Configurer l’inscription et la connexion avec un compte Google à l’aide d’Azure Active Directory B2C

Important

À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.

Avant de commencer, utilisez le sélecteur Choisir un type de stratégie en haut de cette page pour choisir le type de stratégie que vous configurez. Azure Active Directory B2C offre deux possibilités pour définir la façon dont les utilisateurs interagissent avec vos applications : via des flux utilisateurs prédéfinis ou via des stratégies personnalisées entièrement configurables. La procédure donnée dans cet article est différente pour chaque méthode.

Important

À compter du 30 septembre 2021, Google supprime la prise en charge de la connexion à WebView. Si vos applications authentifient les utilisateurs à l’aide d’une vue web intégrée et que vous utilisez la fédération Google avec Azure AD B2C, les utilisateurs de Google Gmail ne pourront pas s’authentifier. En savoir plus.

Remarque

Dans Active Directory B2C, les stratégies personnalisées sont principalement conçues pour gérer des scénarios complexes. Pour la plupart des scénarios, nous vous recommandons de recourir à des flux d’utilisateurs intégrés. Si vous ne l’avez pas fait, découvrez le Pack de démarrage de stratégie personnalisée dans Prise en main des stratégies personnalisées dans Active Directory B2C.

Conditions préalables

• Créez un flux d’utilisateurs pour permettre aux utilisateurs de s’inscrire et de se connecter à votre application.
• Inscrire une application web.

• Suivez les étapes de Prise en main des stratégies personnalisées dans Active Directory B2C. Ce tutoriel vous explique comment mettre à jour des fichiers de stratégie personnalisés pour utiliser votre configuration de locataire Azure AD B2C.
• Inscrire une application web.

Créer une application Google

Pour activer la connexion des utilisateurs disposant d’un compte Google dans Azure Active Directory B2C (Azure AD B2C), vous devez créer une application dans Google Developers Console. Pour plus d’informations, consultez Configuration d’OAuth 2.0. Si vous n’avez pas encore de compte Google, vous pouvez vous inscrire à l’adresse https://accounts.google.com/signup.

1. Connectez-vous à la console Google Developers avec vos informations d’identification de compte Google.
2. Dans le coin supérieur gauche de la page, sélectionnez la liste des projets, puis sélectionnez Nouveau projet.
3. Entrez un nom de projet, sélectionnez Créer.
4. Assurez-vous d’utiliser le nouveau projet en sélectionnant la liste déroulante du projet en haut à gauche de l’écran. Sélectionnez votre projet par nom, puis sélectionnez Ouvrir.
5. Dans le menu de gauche, sélectionnez API et services , puis Écran de consentement OAuth. Sélectionnez Externe , puis Créer.
   1. Entrez un nom pour votre application.
   2. Sélectionnez un e-mail d’assistance utilisateur.
   3. Dans la section Domaine de l’application , saisissez un lien vers la page d’accueil de votre application, un lien vers la politique de confidentialité de votre application et un lien vers les conditions d’utilisation de votre application.
   4. Dans la section Domaines autorisés , saisissez b2clogin.com.
   5. Dans la section Informations de contact du développeur , entrez des e-mails séparés par des virgules pour Google afin de vous informer des modifications apportées à votre projet.
   6. Cliquez sur Enregistrer.
6. Sélectionnez Informations d’identification dans le menu de gauche, puis Créer des informations d’identification>ID client OAuth.
7. Sous Type d’application, sélectionnez Application web.
   1. Entrez un nom pour votre application.
   2. Pour les origines JavaScript autorisées, entrez https://your-tenant-name.b2clogin.com. Si vous utilisez un domaine personnalisé, entrez https://your-domain-name.
   3. Pour les URI de redirection autorisées, entrez https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp. Si vous utilisez un domaine personnalisé, entrez https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Remplacez your-domain-name par votre domaine personnalisé et your-tenant-name par le nom de votre locataire. Utilisez toutes les lettres minuscules lors de la saisie du nom de votre locataire, même si le locataire est défini avec des lettres majuscules dans Azure AD B2C. Dans tous les cas, remplacez-le your-tenant-name par le sous-domaine Répertoire (locataire). Par exemple, si le domaine principal de votre locataire est contoso.onmicrosoft.com, utilisez contoso. Si vous ne disposez pas du nom de votre locataire, découvrez comment consulter les détails de votre locataire.
8. Cliquez sur Créer.
9. Copiez les valeurs de ID client et Clé secrète client. Vous aurez besoin des deux pour configurer Google en tant que fournisseur d’identité dans votre client. Client secret est une information d’identification de sécurité importante.

Configurer Google en tant que fournisseur d’identité

1. Connectez-vous au portail Azure avec un compte disposant au moins des privilèges d’administrateur du fournisseur d’identité externe .
2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
3. Choisissez tous les services dans le coin supérieur gauche du portail Azure, recherchez et sélectionnez Azure AD B2C.
4. Sélectionnez Fournisseurs d’identité, puis Google.
5. Saisissez un Nom. Par exemple, Google.
6. Pour l’ID client, entrez l’ID client de l’application Google que vous avez créée précédemment.
7. Pour la clé secrète client, entrez la clé secrète client que vous avez enregistrée.
8. Cliquez sur Enregistrer.

Ajouter le fournisseur d’identité Google à un flux d’utilisateur

À ce stade, le fournisseur d’identité Google a été configuré, mais il n’est pas encore disponible dans les pages de connexion. Pour ajouter le fournisseur d’identité Google à un flux d’utilisateur :

1. Dans votre tenant Azure AD B2C, sélectionnez Flux d’utilisateurs.
2. Sélectionnez le flux d’utilisateurs auquel vous souhaitez ajouter le fournisseur d’identité Google.
3. Sous Fournisseurs d’identité sociale, sélectionnez Google.
4. Cliquez sur Enregistrer.
5. Pour tester votre stratégie, sélectionnez Exécuter le flux utilisateur.
6. Pour l’application, sélectionnez l’application web nommée testapp1 que vous avez inscrite précédemment. L’URL de réponse doit être https://jwt.ms.
7. Sélectionnez le bouton Exécuter le flux utilisateur .
8. Dans la page d’inscription ou de connexion, sélectionnez Google pour vous connecter avec un compte Google.

Si le processus de connexion réussit, votre navigateur est redirigé vers https://jwt.ms. La page affiche le contenu du jeton renvoyé par Azure AD B2C.

Créer une clé de stratégie

Vous devez stocker le secret client que vous avez enregistré précédemment dans votre tenant Azure AD B2C.

1. Connectez-vous au portail Azure.
2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
3. Choisissez tous les services dans le coin supérieur gauche du portail Azure, puis recherchez et sélectionnez Azure AD B2C.
4. Dans la page Vue d’ensemble, sélectionnez Identity Experience Framework.
5. Sélectionnez Clés de stratégie , puis sélectionnez Ajouter.
6. Pour options, choisissez Manual.
7. Entrez un nom pour la clé de stratégie. Par exemple : GoogleSecret. Le préfixe B2C_1A_ est ajouté automatiquement au nom de votre clé.
8. Dans Secret, entrez votre clé secrète client que vous avez enregistrée précédemment.
9. Pour l’utilisation de la clé, sélectionnez Signature.
10. Cliquez sur Créer.

Configurer Google en tant que fournisseur d’identité

Pour permettre aux utilisateurs de se connecter à l’aide d’un compte Google, vous devez définir le compte en tant que fournisseur de revendications avec lequel Azure AD B2C peut communiquer via un point de terminaison. Le point de terminaison fournit un ensemble de revendications utilisées par Azure AD B2C pour vérifier qu’un utilisateur spécifique s’est authentifié.

Vous pouvez définir un compte Google en tant que fournisseur de réclamations en l’ajoutant à l’élément ClaimsProviders du fichier d’extension de votre police.

1. Ouvrez le fichier TrustFrameworkExtensions.xml .

2. Recherchez l’élément ClaimsProviders . S’il n’existe pas, ajoutez-le sous l’élément racine.

3. Ajoutez un nouveau ClaimsProvider comme suit :

   <ClaimsProvider>
     <Domain>google.com</Domain>
     <DisplayName>Google</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="Google-OAuth2">
         <DisplayName>Google</DisplayName>
         <Protocol Name="OAuth2" />
         <Metadata>
           <Item Key="ProviderName">google</Item>
           <Item Key="authorization_endpoint">https://accounts.google.com/o/oauth2/auth</Item>
           <Item Key="AccessTokenEndpoint">https://accounts.google.com/o/oauth2/token</Item>
           <Item Key="ClaimsEndpoint">https://www.googleapis.com/oauth2/v1/userinfo</Item>
           <Item Key="scope">email profile</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="client_id">Your Google application ID</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_GoogleSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="google.com" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Définissez client_id comme l'ID d'application provenant de l'enregistrement de l'application.

5. Enregistrez le fichier.

Ajouter un parcours utilisateur

À ce stade, le fournisseur d’identité a été configuré, mais il n’est pas encore accessible depuis aucune des pages de connexion. Si vous n’avez pas votre propre parcours utilisateur personnalisé, créez un doublon d’un parcours utilisateur de modèle existant, sinon passez à l’étape suivante.

1. Ouvrez le fichier TrustFrameworkBase.xml à partir du pack de démarrage.
2. Recherchez et copiez l’intégralité du contenu de l’élément UserJourney qui inclut Id="SignUpOrSignIn".
3. Ouvrez le TrustFrameworkExtensions.xml et recherchez l’élément UserJourneys . Si l’élément n’existe pas, ajoutez-en un.
4. Collez tout le contenu de l’élément UserJourney que vous avez copié en tant qu’enfant de l’élément UserJourneys .
5. Renommez l’ID du parcours utilisateur. Par exemple : Id="CustomSignUpSignIn".

Ajouter le fournisseur d’identité à un parcours utilisateur

Maintenant que vous disposez d’un parcours utilisateur, ajoutez le nouveau fournisseur d’identité au parcours utilisateur. Vous ajoutez d’abord un bouton de connexion, puis liez le bouton à une action. L’action correspond au profil technique que vous avez créé précédemment.

1. Recherchez l’élément d’étape d’orchestration qui inclut Type="CombinedSignInAndSignUp"ou Type="ClaimsProviderSelection" dans le parcours utilisateur. Il s’agit généralement de la première étape d’orchestration. L’élément ClaimsProviderSelections contient une liste de fournisseurs d’identité auxquels un utilisateur peut se connecter. L’ordre des éléments contrôle l’ordre des boutons de connexion présentés à l’utilisateur. Ajoutez un élément XML ClaimsProviderSelection . Définissez la valeur de TargetClaimsExchangeId sur un nom convivial.

2. À l’étape d’orchestration suivante, ajoutez un élément ClaimsExchange . Définissez ID sur la valeur de l’ID d’échange des revendications cible. Mettez à jour la valeur de TechnicalProfileReferenceId sur l’ID du profil technique que vous avez créé.

Le code XML suivant illustre les deux premières étapes d’orchestration d’un parcours utilisateur avec le fournisseur d’identité :

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="GoogleExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="GoogleExchange" TechnicalProfileReferenceId="Google-OAuth2" />
  </ClaimsExchanges>
</OrchestrationStep>

Configurer la stratégie de partie de confiance

La stratégie du partenaire de confiance, par exemple SignUpSignIn.xml, spécifie le parcours utilisateur que Azure AD B2C mettra en œuvre. Recherchez l'élément DefaultUserJourney dans la partie requérante. Mettez à jour le ReferenceId pour qu'il corresponde à l'identifiant du parcours utilisateur dans lequel vous avez ajouté le fournisseur d'identité.

Dans l’exemple suivant, pour le CustomSignUpSignIn parcours utilisateur, l’Id de référence est défini sur CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Charger la politique personnalisée

1. Connectez-vous au portail Azure.
2. Sélectionnez l’icône Répertoire + Abonnement dans la barre d’outils du portail, puis sélectionnez le répertoire qui contient votre locataire Azure AD B2C.
3. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.
4. Sous Stratégies, sélectionnez Identity Experience Framework.
5. Sélectionnez Charger une stratégie personnalisée, puis chargez les deux fichiers de stratégie que vous avez modifiés, dans l’ordre suivant : la stratégie d’extension, par exemple TrustFrameworkExtensions.xml, la stratégie de partie de confiance, telle que SignUpSignIn.xml.

Tester votre stratégie personnalisée

1. Sélectionnez votre stratégie de partie de confiance, par exemple B2C_1A_signup_signin.
2. Pour l’application, sélectionnez une application web que vous avez inscrite précédemment. L’URL de réponse doit être https://jwt.ms.
3. Sélectionnez le bouton Exécuter maintenant .
4. Dans la page d’inscription ou de connexion, sélectionnez Google pour vous connecter avec un compte Google.

Si le processus de connexion réussit, votre navigateur est redirigé vers https://jwt.ms, qui affiche le contenu du jeton retourné par Azure AD B2C.

Étapes suivantes

• Découvrez comment transmettre un jeton Google à votre application.
• Découvrez la démo en direct de la fédération Google et comment passer la démo en direct du jeton d’accès Google