適用対象: 
従業員テナント緑 
外部テナント (詳細)
Google とのフェデレーションを設定することで、顧客が自分自身の Google アカウントを使用してアプリケーションにサインインできるようにします。 ユーザー フローのサインイン オプションの 1 つとして Google を追加すると、顧客は Google アカウントを使用してアプリケーションにサインアップしてサインインできます。 ( 顧客向けの認証方法と ID プロバイダーの詳細については、こちらを参照してください)。
ヒント
この機能を試すには、Woodgrove Groceries のデモにアクセスし、"ソーシャル アカウントでサインインする" ユース ケースを開始します。
前提条件
Google アプリケーションを作成する
Google アカウントで顧客のサインインを有効にするには、 Google Developers Console でアプリケーションを作成する必要があります。 詳細については、「 OAuth 2.0 の設定」を参照してください。 まだ Google アカウントを持っていない場合は、https://accounts.google.com/signup でサインアップできます。
Google アカウントの資格情報を使用して Google デベロッパー コンソール にサインインします。
サービスの使用条件への同意を求めるメッセージが表示されたらそのようにします。
ページの左上隅で、プロジェクトの一覧を選択し、[ 新しいプロジェクト] を選択します。
プロジェクト名を入力し、[作成] を選択します。
画面左上にあるプロジェクト ドロップダウンを選択して、新しいプロジェクトを使用していることを確認します。 名前でプロジェクトを選択し、[ 開く] を選択します。
クイック アクセスまたは左側のメニューで、API とサービスを選択し、OAuth 同意画面を選択します。
[ユーザーの種類] で [外部] を選択し、[作成] を選択します。
OAuth 同意画面の アプリ情報セクション
- アプリケーションの 名前 を入力します。
- ユーザー サポートの電子メール アドレスを選択します。
[ 承認済みドメイン ] セクションで、[ ドメインの追加] を選択し、
ciamlogin.comとmicrosoftonline.comを追加します。[ 開発者の連絡先情報 ] セクションに、プロジェクトの変更について通知する Google のメールアドレスをコンマで区切って入力します。
[ 保存して続行] を選択します。
左側のメニューから [資格情報] を選択 します
[ 資格情報の作成] を選択し、[ OAuth クライアント ID] を選択します。
[ アプリケーションの種類] で、[ Web アプリケーション] を選択します。
- アプリケーションに適した 名前 ("Microsoft Entra External ID" など) を入力します。
-
[有効な OAuth リダイレクト URI] に、次の URI を入力します。
<tenant-ID>を自分の顧客ディレクトリ (テナント) ID に、<tenant-subdomain>を自分の顧客ディレクトリ (テナント) サブドメインに置き換えます。 テナント名がない場合は、 テナントの詳細を読み取る方法について説明します。
https://login.microsoftonline.comhttps://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresphttps://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresphttps://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.comhttps://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.comhttps://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2
[作成]を選択します。
クライアント ID とクライアント シークレットの値を記録します。 テナントで Google を ID プロバイダーとして構成するには、両方の値が必要です。
メモ
場合によっては、アプリで Google による確認が必要になる場合があります (たとえば、アプリケーションのロゴを更新した場合)。 詳細については、 Google の確認ステータスの GUID を確認してください。
Microsoft Entra 外部 IDで Google フェデレーションを構成する
Google アプリケーションを作成した後、この手順では、Microsoft Entra ID で Google クライアント ID とクライアント シークレットを設定します。 これを行うには、Microsoft Entra 管理センターまたは PowerShell を使用できます。 Microsoft Entra 管理センターで Google フェデレーションを構成するには、次の手順に従います。
Microsoft Entra 管理センターにサインインします。
Entra ID>External アイデンティティ>すべてのIDプロバイダーを参照してください。
[ 組み込み ] タブの [Google] の横にある [ 構成] を選択します。
名前を入力します。 たとえば、 Google などです。
[クライアント ID] に、先ほど作成した Google アプリケーションのクライアント ID を入力します。
クライアント シークレットの場合は、記録したクライアント シークレットを入力します。
[保存] を選択します。
PowerShell を使用して Google フェデレーションを構成するには、次の手順に従います。
最新バージョンの Microsoft Graph PowerShell for Graph モジュールをインストールします。
次のコマンドを実行します。
Connect-MgGraphサインイン プロンプトで、少なくとも 外部 ID プロバイダー管理者としてサインインします。
次のコマンドを実行します。
Import-Module Microsoft.Graph.Identity.SignIns $params = @{ "@odata.type" = "microsoft.graph.socialIdentityProvider" displayName = "Login with Google" identityProviderType = "Google" clientId = "00001111-aaaa-2222-bbbb-3333cccc4444" clientSecret = "000000000000" } New-MgIdentityProvider -BodyParameter $params
Google アプリケーションの作成手順で作成したアプリのクライアント ID とクライアント シークレットを使用します。
ユーザー フローに Google ID プロバイダーを追加する
この時点では、Google ID プロバイダーは Microsoft Entra ID で設定されていますが、サインイン ページではまだ使用できません。 Google ID プロバイダーをユーザー フローに追加するには、次のようにします。
外部テナントで、 Entra ID>外部アイデンティティ>ユーザー フローを参照します。
Google ID プロバイダーを追加するユーザー フローを選択します。
[設定] で、[ ID プロバイダー] を選択します。
[ その他の ID プロバイダー] で [Google] を選択 します。
[保存] を選択します。