Adicionar o Google como um provedor de identidade para usuários convidados B2B

Gorjeta

Este artigo descreve a adição do Google como um provedor de identidade para colaboração B2B. Se o seu inquilino estiver configurado para a gestão de acesso e identidade do cliente, consulte Adicionar o Google como fornecedor de identidade para clientes.

Ao configurar a federação com a Google, pode permitir que os utilizadores convidados iniciem sessão nas suas aplicações e recursos partilhados com as suas próprias contas do Gmail, sem terem de criar contas Microsoft. Depois de adicionar o Google como uma das opções de início de sessão da sua aplicação, na página Iniciar sessão , um utilizador pode introduzir o endereço do Gmail que utiliza para iniciar sessão no Google.

Nota

A federação do Google foi projetada especificamente para usuários do Gmail. Para federar com domínios do Google Workspace, use a federação de provedores de identidade SAML/WS-Fed.

Importante

• A partir de 12 de julho de 2021, se os clientes do Microsoft Entra B2B configurarem novas integrações do Google para uso com inscrição de autoatendimento ou para convidar usuários externos para seus aplicativos personalizados ou de linha de negócios, a autenticação poderá ser bloqueada para usuários do Gmail (com a tela de erro mostrada em O que esperar). Esse problema ocorre somente se você criar a integração do Google para fluxos de usuários ou convites de inscrição de autoatendimento após 12 de julho de 2021 e as autenticações do Gmail em seus aplicativos personalizados ou de linha de negócios não tiverem sido movidas para visualizações da Web do sistema. Como as visualizações da Web do sistema são habilitadas por padrão, a maioria dos aplicativos não será afetada. Para evitar o problema, recomendamos que você mova as autenticações do Gmail para os navegadores do sistema antes de criar novas integrações do Google para inscrição de autoatendimento. Consulte Ação necessária para visualizações da Web incorporadas.
• A partir de 30 de setembro de 2021, o Google está desativando o suporte ao login na visualização da Web. Se seus aplicativos autenticarem usuários com uma visualização da Web incorporada e você estiver usando a federação do Google com o Azure AD B2C ou o Microsoft Entra B2B para convites de usuários externos ou inscrição de autoatendimento, os usuários do Google Gmail não poderão se autenticar. Mais informações.

Qual é a experiência para o usuário do Google?

Você pode convidar um usuário do Google para a colaboração B2B de várias maneiras. Por exemplo, você pode adicioná-los ao seu diretório através do centro de administração do Microsoft Entra. Quando resgatam o convite, a experiência varia consoante já tenham sessão iniciada no Google:

• Os utilizadores convidados que não têm sessão iniciada no Google são solicitados a fazê-lo.
• Os usuários convidados que já estão conectados ao Google são solicitados a escolher a conta que desejam usar. Eles devem escolher a conta que você usou para convidá-los.

Os utilizadores convidados que virem um erro "cabeçalho demasiado longo" podem limpar os cookies ou abrir uma janela privada ou anónima e tentar iniciar sessão novamente.

Pontos finais de início de sessão

Agora, os usuários convidados do Google podem fazer login em seus aplicativos multilocatários ou primários da Microsoft usando um ponto de extremidade comum (em outras palavras, um URL geral do aplicativo que não inclui o contexto do locatário). Durante o processo de início de sessão, o utilizador convidado escolhe Opções de início de sessão e, em seguida, seleciona Iniciar sessão numa organização. Em seguida, o usuário digita o nome da sua organização e continua fazendo login usando suas credenciais do Google.

Os usuários convidados do Google também podem usar pontos de extremidade do aplicativo que incluem suas informações de locatário, por exemplo:

• https://myapps.microsoft.com/?tenantid=<your tenant ID>
• https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
• https://portal.azure.com/<your tenant ID>

Você também pode fornecer aos usuários convidados do Google um link direto para um aplicativo ou recurso incluindo suas informações de locatário, por exemplo https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Descontinuação do suporte de entrada na visualização da Web

A partir de 30 de setembro de 2021, o Google está desativando o suporte de login incorporado à visualização da Web. Se seus aplicativos autenticarem usuários com uma visualização da Web incorporada e você estiver usando a federação do Google com o Azure AD B2C ou o Microsoft Entra B2B para convites de usuários externos ou inscrição de autoatendimento, os usuários do Google Gmail não poderão se autenticar.

A seguir estão os cenários conhecidos que afetam os usuários do Gmail:

• Aplicações Microsoft (por exemplo, Teams e Power Apps) no Windows
• Aplicativos do Windows que usam o controle WebView , WebView2 ou o controle WebBrowser mais antigo, para autenticação. Esses aplicativos devem migrar para usar o fluxo do Gerenciador de Contas da Web (WAM).
• Aplicativos Android usando o elemento WebView UI
• Aplicativos iOS usando UIWebView/WKWebview
• Aplicações que utilizam a ADAL

Esta alteração não afeta:

• Web Apps
• Serviços do Microsoft 365 que são acessados por meio de um site (por exemplo, SharePoint Online, aplicativos Web do Office e aplicativo Web do Teams)
• Aplicativos móveis usando visualizações da Web do sistema para autenticação (SFSafariViewController no iOS, guias personalizadas no Android).
• Identidades do Google Workspace, por exemplo, quando você usa federação baseada em SAML com o Google Workspace
• Aplicativos do Windows que usam o Gerenciador de Contas da Web (WAM) ou o Agente de Autenticação da Web (WAB).

Ação necessária para visualizações da Web incorporadas

Modifique seus aplicativos para usar o navegador do sistema para entrar. Para obter detalhes, consulte Embedded web view vs system browser na documentação do MSAL.NET. Todos os SDKs MSAL usam o navegador do sistema por padrão.

O que esperar

A partir de 30 de setembro, a Microsoft lançará globalmente um fluxo de entrada de dispositivo que serve como uma solução alternativa para aplicativos que ainda usam exibições da Web incorporadas para garantir que a autenticação não seja bloqueada.

Como iniciar sessão com o fluxo de início de sessão do dispositivo

O fluxo de início de sessão do dispositivo solicita aos utilizadores que iniciam sessão com uma conta do Gmail numa vista Web incorporada que introduzam um código num navegador separado antes de poderem concluir o início de sessão. Se os usuários estiverem fazendo login com sua conta do Gmail pela primeira vez sem sessões ativas no navegador, eles verão a seguinte sequência de telas. Se uma conta existente do Gmail já estiver conectada, algumas dessas etapas poderão ser eliminadas.

1. No ecrã Iniciar sessão, o utilizador introduz o respetivo endereço do Gmail e seleciona Seguinte.

   

2. A tela a seguir é exibida, solicitando que o usuário abra uma nova janela, navegue até https://microsoft.com/devicelogine insira o código alfanumérico de nove dígitos exibido.

   

3. A página de início de sessão do dispositivo é aberta, onde o utilizador pode introduzir o código.

   

4. Se os códigos corresponderem, o usuário será solicitado a inserir novamente seu e-mail para confirmar seu aplicativo e local de login para fins de segurança.

   

5. O utilizador inicia sessão no Google com o respetivo e-mail e palavra-passe.

   

6. Mais uma vez, eles são solicitados a confirmar o aplicativo no qual estão entrando.

   

7. O usuário seleciona Continuar. Um prompt confirma que eles estão conectados. O utilizador fecha o separador ou janela e é devolvido ao primeiro ecrã, onde agora tem sessão iniciada na aplicação.

   

Como alternativa, você pode fazer com que seus usuários atuais e novos do Gmail façam login com uma senha única por e-mail. Para que seus usuários do Gmail usem uma senha única por e-mail:

1. Habilite a senha única do e-mail.
2. Remova a Federação do Google.
3. Redefina o status de resgate de seus usuários do Gmail para que eles possam usar a senha única do e-mail no futuro.

Se você quiser solicitar uma extensão, os clientes afetados com ID(s) de cliente OAuth afetados devem ter recebido um e-mail do Google Developers com as seguintes informações sobre uma extensão única de aplicação de política, que deve ser concluída até 31 de janeiro de 2022:

• "Se necessário, você pode solicitar uma extensão única de aplicação de política para visualizações da web incorporadas para cada ID de cliente OAuth listado até 31 de janeiro de 2022. Para maior clareza, a política para webviews incorporados será aplicada em 1º de fevereiro de 2022, sem exceções ou extensões."

Os aplicativos migrados para uma visualização da Web permitida para autenticação não serão afetados e os usuários poderão se autenticar por meio do Google, como de costume.

Se os aplicativos não forem migrados para uma visualização da Web permitida para autenticação, os usuários afetados do Gmail verão a tela a seguir.

Distinção entre CEF/Electron e web-views incorporadas

Além da descontinuação do suporte incorporado à visualização na Web e ao início de sessão no framework, a Google também está a substituir a autenticação do Gmail baseada no Chromium Embedded Framework (CEF). Para aplicativos criados no CEF, como aplicativos Electron, o Google desativará a autenticação em 30 de junho de 2021. Os aplicativos afetados receberam avisos diretamente do Google e não são abordados nesta documentação. Este documento refere-se às visualizações da Web incorporadas descritas anteriormente, que o Google restringirá em uma data separada em 30 de setembro de 2021.

Ações necessárias para estruturas incorporadas

Siga as orientações da Google para determinar se as suas aplicações são afetadas.

Etapa 1: configurar um projeto de desenvolvedor do Google

Primeiro, crie um novo projeto no Google Developers Console para obter um ID do cliente e um segredo do cliente que você pode adicionar posteriormente ao ID externo do Microsoft Entra.

1. Aceda às APIs da Google em https://console.developers.google.come inicie sessão com a sua Conta Google. Recomendamos que você use uma Conta do Google compartilhada da equipe.

2. Aceite os termos de serviço se for solicitado a fazê-lo.

3. Criar um novo projeto: Na parte superior da página, selecione o menu do projeto para abrir a página Selecionar um projeto . Escolha Novo projeto.

4. Na página Novo Projeto, dê um nome ao projeto (por exemplo, MyB2BApp) e selecione Criar:

   

5. Abra o novo projeto selecionando o link na caixa de mensagem Notificações ou usando o menu do projeto na parte superior da página.

6. No menu à esquerda, selecione APIs & Serviços e, em seguida, selecione Tela de consentimento OAuth.

7. Em Tipo de Utilizador, selecione Externo e, em seguida, selecione Criar.

8. Na tela de consentimento OAuth, em Informações do aplicativo, insira um Nome do aplicativo.

9. Em Email de suporte ao usuário, selecione um endereço de e-mail.

10. Em Domínios autorizados, selecione Adicionar domínio e, em seguida, adicione o microsoftonline.com domínio.

11. Em Informações de contato do desenvolvedor, insira um endereço de e-mail.

12. Selecione Guardar e continuar.

13. No menu à esquerda, selecione Credenciais.

14. Selecione Criar credenciais e, em seguida, selecione ID do cliente OAuth.

15. No menu Tipo de aplicativo, selecione Aplicativo Web. Dê ao aplicativo um nome adequado, como Microsoft Entra B2B. Em URIs de redirecionamento autorizados, adicione os seguintes URIs:

    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant ID>/oauth2/authresp
      (onde <tenant ID> está o seu ID de inquilino)
    • https://login.microsoftonline.com/te/<tenant name>.onmicrosoft.com/oauth2/authresp
      (onde <tenant name> é o nome do seu inquilino)

    Nota

    Para encontrar o seu ID de inquilino, inicie sessão no centro de administração do Microsoft Entra. Em Identidade, selecione Visão geral e copie a ID do locatário.

16. Selecione Criar. Copie o ID do cliente e o segredo do cliente. Você os usa quando adiciona o provedor de identidade no centro de administração do Microsoft Entra.

    

17. Você pode deixar seu projeto em um status de publicação de Teste e adicionar usuários de teste à tela de consentimento OAuth. Ou você pode selecionar o botão Publicar aplicativo na tela de consentimento OAuth para disponibilizar o aplicativo para qualquer usuário com uma Conta do Google.

    Nota

    Em alguns casos, a sua aplicação poderá necessitar de verificação por parte da Google (por exemplo, se atualizar o logótipo da aplicação). Para obter mais informações, consulte a Ajuda do status de verificação do Google.

Etapa 2: Configurar a federação do Google no Microsoft Entra External ID

Agora você definirá o ID do cliente do Google e o segredo do cliente. Você pode usar o centro de administração do Microsoft Entra ou o PowerShell para fazer isso. Certifique-se de testar sua configuração de federação do Google convidando-se a si mesmo. Use um endereço do Gmail e tente resgatar o convite com sua Conta do Google convidada.

Para configurar a federação do Google no centro de administração do Microsoft Entra

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador do Provedor de Identidade Externo.

2. Navegue até Identidades externas Identidades>>Todos os provedores de identidade e selecione o botão Google.

3. Insira o ID do cliente e o segredo do cliente que você obteve anteriormente. Selecione Salvar:

   

Para configurar a federação do Google usando o PowerShell

1. Instale a versão mais recente do módulo Microsoft Graph PowerShell.

2. Conecte-se ao seu locatário usando o comando Connect-MgGraph .

3. No prompt de entrada, entre com a conta de Administrador Global gerenciada.

4. Execute os seguintes comandos:

   $params = @{
      "@odata.type" = "microsoft.graph.socialIdentityProvider"
      displayName = "Login with Google"
      identityProviderType = "Google"
      clientId = "<client ID>"
      clientSecret = "<client secret>"
   }
   
   New-MgIdentityProvider -BodyParameter $params
   

   Nota

   Use o ID do cliente e o segredo do cliente do aplicativo que você criou em "Etapa 1: configurar um projeto de desenvolvedor do Google". Para obter mais informações, consulte New-MgIdentityProvider.

Adicionar o provedor de identidade do Google a um fluxo de usuários

Neste ponto, o provedor de identidade do Google está configurado em seu locatário do Microsoft Entra. Os usuários que resgatam convites de você podem usar o Google para fazer login. No entanto, se você criou fluxos de usuário de inscrição de autoatendimento, também precisará adicionar o Google às suas páginas de login de fluxo de usuário. Para adicionar o provedor de identidade do Google a um fluxo de usuário:

1. Navegue até Identidades> externas Fluxos>de usuário.

2. Selecione o fluxo de usuários ao qual você deseja adicionar o provedor de identidade do Google.

3. Em Configurações, selecione Provedores de identidade.

4. Na lista de provedores de identidade, selecione Google.

5. Selecione Guardar.

Como faço para remover a federação do Google?

Você pode excluir sua configuração de federação do Google. Se você fizer isso, os usuários convidados do Google que já resgataram o convite não poderão fazer login. Mas você pode dar a eles acesso aos seus recursos novamente redefinindo o status de resgate.

Para excluir a federação do Google no centro de administração do Microsoft Entra

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador do Provedor de Identidade Externo.

2. Navegue até Identidades>externas>Todos os provedores de identidade.

3. Na linha Google, selecione o botão de reticências (...) e, em seguida, selecione Eliminar.

   

4. Selecione Sim para confirmar a exclusão.

Para excluir a federação do Google usando o PowerShell

1. Instale a versão mais recente do módulo Microsoft Graph PowerShell.

2. Conecte-se ao seu locatário usando o comando Connect-MgGraph .

3. No prompt de entrada, entre com a conta de Administrador Global gerenciada.

4. Introduza o seguinte comando:

   Remove-MgIdentityProvider -IdentityProviderBaseId Google-OAUTH
   

   Nota

   Para obter mais informações, consulte Remove-MgIdentityProvider.