Ajouter Google comme fournisseur d’identité pour les utilisateurs invités B2B

  • Article

Conseil

Cet article décrit l’ajout de Google en tant que fournisseur d’identité pour B2B Collaboration. Si votre locataire est configuré pour la gestion des identités et des accès des clients, consultez Ajouter Google en tant que fournisseur d’identité pour les clients.

En configurant la fédération avec Google, vous pouvez autoriser les utilisateurs invités à se connecter à vos applications et ressources partagées avec leur propre compte Gmail, sans avoir besoin de créer un compte Microsoft. Une fois que vous avez ajouté Google aux options de connexion de votre application, dans la page Connexion, l’utilisateur peut entrer l’adresse Gmail pour se connecter à Google.

Sign in options for Google users

Remarque

La fédération Google est conçue spécialement pour les utilisateurs Gmail. Pour se fédérer aux domaines Google Workspace, utilisez la fédération de fournisseur SAML/WS-Fed.

Important

  • À partir du 12 juillet 2021, si les clients Microsoft Entra B2B configurent de nouvelles intégrations Google pour une utilisation avec l’inscription en libre-service ou pour inviter des utilisateurs externes à utiliser leurs applications métier ou personnalisées, l’authentification peut être bloquée pour les utilisateurs de Gmail (avec l’erreur dans la page À quoi s’attendre). Ce problème se produit uniquement si vous créez une intégration Google pour des flux d’utilisateurs d’inscription en libre-service ou des invitations après le 12 juillet 2021 alors que les authentifications Gmail de vos applications métier ou personnalisées n’ont pas été déplacées vers les vues web système. Étant donné que les vues web système sont activées par défaut, la plupart des applications ne seront pas affectées. Pour éviter ce problème, nous vous recommandons vivement de déplacer les authentifications Gmail vers les navigateurs système avant de créer de nouvelles intégrations Google pour l’inscription en libre-service. Reportez-vous à Action requise pour les vues web incorporées.
  • À partir du 30 septembre 2021, Google déprécie la prise en charge de la connexion aux vues web. Si vos applications authentifient les utilisateurs avec une vue web incorporée, et si vous utilisez la fédération Google avec Azure AD B2C ou Microsoft Entra B2B pour les invitations d’utilisateurs externes ou l’inscription en libre-service, les utilisateurs de Google Gmail ne pourront pas s’authentifier. Plus d’informations

Quelle est l’expérience de l’utilisateur Google ?

Vous pouvez inviter un utilisateur Google à B2B Collaboration de différentes façons. Par exemple, vous pouvez les ajouter à votre annuaire via le Centre d’administration Microsoft Entra. Quand l’utilisateur accepte votre invitation, son expérience varie selon qu’il est déjà connecté à Google :

  • Les utilisateurs invités qui ne sont pas connectés à Google sont invités à le faire.
  • Les utilisateurs invités déjà connectés à Google sont invités à choisir le compte qu’ils souhaitent utiliser. Il doit choisir le compte que vous avez utilisé pour l’inviter.

Les utilisateurs invités qui voient une erreur « header too long » (en-tête trop long) peuvent effacer leurs cookies ou ouvrir une fenêtre privée ou incognito, puis essayer de se reconnecter.

Screenshot that shows the Google sign-in page.

Points de terminaison de connexion

Les utilisateurs invités Google peuvent désormais se connecter à vos applications multilocataires ou à vos applications principales Microsoft à l’aide d’un point de terminaison commun (en d’autres termes, une URL d’application générale qui n’inclut pas le contexte de votre locataire). Durant le processus de connexion, l’utilisateur invité choisit Options de connexion, puis sélectionne Sign in to an organization (Se connecter à une organisation). L’utilisateur tape ensuite le nom de votre organisation et poursuit le processus de connexion à l’aide de ses informations d’identification Google.

Les utilisateurs invités Google peuvent également se servir des points de terminaison d’application qui incluent les informations de votre locataire, par exemple :

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Vous pouvez également fournir aux utilisateurs invités Google un lien direct vers une application ou une ressource en incluant les informations de votre locataire, par exemple https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Dépréciation de la prise en charge de la connexion via vue web

À partir du 30 septembre 2021, Google déprécie la prise en charge de la connexion aux vues web incorporées. Si vos applications authentifient les utilisateurs avec une vue web incorporée et que vous utilisez la Fédération des services Google avec Azure AD B2C ou Microsoft Entra B2B pour des invitations utilisateur externes ou une inscription en libre-service, les utilisateurs de Google Gmail ne pourront pas s’authentifier.

Voici quelques scénarios connus qui impactent les utilisateurs de Gmail :

  • Applications Microsoft (par exemple, Teams et Power Apps) sur Windows
  • Applications Windows qui utilisent le contrôle WebView, WebView2 ou l’ancien contrôle WebBrowser pour l’authentification. Ces applications doivent migrer vers l’utilisation du gestionnaire de comptes web (WAM).
  • Applications Android utilisant l’élément d’interface utilisateur WebView
  • applications iOS utilisant UIWebView/WKWebview
  • Applications utilisant ADAL

Cette modification n’a aucune incidence sur les scénarios suivants :

  • les applications web
  • Microsoft 365 les services accessibles via un site web (par exemple, SharePoint en ligne, Office web apps et Teams application web)
  • Applications mobiles utilisant des vues web système pour l’authentification (SFSafariViewController sur iOS, Onglets personnalisés sur Android).
  • Identités Google Workspace, par exemple la fédération basée sur SAML utilisée avec Google Workspace
  • Applications Windows qui utilisent le gestionnaire de compte web (WAM) ou le répartiteur d’authentification web (WAB).

Action requise pour les vues web incorporées

Modifiez vos applications de façon à utiliser le navigateur système pour la connexion. Pour plus d’informations, consultez Affichage web incorporé et navigateur système dans la documentation MSAL.NET. Tous les kits de développement logiciel (SDK) MSAL utilisent le navigateur système par défaut.

À quoi s’attendre

À compter du 30 septembre, Microsoft déploiera globalement un circuit de connexion d’appareil qui sert de solution de contournement aux applications utilisant encore des vues web incorporées pour s’assurer que l’authentification n’est pas bloquée.

Processus de connexion de l’appareil

Le processus de connexion de l’appareil invite les utilisateurs qui se connectent à l’aide d’un compte Gmail dans une vue web incorporée à entrer un code dans un navigateur distinct avant de pouvoir terminer la connexion. Si les utilisateurs se connectent avec leur compte Gmail pour la première fois sans aucune session active dans le navigateur, ils voient la séquence d’écrans suivante. Si un compte Gmail existant est déjà connecté, certaines de ces étapes peuvent être éliminées.

  1. Dans l’écran Connexion, l’utilisateur entre son adresse Gmail et sélectionne Suivant.

    Screenshot showing the sign-in screen

  2. L’écran suivant s’affiche et invite l’utilisateur à ouvrir une nouvelle fenêtre, à accéder à https://microsoft.com/devicelogin, puis à entrer le code alphanumérique à neuf chiffres affiché.

    Screenshot showing the 9-digit code

  3. La page de connexion à l’appareil s’ouvre, dans laquelle l’utilisateur peut entrer le code.

    Screenshot showing the device sign-in page

  4. Si les codes correspondent, l’utilisateur est invité à entrer à nouveau son adresse de messagerie pour confirmer son application et son emplacement de connexion pour des raisons de sécurité.

    Screenshot showing the screen for reentering email

  5. L’utilisateur se connecte à Google avec son adresse e-mail et son mot de passe.

    Screenshot showing the Google sign-in screen

  6. Il est à nouveau invité à confirmer l’application à laquelle il se connecte.

    Screenshot showing application confirmation screen

  7. L’utilisateur sélectionne Continuer. Une invite confirme la connexion. L’utilisateur ferme l’onglet ou la fenêtre et est renvoyé au premier écran, où il est maintenant connecté à l’application.

    Screenshot showing sign-in confirmation

Vous pouvez également faire en sorte que vos utilisateurs Gmail nouveaux et existants se connectent avec un code secret à usage unique. Pour que vos utilisateurs Gmail utilisent un code secret à usage unique, vous devez :

  1. Activer le code secret à usage unique envoyé par e-mail.
  2. Supprimer la fédération Google.
  3. Réinitialiser l’état d’acceptation de vos utilisateurs Gmail afin qu’ils puissent utiliser le code secret à usage unique par e-mail.

Si vous souhaitez demander une extension, les clients affectés avec un ou plusieurs identifiants de client OAuth doivent avoir reçu un e-mail de Google Developers avec les informations suivantes concernant une extension d’application de stratégie ponctuelle, qui doit être effectuée avant le 31 janvier 2022 :

  • « Si nécessaire, vous pouvez demander une extension de l’application de la politique les vues web incorporées pour chaque ID de client OAuth répertorié jusqu’au 31 janvier 2022. Pour plus de clarté, la politique pour les vues web incorporées sera appliquée le 1er février 2022, sans exceptions ou extensions. »

Les applications qui sont migrées vers une vue web autorisée pour l’authentification ne sont pas affectées, et les utilisateurs sont autorisés à s’authentifier via Google comme d’habitude.

Si les applications ne sont pas migrées vers une vue Web autorisée pour l’authentification, les utilisateurs Gmail affectés voient l’écran suivant.

Google sign-in error if apps are not migrated to system browsers

Distinction entre CEF/Electron et les vues web incorporées

En plus de la dépréciation de la prise en charge de la vue web incorporée et de la connexion à l’infrastructure, Google déprécie également l’authentification Gmail basée sur le CEF (Chromium Embedded Framework). Pour les applications basées sur CEF, telles que les applications Electron, Google désactivera l’authentification le 30 juin 2021. Les applications affectées ont reçu directement une notification de Google et ne sont pas abordées dans cette documentation. Ce document concerne les vues web incorporées décrites précédemment que Google va restreindre à partir du 30 septembre 2021.

Action requise pour les infrastructures incorporées

Suivez les conseils de Google pour déterminer si vos applications sont affectées.

Étape 1 : Configurer un projet de développeur Google

Commencez par créer un projet dans la console des développeurs Google pour obtenir un ID client et une clé secrète client que vous pourrez ajouter plus tard à Microsoft Entra External ID.

  1. Accédez aux API Google à l’adresse https://console.developers.google.com et connectez-vous avec votre compte Google. Nous vous recommandons d’utiliser un compte Google d’équipe partagé.

  2. Acceptez les conditions d’utilisation du service si vous y êtes invité.

  3. Créez un nouveau projet : en haut de la page, sélectionnez le menu de projet pour ouvrir la page Sélectionner un projet. Choisissez Nouveau projet.

  4. Sur la page Nouveau projet, attribuez un nom au projet (par exemple MyB2BApp), puis sélectionnez Créer :

    Screenshot that shows a New Project page.

  5. Ouvrez le nouveau projet en sélectionnant le lien dans la zone de message Notifications ou en utilisant le menu de projet en haut de la page.

  6. Dans le menu de gauche, sélectionnez API et services, puis Écran de consentement OAuth.

  7. Sous Type d’utilisateur, sélectionnez Externe, puis Créer.

  8. Sur l’écran de consentement OAuth, sous Informations sur l’application, entrez un nom d’application.

  9. Sous E-mail de support de l’utilisateur, sélectionnez une adresse e-mail.

  10. Sous Domaines autorisés, sélectionnez Ajouter un domaine, puis ajoutez le domaine microsoftonline.com.

  11. Sous Informations de contact du développeur, entrez une adresse e-mail.

  12. Sélectionnez Enregistrer et continuer.

  13. Dans le menu de gauche, sélectionnez Informations d’identification.

  14. Sélectionnez Créer des informations d’identification, puis Clé API.

  15. Dans le menu Type d’application, sélectionnez Application web. Donnez à l’application un nom approprié, par exemple Microsoft Entra B2B. Sous URI de redirection autorisés, ajoutez les URI suivants :

    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant ID>/oauth2/authresp
      (où <tenant ID> est votre ID de locataire)
    • https://login.microsoftonline.com/te/<tenant name>.onmicrosoft.com/oauth2/authresp
      (où <tenant name> correspond au nom de votre locataire)

    Remarque

    Pour trouver votre ID de locataire, connectez-vous au Centre d’administration Microsoft Entra. Sous Identité, sélectionnez Vue d’ensemble et copiez l’ID client.

  16. Cliquez sur Créer. Copiez vos ID client et clé secrète client. Vous les utilisez lors de l’ajout du fournisseur d’identité dans le Centre d’administration Microsoft Entra.

    Screenshot that shows the OAuth client ID and client secret.

  17. Vous pouvez laisser votre projet à l’état de publication Test et ajouter des utilisateurs de tests à l’écran de consentement OAuth. Vous pouvez également sélectionner le bouton Publier l’application dans l’écran de consentement OAuth pour mettre l’application à la disposition de tous les utilisateurs disposant d’un compte Google.

    Notes

    Dans certains cas, votre application peut nécessiter une vérification par Google (par exemple, si vous mettez à jour le logo de l’application). Pour plus d’informations, consultez l'aide pour l’état de vérification de Google.

Étape 2 : configurer la fédération Google dans Microsoft Entra External ID

Maintenant vous définirez l’ID client Google et la clé secrète client. Pour cela, vous pouvez utiliser le centre d’administration Microsoft Entra ou PowerShell. Pensez à tester votre configuration de fédération de Google en invitant vous-même. Utilisez une adresse Gmail et essayez de donner suite à l’invitation avec votre compte Google invité.

Pour configurer la fédération Google dans le Centre d’administration Microsoft Entra

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de fournisseur d’identité externe.

  2. Accédez à Identité>Identités externes>Tous les fournisseurs d’identité, puis sélectionnez le bouton Google.

  3. Entrez l’ID client et la clé secrète client obtenus précédemment. Sélectionnez Enregistrer :

    Screenshot that shows the Add Google identity provider page.

Pour configurer la fédération de Google à l’aide de PowerShell

  1. Installez la dernière version du module Microsoft Graph PowerShell.

  2. Connectez-vous à votre locataire à l’aide de la commande Connect-MgGraph.

  3. À l’invite de connexion, connectez-vous avec le compte d’administrateur général géré.

  4. Exécutez les commandes suivantes :

    $params = @{
   "@odata.type" = "microsoft.graph.socialIdentityProvider"
   displayName = "Login with Google"
   identityProviderType = "Google"
   clientId = "<client ID>"
   clientSecret = "<client secret>"
}

New-MgIdentityProvider -BodyParameter $params

    Remarque

    Utilisez l’ID client et la clé secrète client à partir de l’application que vous avez créée dans « Étape 1 : Configurer un projet de développeur Google ». Pour plus d’informations, consultez New-MgIdentityProvider.

Ajouter le fournisseur d’identité Google à un flux d’utilisateur

À ce stade, le fournisseur d'identité Google est configuré dans votre locataire Microsoft Entra. Les utilisateurs qui reçoivent une invitation de votre part peuvent utiliser Google pour se connecter. Toutefois, si vous avez créé des flux d'utilisateurs en libre-service, vous devez également ajouter Google aux pages de connexion de vos flux d'utilisateurs. Pour ajouter le fournisseur d’identité Google à un flux d’utilisateur :

  1. Accédez à Identité>Identités externes>Flux utilisateur.

  2. Cliquez sur le flux utilisateur dans lequel vous souhaitez ajouter le fournisseur d’identité Google.

  3. Sous Paramètres, sélectionnez Fournisseurs d’identité.

  4. Dans la liste des fournisseurs d’identité, sélectionnez Google.

  5. Sélectionnez Enregistrer.

Comment supprimer la fédération de Google ?

Vous pouvez supprimer votre configuration de fédération de Google. Si vous le faites, les utilisateurs invités Google qui ont déjà utilisé leur invitation ne peuvent pas se connecter. Toutefois, vous pouvez autoriser de nouveau l’accès à vos ressources en réinitialisant l’état d’acceptation.

Pour supprimer la fédération Google dans le Centre d’administration Microsoft Entra

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’Administrateur de fournisseur d’identité externe.

  2. Accédez à Identité>External Identities>Tous les fournisseurs d’identité.

  3. Dans la ligne Google, sélectionnez le bouton représentant des points de suspension ( ... ), puis choisissez Supprimer.

    Screenshot that shows the Delete button for the social identity provider.

  4. Sélectionnez Oui pour confirmer la suppression.

Pour supprimer la fédération de Google à l’aide de PowerShell

  1. Installez la dernière version du module Microsoft Graph PowerShell.

  2. Connectez-vous à votre locataire à l’aide de la commande Connect-MgGraph.

  3. Dans l’invite de connexion, connectez-vous avec le compte d’administrateur général géré.

  4. Entrez la commande suivante :

    Remove-MgIdentityProvider -IdentityProviderBaseId Google-OAUTH

    Remarque

    Pour plus d’informations, consultez Remove-MgIdentityProvider.