Aggiungere Google come provider di identità per utenti guest B2B

  • Articolo

Suggerimento

Questo articolo descrive l'aggiunta di Google come provider di identità per collaborazione B2B. Se il tenant è configurato per la gestione delle identità dei clienti e degli accessi, vedere Aggiungere Google come provider di identità per i clienti.

Configurando una federazione con Google, è possibile consentire agli utenti invitati di accedere alle app e alle risorse condivise con i propri account Gmail, senza dover creare account Microsoft. Dopo aver aggiunto Google come una delle opzioni di accesso dell'applicazione, nella pagina Accedi un utente può immettere l'indirizzo Gmail usato per accedere a Google.

Sign in options for Google users

Nota

Federazione Google è appositamente progettato per gli utenti di Gmail. Per eseguire la federazione con i domini di Google Workspace, usare la federazione del provider di identità SAML/WS-Fed.

Importante

  • A partire dal 12 luglio 2021, se i clienti di Microsoft Entra B2B configurano nuove integrazioni di Google per l'uso con l'iscrizione self-service o per l'invito di utenti esterni per le applicazioni personalizzate o line-of-business, l'autenticazione potrebbe essere bloccata per gli utenti Gmail (con la schermata di errore illustrata in Cosa aspettarsi). Questo problema si verifica solo se si crea l'integrazione di Google per i flussi utente di iscrizione self-service o gli inviti dopo il 12 luglio 2021 e le autenticazioni Gmail nelle applicazioni personalizzate o line-of-business non sono state spostate nelle visualizzazioni Web di sistema. Poiché le visualizzazioni Web di sistema sono abilitate per impostazione predefinita, la maggior parte delle app non sarà interessata. Per evitare il problema, consigliamo vivamente di spostare le autenticazioni Gmail nei browser di sistema prima di creare nuove integrazioni di Google per l'iscrizione self-service. Fare riferimento a Azione necessaria per le visualizzazioni Web incorporate.
  • A partire dal 30 settembre 2021, Google deprecato il supporto per l'accesso alla visualizzazione Web. Se le app autenticano gli utenti con una visualizzazione Web incorporata e si usa la federazione di Google con Azure AD B2C o Microsoft Entra B2B per gli inviti degli utenti esterni o l'iscrizione self-service, gli utenti di Google Gmail non saranno in grado di eseguire l'autenticazione. Altre informazioni.

Qual è l'esperienza per l'utente di Google?

È possibile invitare un utente Google alla collaborazione B2B in vari modi. Ad esempio, è possibile aggiungerli alla directory tramite l'interfaccia di amministrazione di Microsoft Entra. Quando riscattano l'invito, la loro esperienza varia a seconda che siano già connessi a Google:

  • Agli utenti guest che non hanno eseguito l'accesso a Google viene richiesto di farlo.
  • Agli utenti guest che hanno già eseguito l'accesso a Google viene richiesto di scegliere l'account da usare. L'utente deve scegliere l'account usato nell'invito.

Se viene visualizzato un errore di "intestazione troppo lunga", l'utente guest può cancellare i cookie o aprire una finestra InPrivate o di navigazione in incognito e provare di nuovo a eseguire l'accesso.

Screenshot that shows the Google sign-in page.

Endpoint di accesso

Gli utenti guest di Google possono ora accedere alle app multi-tenant o Microsoft proprietarie usando un endpoint comune (in altre parole, un URL generale dell'app che non include il contesto del tenant). Durante il processo di accesso, l'utente guest sceglie le opzioni di accesso e quindi seleziona Accedi a un'organizzazione. L'utente digita quindi il nome dell'organizzazione e continua l'accesso usando le credenziali di Google.

Gli utenti guest google possono anche usare endpoint applicazione che includono le informazioni sul tenant, ad esempio:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

È anche possibile concedere agli utenti guest google un collegamento diretto a un'applicazione o a una risorsa includendo le informazioni sul tenant, ad esempio https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Deprecazione del supporto per l'accesso alla visualizzazione Web

A partire dal 30 settembre 2021, Google deprecato il supporto per l'accesso alla visualizzazione Web incorporato. Se le app autenticano gli utenti con una visualizzazione Web incorporata e si usa la federazione di Google con Azure AD B2C o Microsoft Entra B2B per gli inviti degli utenti esterni o l'iscrizione self-service, gli utenti di Google Gmail non saranno in grado di eseguire l'autenticazione.

Di seguito sono riportati gli scenari noti che interessano gli utenti gmail:

  • App Microsoft (ad esempio, Teams e Power Apps) in Windows
  • App di Windows che usano il controllo WebView , WebView2 o il controllo WebBrowser precedente per l'autenticazione. Queste app devono eseguire la migrazione all'uso del flusso di Gestione account Web (WAM).
  • Applicazioni Android che usano l'elemento dell'interfaccia utente WebView
  • Applicazioni iOS che usano UIWebView/WKWebview
  • App che usano ADAL

La modifica non interessa quanto segue:

  • App Web
  • Servizi di Microsoft 365 a cui si accede tramite un sito Web (ad esempio, SharePoint Online, app Web di Office e app Web di Teams)
  • App per dispositivi mobili che usano visualizzazioni Web di sistema per l'autenticazione (SFSafariViewController in iOS, schede personalizzate in Android).
  • Identità di Google Workspace, ad esempio quando si usa la federazione basata su SAML con Google Workspace
  • App di Windows che usano Web Account Manager (WAM) o Web Authentication Broker (WAB).

Azione necessaria per le visualizzazioni Web incorporate

Modificare le app per l'uso del browser di sistema per l'accesso. Per informazioni dettagliate, vedere Visualizzazione Web incorporata e browser di sistema nella documentazione di MSAL.NET. Per impostazione predefinita, tutti gli SDK MSAL usano il browser di sistema.

Risultati previsti

A partire dal 30 settembre, Microsoft verrà distribuito a livello globale un flusso di accesso al dispositivo che funge da soluzione alternativa per le app che usano ancora visualizzazioni Web incorporate per garantire che l'autenticazione non venga bloccata.

Come accedere con il flusso di accesso del dispositivo

Il flusso di accesso del dispositivo richiede agli utenti che accedono con un account Gmail in una visualizzazione Web incorporata di immettere un codice in un browser separato prima di poter completare l'accesso. Se gli utenti accedono con il proprio account Gmail per la prima volta senza sessioni attive nel browser, visualizzano la sequenza di schermate seguente. Se un account Gmail esistente è già connesso, alcuni di questi passaggi potrebbero essere eliminati.

  1. Nella schermata Accedi l'utente immette l'indirizzo Gmail e seleziona Avanti.

    Screenshot showing the sign-in screen

  2. Viene visualizzata la schermata seguente, che richiede all'utente di aprire una nuova finestra, passare a https://microsoft.com/devicelogine immettere il codice alfanumerico di nove cifre visualizzato.

    Screenshot showing the 9-digit code

  3. Viene visualizzata la pagina di accesso del dispositivo, in cui l'utente può immettere il codice.

    Screenshot showing the device sign-in page

  4. Se i codici corrispondono, all'utente viene chiesto di immettere nuovamente il messaggio di posta elettronica per confermare l'app e la posizione di accesso a scopo di sicurezza.

    Screenshot showing the screen for reentering email

  5. L'utente accede a Google con la posta elettronica e la password.

    Screenshot showing the Google sign-in screen

  6. Ancora una volta, viene chiesto di confermare l'accesso all'app.

    Screenshot showing application confirmation screen

  7. L'utente seleziona Continua. Viene visualizzata una richiesta di conferma dell'accesso. L'utente chiude la scheda o la finestra e viene restituita alla prima schermata, in cui è stato eseguito l'accesso all'app.

    Screenshot showing sign-in confirmation

In alternativa, è possibile che gli utenti di Gmail esistenti e nuovi eseseguono l'accesso con passcode monouso tramite posta elettronica. Per fare in modo che gli utenti di Gmail usino il passcode monouso tramite posta elettronica:

  1. Abilitare il passcode monouso tramite posta elettronica.
  2. Rimuovere La federazione google.
  3. Reimpostare lo stato di riscatto degli utenti gmail in modo che possano usare il passcode monouso tramite posta elettronica in futuro.

Se si vuole richiedere un'estensione, i clienti interessati con ID client OAuth interessati devono aver ricevuto un messaggio di posta elettronica da Google Developers con le informazioni seguenti relative a un'estensione di imposizione dei criteri monouso, che deve essere completata entro il 31 gennaio 2022:

  • "Se necessario, è possibile richiedere un'estensione di imposizione dei criteri una tantum per le visualizzazioni Web incorporate per ogni ID client OAuth elencato fino al 31 gennaio 2022. Per maggiore chiarezza, i criteri per le visualizzazioni Web incorporate verranno applicati il 1° febbraio 2022 senza eccezioni o estensioni".

Le applicazioni di cui viene eseguita la migrazione a una visualizzazione Web consentita per l'autenticazione non saranno interessate e gli utenti potranno eseguire l'autenticazione tramite Google come di consueto.

Se non viene eseguita la migrazione delle applicazioni a una visualizzazione Web consentita per l'autenticazione, gli utenti gmail interessati visualizzano la schermata seguente.

Google sign-in error if apps are not migrated to system browsers

Distinguere tra CEF/Electron e visualizzazioni Web incorporate

Oltre alla deprecazione del supporto per l'accesso a Web e framework incorporati, Google depreca anche l'autenticazione basata su Chromium Embedded Framework (CEF). Per le applicazioni basate su CEF, ad esempio le app Electron, Google disabiliterà l'autenticazione il 30 giugno 2021. Le applicazioni interessate hanno ricevuto un avviso direttamente da Google e non sono trattate in questa documentazione. Questo documento riguarda le visualizzazioni Web incorporate descritte in precedenza, che Google limiterà a una data separata il 30 settembre 2021.

Azione necessaria per i framework incorporati

Consultare il materiale sussidiario di Google per stabilire se le app in uso sono interessate dalla modifica.

Passaggio 1: Configurare un progetto di Google Developers

Creare prima di tutto un nuovo progetto in Google Developers Console per ottenere un ID client e un segreto client che è possibile aggiungere successivamente a Microsoft Entra per ID esterno.

  1. Passare alle API di Google all'indirizzo https://console.developers.google.com e accedere con l'account Google. È consigliabile usare l'account condiviso di un team Google.

  2. Se richiesto, accettare le condizioni d'uso.

  3. Crea un nuovo progetto: nella parte superiore della pagina selezionare il menu del progetto per aprire la pagina Seleziona un progetto . Scegliere Nuovo progetto.

  4. Nella pagina Nuovo progetto assegnare un nome al progetto ( ad esempio , MyB2BApp) e quindi selezionare Crea:

    Screenshot that shows a New Project page.

  5. Aprire il nuovo progetto selezionando il collegamento nella finestra di messaggio Notifiche o usando il menu del progetto nella parte superiore della pagina.

  6. Nel menu a sinistra selezionare API e servizi e quindi selezionare la schermata di consenso OAuth.

  7. In Tipo utente selezionare Esterno e quindi crea.

  8. Nella schermata di consenso OAuth immettere un nome app in Informazioni sull'app.

  9. In Indirizzo di posta elettronica supporto utenti selezionare un indirizzo di posta elettronica.

  10. In Domini autorizzati selezionare Aggiungi dominio e quindi aggiungere il microsoftonline.com dominio.

  11. In Informazioni di contatto per gli sviluppatori immettere un indirizzo di posta elettronica.

  12. Selezionare Salva e continua.

  13. Nel menu a sinistra selezionare Credenziali.

  14. Selezionare Create credentials (Crea credenziali) e quindi OAuth client ID (ID client OAuth).

  15. Nel menu Tipo di applicazione selezionare Applicazione Web. Assegnare all'applicazione un nome appropriato, ad esempio Microsoft Entra B2B. In URI di reindirizzamento autorizzati aggiungere gli URI seguenti:

    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant ID>/oauth2/authresp
      (dove <tenant ID> è l'ID tenant)
    • https://login.microsoftonline.com/te/<tenant name>.onmicrosoft.com/oauth2/authresp
      (dove <tenant name> è il nome del tenant)

    Nota

    Per trovare l'ID tenant, accedere all'interfaccia di amministrazione di Microsoft Entra. In Identità selezionare Panoramica e copiare l'ID tenant.

  16. Seleziona Crea. Copiare l'ID client e il segreto client. È possibile usarli quando si aggiunge il provider di identità nell'interfaccia di amministrazione di Microsoft Entra.

    Screenshot that shows the OAuth client ID and client secret.

  17. È possibile lasciare il progetto in stato di pubblicazione Test e aggiungere utenti di test alla schermata di consenso OAuth. In alternativa, è possibile selezionare il pulsante Pubblica app nella schermata di consenso OAuth per rendere l'app disponibile a qualsiasi utente con un account Google.

    Nota

    In alcuni casi, l'app potrebbe richiedere la verifica da Parte di Google(ad esempio, se aggiorni il logo dell'applicazione). Per altre informazioni, vedi la Guida sullo stato di verifica di Google.

Passaggio 2: Configurare la federazione di Google in Microsoft Entra per ID esterno

Ora è possibile impostare l'ID client e il segreto client di Google. A tale scopo, è possibile usare l'interfaccia di amministrazione di Microsoft Entra o PowerShell. È consigliabile testare la configurazione della federazione con Google invitando se stessi. Usare un indirizzo Gmail e provare a riscattare l'invito con l'account Google invitato.

Per configurare la federazione di Google nell'interfaccia di amministrazione di Microsoft Entra

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del provider di identità esterno.

  2. Passare a Identità>esterne Identità>Tutti i provider di identità e quindi selezionare il pulsante Google.

  3. Immettere l'ID client e il segreto client ottenuti in precedenza. Selezionare Salva:

    Screenshot that shows the Add Google identity provider page.

Per configurare la federazione di Google tramite PowerShell

  1. Installare la versione più recente del modulo Microsoft Graph PowerShell.

  2. Connessione al tenant usando il comando Connessione-MgGraph.

  3. Al prompt di accesso, accedere con l'account di amministratore globale gestito.

  4. Eseguire i comandi seguenti:

    $params = @{
   "@odata.type" = "microsoft.graph.socialIdentityProvider"
   displayName = "Login with Google"
   identityProviderType = "Google"
   clientId = "<client ID>"
   clientSecret = "<client secret>"
}

New-MgIdentityProvider -BodyParameter $params

    Nota

    Usare l'ID client e il segreto client dell'app creata in "Passaggio 1: Configurare un progetto per sviluppatori Google". Per altre informazioni, vedere New-MgIdentityProvider.

Aggiungere un provider di identità Google a un flusso utente

A questo punto, il provider di identità Google è configurato nel tenant di Microsoft Entra. Gli utenti che riscattino gli inviti da voi possono usare Google per accedere. Tuttavia, se sono stati creati flussi utente di iscrizione self-service, è anche necessario aggiungere Google alle pagine di accesso del flusso utente. Per aggiungere il provider di identità Google a un flusso utente:

  1. Passare a Identità>esterne Flussi> utente.

  2. Selezionare il flusso utente in cui si vuole aggiungere il provider di identità Google.

  3. In Impostazioni selezionare Provider di identità.

  4. Nell'elenco dei provider di identità selezionare Google.

  5. Seleziona Salva.

Come si rimuove la federazione con Google?

È possibile rimuovere la configurazione della federazione con Google. In tal caso, gli utenti guest google che hanno già riscattato l'invito non possono accedere. Tuttavia, è possibile concedere loro di nuovo l'accesso alle risorse reimpostando lo stato di riscatto.

Per eliminare la federazione di Google nell'interfaccia di amministrazione di Microsoft Entra

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del provider di identità esterno.

  2. Passare a Identità>esterne Tutti>i provider di identità.

  3. Nella riga Google selezionare il pulsante con i puntini di sospensione (...), quindi selezionare Elimina.

    Screenshot that shows the Delete button for the social identity provider.

  4. Selezionare per confermare l'eliminazione.

Per eliminare la federazione di Google tramite PowerShell

  1. Installare la versione più recente del modulo Microsoft Graph PowerShell.

  2. Connessione al tenant usando il comando Connessione-MgGraph.

  3. Nella richiesta di accesso accedere con l'account amministratore globale gestito.

  4. Immettere il comando seguente:

    Remove-MgIdentityProvider -IdentityProviderBaseId Google-OAUTH

    Nota

    Per altre informazioni, vedere Remove-MgIdentityProvider.