Menambahkan Google sebagai penyedia identitas untuk pengguna tamu B2B

Berlaku untuk: Lingkaran hijau dengan simbol tanda centang putih yang menunjukkan konten berikut berlaku untuk penyewa tenaga kerja. Penyewa tenaga kerja (pelajari lebih lanjut)

Petunjuk / Saran

Artikel ini menjelaskan tentang menambahkan Google sebagai penyedia identitas untuk kolaborasi bisnis-ke-bisnis (B2B) di penyewa lingkungan kerja. Untuk petunjuk penyewa eksternal, lihat Menambahkan Google sebagai penyedia identitas.

Dengan menyiapkan federasi dengan Google, Anda dapat mengizinkan pengguna yang diundang untuk masuk ke aplikasi dan resource bersama Anda dengan akun Gmail mereka sendiri, tanpa harus membuat akun Microsoft. Setelah menambahkan Google sebagai salah satu opsi masuk aplikasi, di halaman Masuk , pengguna dapat memasukkan alamat Gmail yang mereka gunakan untuk masuk ke Google.

Opsi masuk untuk pengguna Google

Catatan

Federasi Google dirancang khusus untuk pengguna Gmail. Untuk melakukan federasi dengan domain Google Workspace, gunakan federasi IDP SAML/WS-Fed.

Penting

  • Sejak 12 Juli 2021, jika pelanggan Microsoft Entra B2B menyiapkan integrasi Google baru untuk pendaftaran layanan mandiri atau untuk mengundang pengguna eksternal untuk aplikasi kustom atau lini bisnis, autentikasi mungkin diblokir untuk pengguna Gmail (dengan layar kesalahan yang ditampilkan di Apa yang diharapkan). Masalah ini terjadi hanya jika Anda membuat integrasi Google untuk alur pengguna pendaftaran layanan mandiri atau undangan setelah 12 Juli 2021 dan autentikasi Gmail di aplikasi kustom atau lini bisnis Anda belum dipindahkan ke tampilan web sistem. Karena tampilan web sistem diaktifkan secara default, sebagian besar aplikasi tidak terpengaruh. Untuk menghindari masalah ini, pindahkan autentikasi Gmail ke browser sistem sebelum membuat integrasi Google baru untuk pendaftaran layanan mandiri. Untuk detailnya, lihat Tindakan yang diperlukan untuk tampilan web yang disematkan.
  • Sejak 30 September 2021, Google telah menghentikan dukungan masuk tampilan web. Jika aplikasi Anda mengautentikasi pengguna dengan tampilan web yang disematkan dan Anda menggunakan federasi Google dengan Azure AD B2C atau Microsoft Entra B2B untuk undangan pengguna eksternal atau pendaftaran layanan diri, pengguna Google Gmail tidak dapat mengautentikasi. Untuk detailnya, lihat Penghentian dukungan untuk masuk menggunakan web-view.

Apa pengalaman untuk pengguna Google?

Anda dapat mengundang pengguna Google ke kolaborasi B2B dengan berbagai cara. Misalnya, Anda dapat menambahkannya ke direktori Anda melalui pusat admin Microsoft Entra. Saat menukarkan undangan Anda, pengalaman pengguna dapat bervariasi bergantung pada apakah mereka sudah masuk ke Google:

  • Pengguna tamu yang tidak masuk ke Google diminta untuk melakukannya.
  • Pengguna tamu yang sudah masuk ke Google diminta untuk memilih akun yang ingin mereka gunakan. Mereka harus memilih akun yang Anda gunakan untuk mengundang mereka.

Pengguna tamu yang melihat error "header terlalu panjang" dapat menghapus cookie mereka atau membuka jendela pribadi atau penyamaran dan mencoba masuk lagi.

Cuplikan layar yang menampilkan halaman masuk Google.

Titik akhir masuk

Pengguna tamu Google kini bisa masuk ke aplikasi multipenyewa atau aplikasi pihak pertama dari Microsoft Anda dengan menggunakan titik akhir umum (dengan kata lain, URL umum aplikasi yang tidak menyertakan konteks penyewa Anda). Selama proses masuk, pengguna tamu memilih opsi Masuk, lalu memilih Masuk ke organisasi. Pengguna kemudian mengetik nama organisasi Anda dan terus masuk menggunakan info masuk Google mereka.

Pengguna tamu Google juga dapat menggunakan titik akhir aplikasi yang menyertakan informasi penyewa Anda, misalnya:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Anda juga dapat memberi pengguna google tamu tautan langsung ke aplikasi atau resource dengan menyertakan informasi penyewa Anda, misalnya https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.

Penghentian dukungan masukan melalui tampilan web

Mulai 30 September 2021, Google menghentikan dukungan masuk tampilan web yang disematkan. Jika aplikasi Anda mengautentikasi pengguna dengan tampilan web yang disematkan dan Anda menggunakan federasi Google dengan Azure AD B2C atau Microsoft Entra B2B untuk undangan pengguna eksternal atau pendaftaran layanan mandiri, pengguna Google Gmail tidak akan dapat mengautentikasi.

Berikut ini adalah skenario yang diketahui yang memengaruhi pengguna Gmail:

  • Aplikasi Microsoft (misalnya, Teams dan Power Apps) di Windows
  • Aplikasi Windows yang menggunakan kontrol WebView , WebView2, atau kontrol WebBrowser yang lebih lama, untuk autentikasi. Aplikasi ini harus bermigrasi untuk menggunakan alur Manajer Akun Web (WAM).
  • Aplikasi Android menggunakan elemen UI WebView
  • Aplikasi iOS menggunakan UIWebView/WKWebview
  • Aplikasi yang menggunakan ADAL

Perubahan ini tidak memengaruhi:

  • Aplikasi web
  • Layanan Microsoft 365 yang diakses melalui situs web (misalnya SharePoint Online, Office aplikasi web, dan aplikasi web Teams)
  • Aplikasi seluler menggunakan tampilan web sistem untuk autentikasi (SFSafariViewController di iOS, Tab Kustom di Android).
  • Identitas Google Workspace, misalnya saat Anda menggunakan federasi berbasis SAML dengan Google Workspace
  • Aplikasi Windows yang menggunakan Web Account Manager (WAM) atau Web Authentication Broker (WAB).

Tindakan yang diperlukan untuk tampilan web yang disematkan

Ubah aplikasi Anda untuk menggunakan browser sistem untuk masuk. Untuk detailnya, lihat Tampilan web tersemat vs browser sistem di dokumentasi MSAL.NET. Semua SDK MSAL menggunakan browser sistem secara default.

Apa yang Diharapkan

Mulai 30 September, Microsoft akan secara global meluncurkan aliran masuk perangkat yang berfungsi sebagai solusi untuk aplikasi yang masih menggunakan tampilan web tertanam untuk memastikan bahwa autentikasi tidak diblokir.

Cara masuk menggunakan alur masuk perangkat

Alur masuk perangkat meminta pengguna yang masuk dengan akun Gmail dalam tampilan web tertanam untuk memasukkan kode di browser terpisah sebelum mereka dapat menyelesaikan proses masuk. Jika pengguna masuk dengan akun Gmail mereka untuk pertama kalinya tanpa sesi aktif di browser, mereka akan melihat urutan layar berikut. Jika akun Gmail yang sudah ada sudah masuk, beberapa langkah ini mungkin akan dihilangkan.

  1. Pada layar Masuk , pengguna memasukkan alamat Gmail mereka dan memilih Berikutnya.

    Cuplikan layar memperlihatkan layar masuk

  2. Layar berikut muncul, meminta pengguna untuk membuka jendela baru, menavigasi ke https://microsoft.com/devicelogin, dan memasukkan kode alfanumerik sembilan digit yang ditampilkan.

    Cuplikan layar memperlihatkan kode 9 digit

  3. Halaman masuk perangkat terbuka, di mana pengguna dapat memasukkan kode.

    Cuplikan layar memperlihatkan halaman masuk perangkat

  4. Jika kode cocok, pengguna diminta untuk memasukkan kembali email mereka untuk mengonfirmasi aplikasi mereka dan lokasi masuk untuk tujuan keamanan.

    Cuplikan layar memperlihatkan layar untuk memasukkan kembali email

  5. Pengguna masuk ke Google dengan email dan kata sandi mereka.

    Cuplikan layar yang menampilkan layar masuk Google

  6. Sekali lagi, mereka diminta untuk mengonfirmasi aplikasi yang mereka akses.

    Cuplikan layar memperlihatkan layar konfirmasi aplikasi

  7. Pengguna memilih Lanjutkan. Pesan mengonfirmasi bahwa mereka telah masuk. Pengguna menutup tab atau jendela dan dikembalikan ke layar pertama, di mana mereka sekarang masuk ke aplikasi.

    Cuplikan layar memperlihatkan konfirmasi masuk

Atau, Anda dapat meminta pengguna Gmail yang sudah ada dan baru masuk dengan kode sandi satu kali email. Agar pengguna Gmail Anda menggunakan kode sandi email satu kali:

  1. Aktifkan kode akses satu kali email.
  2. Hapus Federasi Google.
  3. Reset status penukaran pengguna Gmail Anda sehingga mereka dapat menggunakan kode sandi sekali pakai untuk email di masa mendatang.

Jika Anda ingin meminta ekstensi, pelanggan yang terkena dampak dengan ID klien OAuth yang terpengaruh harus menerima email dari Google Developers dengan informasi berikut mengenai ekstensi penegakan kebijakan satu kali, yang harus diselesaikan pada 31 Januari 2022:

  • "Jika perlu, Anda dapat meminta ekstensi penegakan kebijakan satu kali untuk tampilan web yang disematkan untuk setiap ID klien OAuth yang tercantum hingga 31 Januari 2022. Untuk kejelasan, kebijakan untuk tampilan web tertanam akan diberlakukan pada 1 Februari 2022 tanpa pengecualian atau ekstensi."

Aplikasi yang dimigrasikan ke tampilan web yang diizinkan untuk autentikasi tidak akan terpengaruh, dan pengguna akan diizinkan untuk mengautentikasi melalui Google seperti biasa.

Jika aplikasi tidak dimigrasikan ke tampilan web yang diizinkan untuk autentikasi, pengguna Gmail yang terpengaruh akan melihat layar berikut.

Kesalahan masuk Google jika aplikasi tidak dimigrasikan ke browser sistem

Membedakan antara CEF/Electron dan tampilan web yang disematkan

Selain penghentian dukungan masuk tampilan web dan kerangka kerja yang disematkan, Google juga menghentikan autentikasi Gmail berbasis Chromium Embedded Framework (CEF). Untuk aplikasi yang dibangun di CEF, seperti aplikasi Electron, Google akan menonaktifkan autentikasi pada 30 Juni 2021. Aplikasi yang terkena dampak telah menerima pemberitahuan dari Google secara langsung, dan tidak tercakup dalam dokumentasi ini. Dokumen ini berkaitan dengan tampilan web yang disematkan yang dijelaskan sebelumnya, yang akan dibatasi oleh Google pada tanggal yang berbeda pada 30 September 2021.

Tindakan diperlukan untuk kerangka kerja yang disematkan

Ikuti panduan Google untuk menentukan apakah aplikasi Anda terpengaruh.

Langkah 1: Mengonfigurasi pengembang proyek Google

Pertama, buat proyek baru di Google Developers Console untuk mendapatkan ID klien dan rahasia klien yang nantinya dapat Anda tambahkan ke ID Eksternal Microsoft Entra.

  1. Buka API Google di https://console.developers.google.com, dan masuk dengan akun Google Anda. Sebaiknya gunakan akun Google tim bersama.

  2. Terima ketentuan layanan jika Anda diminta untuk melakukannya.

  3. Buat proyek baru: Di bagian atas halaman, pilih menu proyek untuk membuka halaman Pilih proyek . Pilih Proyek Baru.

  4. Pada halaman Proyek Baru , beri nama proyek (misalnya, MyB2BApp), lalu pilih Buat:

    Cuplikan layar yang memperlihatkan halaman Proyek Baru.

  5. Buka proyek baru dengan memilih tautan di kotak pesan Pemberitahuan atau dengan menggunakan menu proyek di bagian atas halaman.

  6. Di menu sebelah kiri, pilih API & Layanan, lalu pilih layar persetujuan OAuth.

  7. Di bawah Jenis Pengguna, pilih Eksternal, lalu pilih Buat.

  8. Pada layar persetujuan OAuth, di bawah Informasi aplikasi, masukkan Nama aplikasi.

  9. Di bawah Email dukungan pengguna, pilih alamat email.

  10. Di bawah Domain resmi, pilih Tambahkan domain, lalu tambahkan microsoftonline.com domain.

  11. Di bawah Informasi kontak pengembang, masukkan alamat email.

  12. Pilih Simpan dan lanjutkan.

  13. Di menu sebelah kiri, pilih Kredensial.

  14. Pilih Buat kredensial, lalu pilih ID klien OAuth.

  15. Di menu Jenis aplikasi, pilih Aplikasi web. Beri nama yang sesuai dengan aplikasi ini, seperti Microsoft Entra B2B. Di bawah URI pengalihan resmi, tambahkan URI berikut:

    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant ID>/oauth2/authresp
      (di mana <tenant ID> adalah ID penyewa Anda)
    • https://login.microsoftonline.com/te/<tenant name>.onmicrosoft.com/oauth2/authresp
      (di mana <tenant name> adalah nama penyewa Anda)

    Catatan

    Untuk menemukan ID penyewa Anda, masuk ke pusat admin Microsoft Entra. Di bawah ID Entra, pilih Gambaran Umum dan salin ID Penyewa.

  16. Pilih Buat. Salin ID klien dan rahasia klien Anda. Anda menggunakannya saat menambahkan penyedia identitas di pusat admin Microsoft Entra.

    Cuplikan layar yang memperlihatkan ID klien OAuth dan rahasia klien.

  17. Anda dapat meninggalkan proyek Anda pada status penerbitan Pengujian dan menambahkan pengguna uji ke layar persetujuan OAuth. Atau Anda dapat memilih tombol Terbitkan aplikasi di layar persetujuan OAuth untuk membuat aplikasi tersedia untuk pengguna mana pun dengan Akun Google.

    Catatan

    Dalam beberapa kasus, aplikasi Anda mungkin memerlukan verifikasi oleh Google (misalnya, jika Anda memperbarui logo aplikasi). Untuk informasi selengkapnya, lihat Bantuan status verifikasi Google.

Langkah 2: Mengonfigurasi federasi Google di ID Eksternal Microsoft Entra

Kini Anda akan menetapkan ID klien Google dan rahasia klien. Anda dapat menggunakan pusat admin Microsoft Entra atau PowerShell untuk melakukannya. Pastikan untuk menguji konfigurasi federasi Google Anda dengan mengundang diri Anda sendiri. Gunakan alamat Gmail dan coba tukarkan undangan dengan akun Google yang Anda undang.

Untuk mengonfigurasi federasi Google di pusat admin Microsoft Entra

  1. Masuk ke pusat admin Microsoft Entra sebagai minimal seorang Administrator Penyedia Identitas Eksternal.

  2. Telusuri ke Identitas>Identitas Eksternal>Semua penyedia identitas dan kemudian pada baris Google, pilih Konfigurasi.

  3. Masukkan ID klien dan rahasia klien yang Anda peroleh sebelumnya. Pilih Simpan:

    Cuplikan layar yang menampilkan halaman Tambahkan IdP Google.

Untuk mengonfigurasi federasi Google dengan menggunakan PowerShell

  1. Instal versi terbaru modul Microsoft Graph PowerShell.

  2. Sambungkan ke penyewa Anda dengan menggunakan perintah Connect-MgGraph .

  3. Pada perintah masuk, masuk setidaknya sebagai Administrator Penyedia Identitas Eksternal.

  4. Jalankan perintah berikut:

    $params = @{
   "@odata.type" = "microsoft.graph.socialIdentityProvider"
   displayName = "Login with Google"
   identityProviderType = "Google"
   clientId = "<client ID>"
   clientSecret = "<client secret>"
}

New-MgIdentityProvider -BodyParameter $params

    Catatan

    Gunakan ID klien dan rahasia klien dari aplikasi yang Anda buat di "Langkah 1: Konfigurasikan proyek pengembang Google.". Untuk informasi selengkapnya, lihat New-MgIdentityProvider.

Tambahkan penyedia identitas Google ke alur pengguna

Pada titik ini, penyedia identitas Google disiapkan di penyewa Microsoft Entra Anda. Pengguna yang menukarkan undangan dari Anda dapat menggunakan Google untuk masuk. Namun, jika Anda telah membuat alur pendaftaran pengguna layanan mandiri, Anda juga perlu menambahkan Google ke halaman login alur pengguna Anda. Untuk menambahkan penyedia identitas Google dalam alur pengguna:

  1. Telusuri ke Entra ID>Identitas Eksternal>alur Pengguna.

  2. Pilih alur kerja pengguna di mana Anda ingin menambahkan penyedia identitas Google.

  3. Di bawah Pengaturan, pilih Penyedia identitas.

  4. Di daftar penyedia identitas, pilih Google.

  5. Pilih Simpan.

Bagaimana cara menghapus federasi Google?

Anda dapat menghapus penyiapan federasi Google Anda. Jika Anda melakukannya, pengguna tamu Google yang sudah menukarkan undangan mereka tidak dapat masuk. Tetapi Anda dapat memberi mereka akses ke sumber daya Anda lagi dengan mengatur ulang status penukarannya.

Untuk menghapus federasi Google di pusat admin Microsoft Entra

  1. Masuk ke pusat admin Microsoft Entra sebagai minimal seorang Administrator Penyedia Identitas Eksternal.

  2. Telusuri ke Entra ID>Semua penyedia identitas.

  3. Di baris Google , pilih (Dikonfigurasi), lalu pilih Hapus.

  4. Pilih Ya untuk mengonfirmasi penghapusan.

Untuk menghapus federasi Google dengan menggunakan PowerShell

  1. Instal versi terbaru modul Microsoft Graph PowerShell.

  2. Sambungkan ke penyewa Anda dengan menggunakan perintah Connect-MgGraph .

  3. Dalam perintah masuk, masuk setidaknya sebagai Administrator Penyedia Identitas Eksternal.

  4. Masukkan perintah berikut:

    Remove-MgIdentityProvider -IdentityProviderBaseId Google-OAUTH

    Catatan

    Untuk informasi selengkapnya, lihat Remove-MgIdentityProvider.

  • Last updated on