Ajouter Google comme fournisseur d’identité

  • Article

La configuration de la fédération avec Google vous permet d'autoriser les clients à se connecter à vos applications au moyen de leurs propres comptes Google. Une fois que vous avez ajouté Google comme l’une des options de connexion de votre flux d’utilisateur, les clients peuvent s’inscrire et se connecter à votre application avec un compte Google. (En savoir plus concernant les méthodes d’authentification et fournisseurs d’identité pour les clients.)

Conseil

Essayez-le dès maintenant

Pour essayer cette fonctionnalité, accédez à la version de démonstration Woodgrove Groceries et démarrez le cas d’utilisation « Se connecter avec un compte social ».

Prérequis

Créer une application Google

Pour activer la connexion des clients disposant d’un compte Google, vous devez créer une application dans la console Google Developers. Pour plus d’informations, consultez Configuration d’OAuth 2.0. Si vous ne disposez pas déjà d’un compte Google, vous pouvez vous inscrire à https://accounts.google.com/signup.

  1. Connectez-vous à la Console Google Developers avec les informations d’identification de votre compte Google.

  2. Acceptez les conditions d’utilisation du service si vous y êtes invité.

  3. Dans le coin supérieur gauche de la page, sélectionnez la liste des projets, puis Nouveau projet.

  4. Entrez un nom de projet , sélectionnez Créer.

  5. Assurez-vous d’utiliser le nouveau projet en sélectionnant la liste déroulante Projet en haut à gauche de l’écran. Sélectionnez le nom de votre projet, puis Ouvrir.

  6. Sous Accès rapide, ou dans le menu de gauche, sélectionnez API et services, puis l’écran de consentement OAuth.

  7. Sous Type d’utilisateur, sélectionnez Externe, puis Créer.

  8. Sur l’écran de consentement OAuth, sous Informations relatives à l’application

    1. Entrez un nom pour votre application.
    2. Sélectionnez une adresse e-mail du support utilisateur.

  9. Dans la section Domaines autorisés, sélectionnez Ajouter un domaine, puis ajoutez ciamlogin.com et microsoftonline.com.

  10. Dans la section Informations de contact du développeur, entrez des adresses e-mail séparées par des virgules pour que Google puisse vous informer des modifications apportées à votre projet.

  11. Sélectionnez Enregistrer et continuer.

  12. Dans le menu de gauche, sélectionnez Informations d’identification

  13. Sélectionnez Créer des informations d’identification, puis ID client OAuth.

  14. Sous Type d’application, sélectionnez Application web.

    1. Saisissez un nom approprié pour votre application, par exemple « ID externe Microsoft Entra ».
    2. Dans URI de redirection OAuth valides, entrez les URI suivants. Remplacez <tenant-ID> par votre ID d’annuaire client (locataire) et <tenant-subdomain> par votre sous-domaine d’annuaire client (locataire). Si vous ne disposez pas du nom de votre locataire, découvrez de quelle manière consulter les détails de votre locataire.
    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
    • https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
    • https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.com
    • https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.com
    • https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oauth2
    • https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

  15. Sélectionnez Créer.

  16. Prenez note des valeurs ID client et Clé secrète client. Vous aurez besoin de configurer Google en tant que fournisseur d'identité dans votre client.

Remarque

Dans certains cas, votre application peut nécessiter une vérification par Google (par exemple, si vous mettez à jour le logo de l’application). Si vous souhaitez en savoir davantage, consultez le guide du statut de vérification de Google.

Configurer la fédération Google dans ID externe Microsoft Entra

Une fois l’application Google créée, dans cette étape, vous définissez l’ID client et la clé secrète client Google dans Microsoft Entra ID. Pour cela, vous pouvez utiliser le centre d’administration Microsoft Entra ou PowerShell. Pour configurer la fédération Google dans le centre d’administration Microsoft Entra, procédez de la manière suivante :

  1. Connectez-vous au centre d’administration Microsoft Entra

  2. Accédez à Identité>External Identities>Tous les fournisseurs d’identité.

  3. Sélectionnez + Google.

  4. Saisissez un Nom. Par exemple, Google.

  5. Dans ID client, entrez l’ID client de l’application Google que vous avez créée précédemment.

  6. Dans Clé secrète client, entrez la clé secrète client que vous avez enregistrée.

  7. Sélectionnez Enregistrer.

Pour configurer la fédération de Google à l’aide de PowerShell, procédez de la manière suivante :

  1. Installez la dernière version d’Azure AD PowerShell pour le module Graph (AzureADPreview).

  2. Exécutez la commande suivante : Connect-AzureAD

  3. À l’invite de connexion, connectez-vous avec le compte d’administrateur général géré.

  4. Exécutez la commande suivante :

    New-AzureADMSIdentityProvider -Type Google -Name Google -ClientId <client ID> -ClientSecret <client secret>

    Utilisez l’ID client et la clé secrète client à partir de l’application créée à l’étape Créer une application Google.

Ajouter le fournisseur d’identité Google à un flux d’utilisateur

À ce stade, le fournisseur d’identité Google a été configuré dans votre Microsoft Entra ID, mais ne figure encore dans aucune des pages de connexion. Pour ajouter le fournisseur d’identité Google à un flux d’utilisateur :

  1. Dans votre locataire externe, accédez à Identités>External Identities>Flux d’utilisateurs.

  2. Cliquez sur le flux utilisateur dans lequel vous souhaitez ajouter le fournisseur d’identité Google.

  3. Sous Paramètres, sélectionnez Fournisseurs d’identité.

  4. Sous Autres fournisseurs d’identité, sélectionnez Google.

  5. Sélectionnez Enregistrer.

Étapes suivantes