Добавление Google в качестве поставщика удостоверений для гостевых пользователей B2B

Применяется к: Рабочие арендаторы (узнать больше)

Совет

В этой статье описывается добавление Google в качестве поставщика удостоверений для совместной работы B2B в клиентах рабочей силы. Инструкцию для внешних арендаторов см. в разделе Добавление Google в качестве поставщика удостоверений.

Настроив федерацию с Google, можно разрешить приглашенным пользователям входить в общие приложения и ресурсы с помощью собственных учетных записей Gmail без необходимости создавать учетные записи Майкрософт. После добавления Google в качестве одного из вариантов входа в приложение на странице входа пользователь может ввести адрес Gmail, который он использует для входа в Google.

Примечание.

Федерация Google предназначена специально для пользователей Gmail. Чтобы создать федерацию с доменами Google Workspace, используйте федерацию поставщика удостоверений SAML/WS-Fed.

Внимание

• С 12 июля 2021 г., если Microsoft Entra клиенты B2B настраивают новые интеграции Google для самостоятельной регистрации или приглашения внешних пользователей для пользовательских или бизнес-приложений, проверка подлинности может быть заблокирована для пользователей Gmail (с экраном ошибки, показанным в Несколько ожидать). Эта проблема возникает, только если вы создаете интеграцию Google для пользователей, регистрирующихся самостоятельно, или для приглашений после 12 июля 2021 г., а проверки подлинности Gmail в ваших пользовательских или бизнес-приложениях не перемещены в системные веб-представления. Так как системные веб-представления включены по умолчанию, большинство приложений не затрагиваются. Чтобы избежать этой проблемы, переместите проверку подлинности Gmail в системные браузеры перед созданием новых интеграции Google для самостоятельной регистрации. Дополнительные сведения см. в разделе "Необходимые действия для внедренных веб-обозревателей".
• С 30 сентября 2021 года Google прекратил поддержку входа через веб-представление. Если ваши приложения выполняют аутентификацию пользователей через внедренный веб-интерфейс и вы используете федерацию Google совместно с Azure AD B2C или Microsoft Entra B2B для приглашений внешних пользователей или самостоятельной регистрации, пользователи Google Gmail не смогут пройти аутентификацию. Дополнительные сведения см. в статье об отмене поддержки входа в веб-представление.

Как эта возможность выглядит для пользователя Google?

Вы можете пригласить пользователя Google в службу "Совместная работа B2B" различными способами. Например, их можно добавить в каталог через Центр администрирования Microsoft Entra. Когда они используют ваше приглашение, их опыт будет зависеть от того, являются ли они уже авторизованными пользователями Google.

• Гостевым пользователям, которые не вошли в Google, предлагается сделать это.
• Гостевым пользователям, которые уже вошли в Google, предлагается выбрать учетную запись, которую они хотят использовать. Он должен выбрать учетную запись, которую вы использовали, чтобы пригласить его.

Пользователи-гости, которые видят ошибку «слишком длинный заголовок», могут очистить свои файлы cookie или открыть личное окно или окно в режиме инкогнито и попытаться войти снова.

Конечные точки входа

Гостевые пользователи Google теперь могут войти в мультитенантные или сторонние приложения Майкрософт, используя общую конечную точку (другими словами, общий URL-адрес приложения, который не включает контекст клиента). В процессе входа гостевой пользователь выбирает Параметры входа, а затем Вход в организацию. Далее пользователь вводит имя организации и возобновляет вход с помощью собственных учетных данных Google.

Гостевые пользователи Google могут также использовать конечные точки приложений, содержащие сведения о клиенте, например:

• https://myapps.microsoft.com/?tenantid=<your tenant ID>
• https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
• https://portal.azure.com/<your tenant ID>

Вы также можете предоставить гостевым пользователям Google прямую ссылку на приложение или ресурс, если эта ссылка включает сведения о клиенте, например https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.

Устаревание поддержки входа через веб-вид

30 сентября 2021 г. Google прекращает поддержку входа через встроенные веб-представления. Если ваши приложения выполняют аутентификацию пользователей со встроенным веб-просмотром и вы используете федерацию Google с Azure AD B2C или Microsoft Entra B2B для приглашений пользователей или самостоятельной подписки, пользователи Gmail от Google не смогут пройти аутентификацию.

Ниже приведены известные сценарии, которые влияют на пользователей Gmail:

• Приложения Майкрософт (например, Teams и Power Apps) в Windows
• Приложения Windows, использующие для проверки подлинности элемент управления WebView, WebView2 или старый элемент управления WebBrowser. Эти приложения должны перейти к использованию модели Web Account Manager (WAM).
• Приложения Android, использующие элемент пользовательского интерфейса WebView
• Приложения iOS, использующие UIWebView/WKWebview
• Приложения с помощью ADAL

Это изменение не влияет на:

• Веб-приложения
• Службы Microsoft 365, доступ к которым осуществляется через веб-сайт (например, SharePoint Online, веб-приложения Office и веб-приложение Teams)
• Мобильные приложения, использующие системные веб-представления для проверки подлинности (SFSafariViewController в iOS, Настраиваемые вкладки в Android).
• Идентификаторы Google Workspace, например, при использовании федерации на основе SAML с Google Workspace.
• Приложения Windows, использующие Web Account Manager (WAM) или Web Authentication Broker (WAB).

Требуется действие для встроенных веб-видов

Измените приложения, чтобы использовать системный браузер для входа в систему. Дополнительные сведения см. в статье "Внедренное веб-представление и системный браузер " в документации по MSAL.NET. Все пакеты SDK MSAL используют системный браузер по умолчанию.

Чего следует ожидать

Начиная с 30 сентября корпорация Майкрософт глобально развернет процесс входа для устройств, который служит обходным решением для приложений, все еще использующих встроенные веб-обозреватели, чтобы убедиться в том, что проверка подлинности не заблокирована.

Вход с помощью процесса авторизации на устройстве

При выполнении входа в устройство пользователи, которые используют учетную запись Gmail во встроенном веб-клиенте, получают запрос на ввод кода в отдельном браузере перед завершением процесса входа. Если пользователи впервые входят с помощью учетной записи Gmail без активных сеансов в браузере, они видят следующую последовательность экранов. Если вход с существующей учетной записью Gmail уже выполнен, некоторые из этих действий можно пропустить.

1. На экране входа пользователь вводит свой адрес Gmail и выбирает Далее.

   

2. Откроется следующий экран, в котором пользователю будет предложено открыть новое окно, перейти https://microsoft.com/devicelogin, и ввести отображаемый буквенно-цифровой код.

   

3. Откроется страница входа для устройств, где пользователь может ввести код.

   

4. Если коды совпадают, пользователю предлагается повторно отправить сообщение электронной почты, чтобы подтвердить свое приложение и расположение входа в целях безопасности.

   

5. Пользователь входит в Google с использованием адреса электронной почты и пароля.

   

6. Снова их просят подтвердить приложение, в которое они авторизуются.

   

7. Пользователь выбирает Продолжить. Появится сообщение с подтверждением входа в систему. Пользователь закрывает вкладку или окно и возвращается на первый экран, где выполнен вход в приложение.

   

Кроме того, существующим и новым пользователи Gmail можно предоставить возможность входа с помощью одноразового секретного кода. Чтобы пользователи Gmail могли использовать одноразовый секретный код, отправляемый по электронной почте, сделайте следующее:

1. Включить одноразовый секретный код, отправляемый по электронной почте.
2. Удалить федерацию Google.
3. Сбросьте статус предоставления доступа пользователей Gmail, чтобы они могли использовать одноразовый пароль, отправленный по электронной почте.

Если вы хотите запросить продление, затронутые клиенты с затронутыми идентификаторами клиентов OAuth должны были получить электронное письмо от разработчиков Google со следующими сведениями о единовременном продлении применения политики, которое должно быть завершено до 31 января 2022 г.

• "При необходимости вы можете запросить продление срока действия политики для внедренных веб-представлений для всех указанных идентификаторов клиента OAuth до 31 января 2022 г." Для ясности: политика для внедренных веб-представлений будет применена 1 февраля 2022 г. без исключений и продлений.

Приложения, перенесенные в разрешенное веб-представление для проверки подлинности, не будут затронуты, и пользователям будет разрешено проходить проверку подлинности с помощью Google как обычно.

Если приложения не переносятся в разрешенное веб-представление для проверки подлинности, затронутые пользователи Gmail видят следующий экран.

Различия между CEF/Electron и встроенными веб-представлениями

Помимо прекращения поддержки входа в веб-представление и платформу, Google также прекращает использовать проверку подлинности Gmail на основе Chromium Embedded Framework (CEF). Для приложений, созданных на базе CEF, таких как приложения Electron, Google отключит проверку подлинности 30 июня 2021 г. Затронутые приложения получили уведомление от Google напрямую и не рассматриваются в этой документации. Этот документ относится к внедренным веб-представлениям, описанным ранее, которые Google ограничит на отдельную дату — 30 сентября 2021 года.

Требуется действие для встроенных фреймворков

Следуйте рекомендациям Google, чтобы определить, затронуты ли ваши приложения.

Шаг 1. Настройка проекта разработчика Google

Сначала создайте новый проект в консоли разработчиков Google, чтобы получить идентификатор клиента и секрет клиента, который можно позже добавить в Внешняя идентификация Microsoft Entra.

1. Перейти к API Google по адресу https://console.developers.google.comи войти в свою учетную запись Google. Мы рекомендуем использовать общую учетную запись Google, используемую командой.

2. Принять условия использования, если будет предложено это сделать.

3. Создайте новый проект: в верхней части страницы выберите меню проектов, чтобы открыть страницу Выбрать проект. Выберите пункт Новый проект.

4. На странице Новый проект укажите имя проекта (например, MyB2BApp), а затем выберите Создать:

   

5. Откройте новый проект, щелкнув ссылку в окне сообщения Уведомления или воспользовавшись меню проектов в верхней части страницы.

6. В меню слева выберите API и службы, а затем выберите экран согласия OAuth.

7. В поле Тип пользователя выберите Внешний, а затем щелкните Создать.

8. На экране получения согласия OAuth в разделе Сведения о приложении введите имя приложения.

9. Выберите адрес электронной почты для поддержки пользователей.

10. В разделе Авторизованные домены выберите Добавить домен и добавьте домен microsoftonline.com.

11. В разделе Контактные данные разработчика введите адрес электронной почты.

12. Выберите Сохранить и продолжить.

13. В меню слева выберите пункт Учетные данные.

14. Нажмите кнопку Создать учетные данные и выберите идентификатор клиента OAuth.

15. В меню "Тип приложения" выберите пункт Веб-приложение. Присвойте приложению подходящее имя, например Microsoft Entra B2B. В Авторизованные URI перенаправления добавьте следующие URI:

    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant ID>/oauth2/authresp
      (где <tenant ID> — идентификатор вашего клиента)
    • https://login.microsoftonline.com/te/<tenant name>.onmicrosoft.com/oauth2/authresp
      (где <tenant name> — имя вашего клиента)

    Примечание.

    Чтобы найти идентификатор клиента, войдите в Центр администрирования Microsoft Entra. В разделе Entra ID выберите Обзор и скопируйте Tenant ID.

16. Нажмите кнопку создания. Скопируйте идентификатор клиента и секрет клиента. Эти данные используются при добавлении поставщика удостоверений в административный центр Microsoft Entra.

    

17. Вы можете оставить проект в состоянии публикации Тестирование и добавить тестовых пользователей на экране согласия OAuth. Также можно нажать кнопку Опубликовать приложение на экране согласия OAuth, чтобы сделать приложение доступным для любого пользователя с учетной записью Google.

    Примечание.

    В некоторых случаях для приложения может потребоваться проверка с помощью Google (например, если вы обновляете логотип приложения). Дополнительные сведения см. в справке по состоянию проверки Google.

Шаг 2. Настройка федерации Google в Внешняя идентификация Microsoft Entra

Теперь можно задать идентификатор клиента Google и секрет клиента. Для этого можно использовать Центр администрирования Microsoft Entra или PowerShell. Следует обязательно протестировать конфигурацию федерации Google, пригласив самого себя. Используя адрес Gmail, нужно попробовать активировать приглашение с помощью приглашенной учетной записи Google.

Настройка федерации Google в Центре администрирования Microsoft Entra

1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора внешнего поставщика удостоверений.

2. Перейдите к Идентификация>"Внешние удостоверения">Все поставщики удостоверений, а затем в строке Google выберите Настроить.

3. Ввести идентификатор клиента и секрет клиента, которые были получены ранее. Выбрать Сохранить:

   

Настройка федерации Google с помощью PowerShell

1. Установите последнюю версию модуля Microsoft Graph PowerShell.

2. Подключитесь к клиенту с помощью команды Connect-MgGraph .

3. На запрос входа войдите с уровнем доступа не ниже администратора внешнего поставщика удостоверений.

4. Выполните следующие команды:

   $params = @{
      "@odata.type" = "microsoft.graph.socialIdentityProvider"
      displayName = "Login with Google"
      identityProviderType = "Google"
      clientId = "<client ID>"
      clientSecret = "<client secret>"
   }
   
   New-MgIdentityProvider -BodyParameter $params
   

   Примечание.

   Используйте идентификатор клиента и секрет клиента из приложения, созданного на шаге 1. Настройка проекта разработчика Google. Дополнительные сведения см. в статье New-MgIdentityProvider.

Добавление поставщика удостоверений Google в пользовательский поток

На этом этапе поставщик удостоверений Google настраивается в клиенте Microsoft Entra. Пользователи, которые используют приглашения от вас, могут использовать Google для входа. Однако если вы создали потоки самостоятельной регистрации пользователей, вам также нужно добавить Google на страницы входа в потоки пользователей. Чтобы добавить поставщика удостоверений Google в поток пользователя, выполните следующие действия.

1. Перейдите к Entra ID>Внешние идентификаторы>Потоки пользователей.

2. Выберите поток пользователя, в котором нужно добавить поставщика удостоверений Google.

3. В разделе "Параметры" выберите поставщики удостоверений.

4. В списке поставщиков удостоверений выберите Google.

5. Выберите Сохранить.

Как удалить федерацию Google?

Вы можете удалить настройку федерации для Google. При этом гостевые пользователи Google, которые уже активировали приглашение, не могут войти. Но вы можете снова предоставить им доступ к ресурсам, сбросив их статус использования.

Удаление федерации Google в Центре администрирования Microsoft Entra

1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора внешнего поставщика удостоверений.

2. Перейдите к Entra ID>Внешние удостоверения личности>Все поставщики удостоверений личности.

3. В строке Google выберите (Настроено), а затем нажмите кнопку "Удалить".

4. Выберите Да, чтобы подтвердить удаление.

Чтобы удалить федерацию Google с помощью PowerShell

1. Установите последнюю версию модуля Microsoft Graph PowerShell.

2. Подключитесь к клиенту с помощью команды Connect-MgGraph .

3. В окне запроса входа войдите как минимум в качестве Администратора внешнего поставщика удостоверений.

4. Введите следующую команду:

   Remove-MgIdentityProvider -IdentityProviderBaseId Google-OAUTH
   

   Примечание.

   Дополнительные сведения см. в разделе Remove-MgIdentityProvider.