellen. Wenn Ihre Apps Benutzer mit einer eingebetteten Webansicht authentifizieren und Sie den Google-Partnerverbund mit Azure AD B2C oder Microsoft Entra B2B für externe Benutzereinladungen oder die Self-Service-Registrierung verwenden, können sich Google Gmail-Benutzer nicht authentifizieren.

Im Folgenden sind bekannte Szenarien aufgeführt, die sich auf Gmail-Benutzer auswirken:

  • Microsoft-Apps (z. B. Teams und Power Apps) unter Windows
  • Windows-Apps, die das WebView-Steuerelement , WebView2 oder das ältere WebBrowser-Steuerelement für die Authentifizierung verwenden. Diese Apps sollten mithilfe des WAM-Flows (Web Account Manager) migriert werden.
  • Android-Anwendungen, die das WebView-Benutzeroberflächenelement verwenden
  • iOS-Anwendungen, die UIWebView/WKWebview verwenden
  • Apps mit ADAL

Diese Änderung hat keine Auswirkungen auf folgendes:

  • Web-Apps
  • Microsoft 365-Dienste, auf die über eine Website zugegriffen wird (z. B. SharePoint Online, Office-Web-Apps und Teams-Web-App)
  • Mobile Apps mit Systemwebansichten für die Authentifizierung (SFSafariViewController unter iOS, benutzerdefinierte Registerkarten unter Android).
  • Google Workspace-Identitäten, z. B. wenn Sie SAML-basierten Partnerverbund mit Google Workspace verwenden
  • Windows-Apps, die WAM (Web Account Manager) oder WAB (Web Authentication Broker) verwenden.

Für eingebettete Webansichten erforderliche Aktion

Ändern Sie Ihre Apps so, dass diese den Systembrowser für die Anmeldung verwenden. Ausführliche Informationen finden Sie in der MSAL.NET Dokumentation unter Eingebettete Webansicht im Vergleich zum Systembrowser . Alle MSAL-SDKs verwenden standardmäßig den Systembrowser.

Ausblick

Seit dem 30. September führt Microsoft global einen Geräteanmeldungsflow als Problemumgehung für Apps ein, die noch immer eingebettete Webansichten verwenden, um sicherzustellen, dass die Authentifizierung nicht blockiert wird.

Anmelden mit dem Geräteanmeldungsflow

Der Geräteanmeldungsflow fordert Benutzer, die sich über ein Gmail-Konto in einer eingebetteten Webansicht anmelden, zur Eingabe eines Code in einem separaten Browser auf, um die Anmeldung abzuschließen. Wenn sich Benutzer*innen zum ersten Mal mit ihrem Gmail-Konto anmelden, ohne dass Sitzungen im Browser aktiv sind, wird die folgende Abfolge von Bildschirmen angezeigt. Wenn ein vorhandenes Gmail-Konto bereits angemeldet ist, können einige dieser Schritte möglicherweise entfallen.

  1. Auf dem Anmeldebildschirm gibt der Benutzer seine Gmail-Adresse ein und wählt "Weiter" aus.

    Screenshot des Anmeldebildschirms

  2. Der folgende Bildschirm wird angezeigt, in dem der Benutzer bzw. die Benutzerin aufgefordert wird, ein neues Fenster zu öffnen, zu https://microsoft.com/devicelogin zu navigieren und den angezeigten neunstelligen Code aus Ziffern und Buchstaben einzugeben.

    Screenshot mit dem 9-stelligen Code

  3. Die Seite für die Geräteanmeldung wird geöffnet, auf der der Benutzer den Code eingeben kann.

    Screenshot der Geräteanmeldungsseite

  4. Wenn die Codes übereinstimmen, wird der Benutzer bzw. die Benutzerin aufgefordert, die E-Mail-Adresse erneut einzugeben, um die App und den Anmeldeort zu bestätigen.

    Screenshot des Bildschirms zum erneuten Eingeben von E-Mails

  5. Der Benutzer meldet sich mit seiner E-Mail-Adresse und dem Kennwort bei Google an.

    Screenshot des Google-Anmeldebildschirms

  6. Er wird erneut aufgefordert, die App zu bestätigen, bei der er sich anmelden möchte.

    Screenshot des Bildschirms

  7. Der Benutzer wählt "Weiter" aus. Eine Meldung bestätigt die Anmeldung. Der Benutzer schließt die Registerkarte oder das Fenster und kehrt zum ersten Bildschirm zurück, auf dem er nun bei der App angemeldet ist.

    Screenshot der Anmeldebestätigung

Alternativ können Sie ihre vorhandenen und neuen Gmail-Benutzer mit Einmalkennung anmelden. So lassen Sie Ihre Gmail-Benutzer eine Einmalkennung verwenden:

  1. Einmalige E-Mail-Kennung aktivieren.
  2. Entfernen Sie Google Federation.
  3. Setzen Sie den Einlösungsstatus Ihrer Gmail-Benutzer zurück, damit sie in Zukunft einmalige E-Mail-Passcodes verwenden können.

Wenn Sie eine Verlängerung anfordern möchten, sollten Kunden mit betroffenen OAuth-Client-IDs eine E-Mail von Google Developers mit den folgenden Informationen zu einer einmaligen Verlängerung der Richtlinienerzwingung erhalten haben, die bis zum 31. Januar 2022 abgeschlossen sein muss:

  • "Bei Bedarf können Sie eine einmalige Richtlinienerzwingungserweiterung für eingebettete Webviews für jede aufgeführte OAuth-Client-ID bis zum 31. Januar 2022 anfordern. Wir möchten darauf hinweisen, dass die Richtlinie für eingebettete Webansichten am 1. Februar 2022 ohne Ausnahmen oder weitere Verlängerung durchgesetzt wird.“

Anwendungen, die zu einer zulässigen Webansicht für die Authentifizierung migriert werden, sind nicht betroffen, und Benutzer können sich wie gewohnt über Google authentifizieren.

Wenn Anwendungen nicht zu einer zulässigen Webansicht für die Authentifizierung migriert werden, wird den betroffenen Gmail-Benutzer*innen der folgende Bildschirm angezeigt.

Google-Anmeldefehler, wenn Apps nicht zu Systembrowsern migriert werden

Unterscheiden zwischen CEF/Electron und eingebetteten Webansichten

Zusätzlich zur Abschaffung der Unterstützung für eingebettete Webansicht und Framework-Anmeldung stellt Google auch die Aufhebung der auf dem Chromium Embedded Framework (CEF) basierenden Gmail-Authentifizierung ein. Für CEF-basierte Anwendungen wie z. B. Electron-Apps wird die Authentifizierung von Google am 30. Juni 2021 deaktiviert. Betroffene Anwendungen wurden direkt von Google benachrichtigt und werden in dieser Dokumentation nicht behandelt. Dieses Dokument bezieht sich auf die zuvor beschriebenen eingebetteten Webansichten, die von Google am 30. September 2021 eingeschränkt werden.

Für eingebettete Frameworks erforderliche Aktion

Befolgen Sie googles Anleitungen , um festzustellen, ob Ihre Apps betroffen sind.

Schritt 1: Konfigurieren eines Google-Entwicklerprojekts

Erstellen Sie zunächst ein neues Projekt in der Google Developers Console, um eine Client-ID und einen geheimen Clientschlüssel abzurufen. Beides fügen Sie später in Microsoft Entra External ID hinzu.

  1. Wechseln Sie zur Google-APIs unter https://console.developers.google.com, und melden Sie sich mit Ihrem Google-Konto an. Es wird empfohlen, ein freigegebenes Google-Teamkonto zu verwenden.

  2. Stimmen Sie den Vertragsbedingungen zu, wenn Sie dazu aufgefordert werden.

  3. Erstellen Eines neuen Projekts: Wählen Sie oben auf der Seite das Projektmenü aus, um die Seite "Projekt auswählen " zu öffnen. Wählen Sie "Neues Projekt" aus.

  4. Geben Sie auf der Seite "Neues Projekt" dem Projekt einen Namen (z. B MyB2BApp. ), und wählen Sie dann "Erstellen" aus:

    Screenshot einer Seite

  5. Öffnen Sie das neue Projekt, indem Sie den Link im Meldungsfeld "Benachrichtigungen " oder mithilfe des Projektmenüs oben auf der Seite auswählen.

  6. Wählen Sie im linken Menü APIs & Dienste und dann den OAuth-Zustimmungsbildschirm aus.

  7. Wählen Sie unter Benutzertyp"Extern" und dann " Erstellen" aus.

  8. Geben Sie im OAuth-Zustimmungsbildschirm unter App-Informationen einen App-Namen ein.

  9. Wählen Sie unter "E-Mail des Benutzersupports" eine E-Mail-Adresse aus.

  10. Wählen Sie unter "Autorisierte Domänen" die Option " Domäne hinzufügen" aus, und fügen Sie dann die microsoftonline.com Domäne hinzu.

  11. Geben Sie unter "Entwicklerkontaktinformationen" eine E-Mail-Adresse ein.

  12. Wählen Sie "Speichern" aus, und fahren Sie fort.

  13. Wählen Sie im linken Menü "Anmeldeinformationen" aus.

  14. Wählen Sie "Anmeldeinformationen erstellen" und dann die OAuth-Client-ID aus.

  15. Wählen Sie im Menü "Anwendungstyp" die Option "Webanwendung" aus. Geben Sie der Anwendung einen geeigneten Namen, z. B. Microsoft Entra B2B. Fügen Sie unter autorisierte Umleitungs-URIs die folgenden URIs hinzu:

    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant ID>/oauth2/authresp
      (<tenant ID> ist Ihre Mandanten-ID.)
    • https://login.microsoftonline.com/te/<tenant name>.onmicrosoft.com/oauth2/authresp
      (<tenant name> ist Ihr Mandantenname.)

    Hinweis

    Um Ihre Mandanten-ID zu finden, melden Sie sich beim Microsoft Entra Admin Center an. Wählen Sie unter Entra IDÜbersicht aus, und kopieren Sie die Mandanten-ID.

  16. Wählen Sie "Erstellen" aus. Kopieren Sie Ihre Client-ID und den geheimen Clientschlüssel. Sie verwenden sie, wenn Sie den Identitätsanbieter im Microsoft Entra Admin Center hinzufügen.

    Screenshot der OAuth-Client-ID und des geheimen Clientschlüssels.

  17. Sie können Ihr Projekt in einem Veröffentlichungsstatus von Tests belassen und Testbenutzer zum OAuth-Zustimmungsbildschirm hinzufügen. Alternativ können Sie auf dem OAuth-Zustimmungsbildschirm die Schaltfläche " App veröffentlichen " auswählen, um die App jedem Benutzer mit einem Google-Konto zur Verfügung zu stellen.

    Hinweis

    In einigen Fällen erfordert Ihre App möglicherweise eine Überprüfung durch Google (z. B. beim Aktualisieren des Anwendungslogos). Weitere Informationen finden Sie in der Hilfe zum Überprüfungsstatus von Google.

Konfigurieren des Verbunds mit Google in Microsoft Entra External ID für Kunden

Sie legen nun die Google-Client-ID und den geheimen Clientschlüssel fest. Dazu können Sie das Microsoft Entra Admin Center oder PowerShell verwenden. Testen Sie unbedingt die Konfiguration des Google-Verbunds, indem Sie sich selbst einladen. Verwenden Sie eine Gmail-Adresse, und versuchen Sie, die Einladung mit Ihrem eingeladenen Google-Konto einzulösen.

So konfigurieren Sie den Google-Partnerverbund im Microsoft Entra Admin Center

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für externe Identitätsanbieter an.

  2. Navigieren Sie zu Entra ID>External Identities>Alle Identitätsanbieter, und wählen Sie dann in der Google-Zeile Konfigurieren aus.

  3. Geben Sie die Client-ID und den geheimen Clientschlüssel ein, die Sie zuvor erhalten haben. Wählen Sie "Speichern" aus:

    Screenshot der Seite

So konfigurieren Sie den Google-Partnerverbund mithilfe von PowerShell

  1. Installieren Sie die neueste Version des Microsoft Graph PowerShell-Moduls.

  2. Stellen Sie mithilfe des Befehls "Connect-MgGraph" eine Verbindung mit Ihrem Mandanten her.

  3. Melden Sie sich bei der Anmeldeaufforderung mindestens als Administrator des externen Identitätsanbieters an.

  4. Führen Sie die folgenden Befehle aus:

    $params = @{
   "@odata.type" = "microsoft.graph.socialIdentityProvider"
   displayName = "Login with Google"
   identityProviderType = "Google"
   clientId = "<client ID>"
   clientSecret = "<client secret>"
}

New-MgIdentityProvider -BodyParameter $params

    Hinweis

    Verwenden Sie die Client-ID und den geheimen Clientschlüssel aus der App, die Sie in "Schritt 1: Konfigurieren eines Google-Entwicklerprojekts" erstellt haben. Weitere Informationen finden Sie unter New-MgIdentityProvider.

Hinzufügen von Google als Identitätsanbieter zu einem Benutzerflow

Zu diesem Zeitpunkt ist der Google-Identitätsanbieter in Ihrem Microsoft Entra-Mandanten eingerichtet. Benutzer*innen, die Einladungen von Ihnen einlösen, können Google verwenden, um sich anzumelden. Wenn Sie jedoch Benutzer-Flows für die Selbstregistrierung erstellt haben, müssen Sie auch Google zu Ihren Benutzer-Flow-Anmeldeseiten hinzufügen. So fügen Sie den Google-Identitätsanbieter einem Benutzerflow hinzu:

  1. Navigieren Sie zu Entra ID>Externe Identitäten>Benutzerflüsse.

  2. Wählen Sie den Benutzerflow aus, dem Sie Google als Identitätsanbieter hinzufügen möchten.

  3. Wählen Sie unter "Einstellungen " die Option "Identitätsanbieter" aus.

  4. Wählen Sie in der Liste der Identitätsanbieter Google aus.

  5. Wählen Sie "Speichern" aus.

Wie entferne ich einen Google Verbund?

Sie können Ihre Google-Verbundeinrichtung löschen. Wenn Sie dies tun, können sich Google-Gastbenutzer*innen, die ihre Einladungen bereits eingelöst haben, nicht mehr anmelden. Sie können ihnen jedoch wieder Zugriff auf Ihre Ressourcen gewähren, indem Sie ihren Einlösungsstatus zurücksetzen.

So löschen Sie den Google-Partnerverbund im Microsoft Entra Admin Center

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für externe Identitätsanbieter an.

  2. Wechseln Sie zu Entra ID>Externe Identitäten>Alle Identitätsanbieter.

  3. Wählen Sie in der Google-Zeile (Konfiguriert) und dann "Löschen" aus.

  4. Wählen Sie "Ja " aus, um den Löschvorgang zu bestätigen.

So löschen Sie den Google-Partnerverbund mithilfe von PowerShell

  1. Installieren Sie die neueste Version des Microsoft Graph PowerShell-Moduls.

  2. Stellen Sie mithilfe des Befehls "Connect-MgGraph" eine Verbindung mit Ihrem Mandanten her.

  3. Melden Sie sich in der Anmeldeaufforderung mindestens als Administrator des externen Identitätsanbieters an.

  4. Geben Sie den folgenden Befehl ein:

    Remove-MgIdentityProvider -IdentityProviderBaseId Google-OAUTH

    Hinweis

    Weitere Informationen finden Sie unter Remove-MgIdentityProvider.