Condividi tramite

Aggiungere Google come provider di identità per utenti guest B2B

  • Articolo

Si applica a: Cerchio verde con segno di spunta bianco. Tenant delle risorse Cerchio bianco con simbolo X grigio. Tenant esterni (altre informazioni)

Suggerimento

Questo articolo descrive l'aggiunta di Google come provider di identità per la collaborazione B2B nei tenant delle risorse. Per le istruzioni sui tenant esterni, consultare la sezione Aggiungere Google come provider di identità.

Configurando una federazione con Google, è possibile consentire agli utenti invitati di accedere alle app e alle risorse condivise con i propri account Gmail, senza dover creare account Microsoft. Dopo aver aggiunto Google come opzione per l'accesso all'applicazione, nella pagina Accedi gli utenti potranno inserire l'indirizzo di Gmail che utilizzano per accedere a Google.

Opzioni di accesso per gli utenti di Google

Nota

Federazione Google è appositamente progettato per gli utenti di Gmail. Per federarsi con i domini di Google Workspace, utilizzare l'opzione Federazione provider di identità SAML/WS-Fed.

Importante

  • dal 12 luglio 2021, se i clienti di Microsoft Entra B2B impostano nuove integrazioni di Google da utilizzare con la registrazione self-service o per invitare utenti esterni per le loro applicazioni personalizzate o aziendali, l'autenticazione potrebbe essere bloccata per gli utenti di Google (con la schermata di errore mostrata nella sezione Cosa aspettarsi). Questo problema si verifica solo se si crea l'integrazione di Google per i flussi utente di registrazione self service o inviti dopo il 12 luglio 2021 e le autenticazioni di Gmail nelle proprie applicazioni personalizzate o aziendali non sono state spostate nelle web-view del sistema. Poiché le web-view del sistema sono abilitate per impostazione predefinita, la maggior parte delle app non ne risentirà. Per evitare questo problema consigliamo vivamente di spostare le autenticazioni di Gmail sui browser di sistema prima di creare nuove integrazioni di Google per la registrazione self-service. Fare riferimento a Azione necessaria per le web-view incorporate.
  • Dal 30 settembre 2021, Google sta dismettendo il supporto per l'accesso con le web-view. Se le tue app autenticano gli utenti con una web-view incorporata e utilizzi la federazione di Google con Azure AD B2C o Microsoft Entra B2B per gli inviti degli utenti esterni o la registrazione self-service, gli utenti di Gmail non potranno autenticarsi. Altre informazioni.

Qual è l'esperienza per l'utente di Google?

È possibile invitare un utente di Google alla collaborazione B2B in vari modi. Ad esempio, lo si può aggiungere alla propria directory tramite l'interfaccia di amministrazione di Microsoft Entra. Quando l'utente riscatta l'invito, la sua esperienza cambia in base al fatto che abbiano già eseguito l'accesso a Google:

  • Agli utenti ospiti che non hanno eseguito l'accesso a Google viene chiesto di accedere.
  • Agli utenti ospiti che hanno già eseguito l'accesso a Google viene chiesto di scegliere l'account da usare. L'utente deve scegliere l'account usato nell'invito.

Se viene visualizzato un errore di "intestazione troppo lunga", l'utente guest può cancellare i cookie o aprire una finestra InPrivate o di navigazione in incognito e provare di nuovo a eseguire l'accesso.

Screenshot che mostra la pagina di accesso a Google.

Endpoint di accesso

Gli utenti ospiti di Google ora possono accedere alle tue app multi-tenant o di Microsoft endpoint comune (in altre parole, l'URL generale di un app che non include il contesto del tenant). Durante l'accesso l'utente ospite sceglie Opzioni di accesso, quindi seleziona Accedi a un'organizzazione. L'utente digita quindi il nome della tua organizzazione e continua ad accedere con le proprie credenziali Google.

Gli utenti ospiti di Google possono anche usare gli endpoint delle applicazioni contenenti le informazioni sul tenant, ad esempio:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

È anche possibile fornire agli utenti ospiti di Google un link diretto a un'applicazione o a una risorsa inserendo le informazioni del tenant, ad esempio https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.

Dismissione del supporto per l'accesso con web-view

Dal 30 settembre 2021, Google sta dismettendo il supporto per l'accesso con web-view incorporata. Se le tue app autenticano gli utenti con una web-view incorporata e utilizzi la federazione di Google con Azure AD B2C o Microsoft Entra B2B per gli inviti degli utenti esterni o la registrazione self-service, gli utenti di Gmail non potranno autenticarsi.

Le seguenti sono situazioni note che interessano gli utenti Gmail:

  • App di Microsoft (ad esempio Teams e Power Apps) in Windows
  • App in Windows che per l'autenticazione utilizzano il controllo WebView, WebView2 o il vecchio WebBrowser. Queste app devono eseguire la migrazione all'uso del flusso di Gestione account Web (WAM).
  • Applicazioni di Android che utilizzano l'elemento dell'interfaccia utente WebView
  • Applicazioni di iOS che utilizzano UIWebView/WKWebview
  • App che utilizzano ADAL

La modifica non interessa:

  • App Web
  • Servizi di Microsoft 365 a cui si accede tramite un sito Web (ad esempio, SharePoint Online, app Web di Office e app Web di Teams)
  • App per dispositivi mobili che utilizzano le web-view web di sistema per l'autenticazione (SFSafariViewController in iOS, schede personalizzate in Android).
  • Identità di Google Workspace, ad esempio quando si utilizza la federazione basata su SAML con Google Workspace
  • App di Windows che usano Web Account Manager (WAM) o Web Authentication Broker (WAB).

Azione necessaria per le web-view incorporate

Modificare le app per l'uso del browser di sistema per l'accesso. Per i dettagli, consultare la sezione Web-view incorporate a confronto con il browser di sistema nella documentazione di MSAL.NET. Tutti gli SDK MSAL usano il browser di sistema per impostazione predefinita.

Risultati previsti

Dal 30 settembre Microsoft implementerà a livello globale un flusso di accesso al dispositivo che costituisce una soluzione alternativa per le app che usano ancora le web-view incorporate, per evitare che l'autenticazione venga bloccata.

Come accedere con il flusso di accesso al dispositivo

Il flusso di accesso al dispositivo richiede agli utenti che accedono con un account Gmail in una web-view incorporata di inserire un codice in un browser separato per completare l'accesso. Se gli utenti accedono per la prima volta con il proprio account Gmail senza sessioni attive nel browser, viene visualizzata la seguente sequenza di schermate. Se è già connesso un account Gmail esistente, alcuni di questi passaggi potrebbero essere eliminati.

  1. Nella schermata di accesso, l'utente inserisce il proprio indirizzo Gmail e seleziona Avanti.

    Screenshot che mostra la schermata di accesso

  2. Viene visualizzata la seguente schermata, che richiede all'utente di aprire una nuova finestra, passare a https://microsoft.com/devicelogin e inserire il codice alfanumerico a nove cifre visualizzato.

    Screenshot che mostra il codice a 9 cifre

  3. Si apre la pagina di accesso al dispositivo, dove l'utente può inserire il codice.

    Screenshot che mostra la pagina di accesso del dispositivo

  4. Se i codici corrispondono viene chiesto all'utente di reinserire la propria e-mail per confermare l'app e la posizione di accesso, per motivi di sicurezza.

    Screenshot che mostra la schermata per il reinserimento dell'e-mail

  5. L'utente accede a Google con la propria e-mail e la propria password.

    Screenshot che mostra la schermata di accesso a Google

  6. Ancora una volta viene chiesto di confermare l'app a cui sta accedendo.

    Screenshot che mostra la schermata di conferma dell'applicazione

  7. L'utente seleziona Continua. Un messaggio conferma che l'accesso è stato eseguito. L'utente chiude la scheda o la finestra e torna alla prima schermata, dove ora ha eseguito l'accesso all'app.

    Screenshot che mostra la conferma dell'accesso

In alternativa si può fare in modo che gli utenti di Gmail esistenti e nuovi accedano con il codice di accesso monouso via e-mail. Affinché gli utenti di Gmail utilizzino il codice di accesso monouso via e-mail:

  1. Abilitare il codice di accesso monouso via e-mail.
  2. Rimuovere la federazione di Google.
  3. Reimpostare lo stato del riscatto degli utenti di Gmail in modo che in futuro possano usare il codice di accesso monouso via e-mail.

Se desideri richiedere un'estensione, i clienti coinvolti con ID del client OAuth dovrebbero aver ricevuto un'email dagli sviluppatori di Google con le seguenti informazioni riguardanti un'estensione una-tantum per l'applicazione delle norme, da completare entro il 31 gennaio 2022:

  • "Se necessario è possibile richiedere un'estensione una tantum per l'applicazione delle norme per le web-view incorporate per ciascun ID del client OAuth elencato, fino al 31 gennaio 2022. Per chiarezza, le norme relative alle web-view integrate entreranno in vigore il 1° febbraio 2022 senza eccezioni né estensioni."

Le applicazioni migrate a una web-view consentita per l'autenticazione non saranno interessate e gli utenti potranno eseguire l'autenticazione tramite Google come di consueto.

Se le applicazioni non vengono migrate a una visualizzazione web consentita per l'autenticazione, agli utenti di Gmail interessati apparirà la seguente schermata.

Errore di accesso a Google se le app non vengono migrate ai browser di sistema

Distinzione tra CEF/Electron e web-view incorporate

Oltre alla dismissione del supporto per l'accesso tramite web-view incorporate e framework, Google sta anche dismettendo l'autenticazione con Gmail basata su Chromium Embedded Framework (CEF). Per le applicazioni basate su CEF, come le app Electron, Google disabiliterà l'autenticazione il 30 giugno 2021. Le applicazioni interessate hanno ricevuto una notifica direttamente da Google e non sono interessate dalla presente documentazione. Questo documento riguarda le web-view incorporate descritte in precedenza, che Google escluderà in un'altra occasione, il 30 settembre 2021.

Azione necessaria per i framework incorporati

Consultare il materiale sussidiario di Google per stabilire se le app in uso sono interessate dalla modifica.

Passaggio 1: Configurare un progetto di Google Developers

Innanzitutto occorre creare un nuovo progetto nella Google Developers Console per ottenere un ID del client e un segreto del client da aggiungere successivamente a Microsoft Entra External ID.

  1. Passare alle API di Google all'indirizzo https://console.developers.google.com e accedere con l'account Google. È consigliabile usare l'account condiviso di un team Google.

  2. Se richiesto, accettare le condizioni d'uso.

  3. Creare un nuovo progetto: Nella parte superiore della pagina, selezionare il menu del progetto per accedere alla pagina Selezionare un progetto. Scegliere Nuovo progetto.

  4. Nella pagina Nuovo progetto, assegnare un nome al progetto (ad esempio, MyB2BApp), quindi selezionare Crea:

    Screenshot che mostra la pagina Nuovo progetto.

  5. Aprire il nuovo progetto selezionando il link nella casella dei messaggi Notifiche o usando il menu del progetto nella parte superiore della pagina.

  6. Nel menu a sinistra, selezionare API e servizi, quindi selezionare Schermata di consenso OAuth.

  7. In Tipo di utente, selezionare Esterno, quindi selezionare Crea.

  8. Nella Schermata di consenso OAuth, in Informazioni sull'app, inserire il Nome dell'app.

  9. In E-mail assistenza utente, selezionare un indirizzo e-mail.

  10. In Domini autorizzati, selezionare Aggiungi dominio, quindi aggiungere il dominio microsoftonline.com.

  11. In Dati di contatto dello sviluppatore, inserire un indirizzo e-mail.

  12. Selezionare Salva e continua.

  13. Nel menu a sinistra, selezionare Credenziali.

  14. Selezionare Crea credenziali, quindi ID del client OAuth.

  15. Nel menu Tipo di applicazione, selezionare Applicazione web. Assegnare un nome all'applicazione, ad esempio Microsoft Entra B2B. In URI di reindirizzamento autorizzati, aggiungere i seguenti URI:

    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant ID>/oauth2/authresp
      (dove <tenant ID> è l'ID del proprio tenant)
    • https://login.microsoftonline.com/te/<tenant name>.onmicrosoft.com/oauth2/authresp
      (dove <tenant name> è il nome del proprio tenant)

    Nota

    Per trovare l'ID del tenant, accedere all'interfaccia di amministrazione di Microsoft Entra. In Identità, selezionare Panoramica e copiare l'ID del tenant .

  16. Seleziona Crea. Copiare l'ID del client e il segreto del client. Si utilizzano per aggiungere il provider di identità nell'interfaccia di amministrazione di Microsoft Entra.

    Screenshot che mostra l'ID del client OAuth e il segreto del client.

  17. È possibile lasciare il progetto nello stato di pubblicazione di In fase di test e aggiungere utenti di test alla schermata di consenso di OAuth. In alternativa si può selezionare il pulsante Pubblica app nella schermata di consenso di OAuth per rendere l'app disponibile a qualsiasi utente che abbia un account di Google.

    Nota

    In alcuni casi l'app potrebbe richiedere la verifica da parte di Google (ad esempio, se si aggiorna il logo dell'applicazione). Per ulteriori informazioni, consultare la Guida agli stati di verifica di Google.

Fase 2: Configura la federazione di Google in Microsoft Entra External ID

Ora è possibile impostare l'ID client e il segreto client di Google. Per farlo è possibile utilizzare l'interfaccia di amministrazione di Microsoft Entra o PowerShell. È consigliabile testare la configurazione della federazione con Google invitando se stessi. Usare un indirizzo Gmail e provare a riscattare l'invito con l'account Google invitato.

Per configurare la federazione di Google nell'interfaccia di amministrazione di Microsoft Entra

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di un provider di identità esterno.

  2. Passare a Identità>Identità esterne>Tutti i provider di identità, quindi sulla riga Google, selezionare Configura.

  3. Immettere l'ID client e il segreto client ottenuti in precedenza. Selezionare Salva:

    Screenshot che mostra la pagina Aggiungere Google come provider di identità.

Per configurare la federazione di Google utilizzando PowerShell

  1. Installare la versione più recente del modulo Microsoft Graph PowerShell.

  2. Connettersi al proprio tenant utilizzando il comando Connect-MgGraph.

  3. Alla richiesta di accesso, accedere almeno come Amministratore dei provider di identità esterni.

  4. Eseguire i comandi seguenti:

    $params = @{
   "@odata.type" = "microsoft.graph.socialIdentityProvider"
   displayName = "Login with Google"
   identityProviderType = "Google"
   clientId = "<client ID>"
   clientSecret = "<client secret>"
}

New-MgIdentityProvider -BodyParameter $params

    Nota

    Utilizzare l'ID del client e il segreto del client dell'app creata nella "Fase 1: Configurare un progetto di sviluppo di Google." Per ulteriori informazioni, consultare la sezione New-MgIdentityProvider.

Aggiungere un provider di identità di Google a un flusso utente

A questo punto, il provider di identità di Google viene configurato nel tenant di Microsoft Entra. Gli utenti che riscattano gli inviti possono accedere usando Google. Tuttavia, se sono stati creati dei flussi utente con registrazione self-service, è necessario anche aggiungere Google alle pagine di accesso del flusso utente. Per aggiungere un provider di identità di Google a un flusso utente:

  1. Passare a Identità>Identità esterne>Flussi utente.

  2. Selezionare il flusso utente al quale aggiungere il provider di identità di Google.

  3. Nella sezione Impostazioni, selezionare Provider di identità.

  4. Nell'elenco dei provider di identità, selezionare Google.

  5. Seleziona Salva.

Come si rimuove la federazione con Google?

È possibile rimuovere la configurazione della federazione con Google. Così facendo gli utenti ospiti di Google che hanno già riscattato l'invito non possono accedere. È però possibile ripristinare il loro accesso alle proprie risorse reimpostando il loro stato di riscatto.

Per eliminare la federazione di Google nell'interfaccia di amministrazione di Microsoft Entra

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di un provider di identità esterno.

  2. Passare a Identità>Identità esterne>Tutti i provider di identità.

  3. Alla riga Google, selezionare (Configurato), quindi selezionare Elimina.

  4. Selezionare per confermare l'eliminazione.

Per eliminare la federazione di Google utilizzando PowerShell

  1. Installare la versione più recente del modulo Microsoft Graph PowerShell.

  2. Connettersi al proprio tenant utilizzando il comando Connect-MgGraph.

  3. Alla richiesta di accesso, accedere almeno come Amministratore dei provider di identità esterni.

  4. Immettere il comando seguente:

    Remove-MgIdentityProvider -IdentityProviderBaseId Google-OAUTH

    Nota

    Per ulteriori informazioni, consultare la sezione Remove-MgIdentityProvider.