Добавление Google в качестве поставщика удостоверений (предварительная версия)
Область применения: 
клиенты рабочей силы внешние
клиенты (дополнительные сведения)
Настроив федерацию с Google, вы позволяете клиентам входить в приложения с помощью собственных учетных записей Google. После добавления Google в качестве одного из вариантов входа в поток пользователя клиенты могут зарегистрироваться и войти в приложение с помощью учетной записи Google. (Дополнительные сведения о методах проверки подлинности и поставщиках удостоверений для клиентов.)
Совет
Чтобы попробовать эту функцию, перейдите на демонстрацию продуктов Woodgrove и запустите вариант использования "Вход с помощью социальной учетной записи".
Необходимые компоненты
Создание приложения Google
Чтобы включить вход для клиентов с учетной записью Google, необходимо создать приложение в консоли разработчиков Google. Дополнительные сведения см. в разделе Настройка OAuth 2.0. Если у вас еще нет учетной записи Google, вы можете зарегистрироваться по адресу https://accounts.google.com/signup.
Выполните вход в консоль разработчиков Google с учетными данными для учетной записи Google.
Принять условия использования, если будет предложено это сделать.
В левом верхнем углу страницы выберите список проектов, а затем щелкните Создать проект.
Введите имя в поле Имя проекта и щелкните Создать.
Убедитесь, что вы используете новый проект, выбрав раскрывающийся список проекта в левом верхнем углу экрана. Выберите свой проект и нажмите кнопку Открыть.
В меню "Быстрый доступ" или в меню слева выберите API и службы, а затем экран согласия OAuth.
В поле "Тип пользователя" выберите "Внешний", а затем нажмите кнопку "Создать".
На экране согласия OAuth в разделе "Сведения о приложении"
- Введите значение Name (Имя) для приложения.
- Выберите адрес электронной почты службы поддержки пользователей.
В разделе "Авторизованные домены " выберите "Добавить домен", а затем добавьте
ciamlogin.comиmicrosoftonline.com.В разделе Контактные данные разработчика введите разделенные запятыми сообщения электронной почты Google, чтобы уведомить вас о любых изменениях в проекте.
Выберите Сохранить и продолжить.
В меню слева выберите "Учетные данные"
Выберите " Создать учетные данные", а затем идентификатор клиента OAuth.
Из списка Application type (Тип приложения) выберите Web application (Веб-приложение).
- Введите подходящее имя приложения, например "Внешняя идентификация Microsoft Entra".
- В допустимых URI перенаправления OAuth введите следующие URI. Замените
<tenant-ID>идентификатор каталога клиента (клиента) и<tenant-subdomain>поддомен каталога клиента (клиента). Если у вас нет имени клиента, узнайте, как прочитать сведения о клиенте.
https://login.microsoftonline.comhttps://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresphttps://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresphttps://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.comhttps://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.comhttps://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2
Нажмите кнопку создания.
Запишите значения идентификатора клиента и секрета клиента. Вам нужны оба значения, чтобы настроить Google в качестве поставщика удостоверений в клиенте.
Примечание.
В некоторых случаях для приложения может потребоваться проверка с помощью Google (например, если вы обновляете логотип приложения). Дополнительные сведения см. в guid состояния проверки Google.
Настройка федерации Google в Внешняя идентификация Microsoft Entra
После создания приложения Google на этом шаге вы задали идентификатор клиента Google и секрет клиента в идентификаторе Microsoft Entra. Для этого можно использовать Центр администрирования Microsoft Entra или PowerShell. Чтобы настроить федерацию Google в Центре администрирования Microsoft Entra, выполните следующие действия.
Войдите в центр администрирования Microsoft Entra.
Перейдите к списку внешних>удостоверений>всех поставщиков удостоверений.
На вкладке "Встроенные" рядом с Google выберите "Настроить".
Введите Имя. Например, Google.
В поле Идентификатор клиента введите идентификатор клиента созданного ранее приложения Google.
В качестве секрета клиента введите секрет клиента, записанный ранее.
Выберите Сохранить.
Чтобы настроить федерацию Google с помощью PowerShell, выполните следующие действия.
Установите последнюю версию модуля Microsoft Graph PowerShell для Graph.
Выполните следующую команду:
Connect-MgGraphВ запросе на вход войдите по крайней мере администратором внешнего поставщика удостоверений.
Выполните следующую команду:
Import-Module Microsoft.Graph.Identity.SignIns $params = @{ "@odata.type" = "microsoft.graph.socialIdentityProvider" displayName = "Login with Google" identityProviderType = "Google" clientId = "00001111-aaaa-2222-bbbb-3333cccc4444" clientSecret = "000000000000" } New-MgIdentityProvider -BodyParameter $params
Используйте идентификатор клиента и секрет клиента из приложения, созданного на шаге создания приложения Google.
Добавление поставщика удостоверений Google в поток пользователя
На этом этапе поставщик удостоверений Google был настроен в идентификаторе Microsoft Entra, но он еще не доступен на любой из страниц входа. Чтобы добавить поставщика удостоверений Google в поток пользователя, выполните следующие действия.
В внешнем клиенте перейдите к потокам пользователей внешних>удостоверений удостоверений>.
Выберите поток пользователя, в котором нужно добавить поставщика удостоверений Google.
В разделе "Параметры" выберите поставщики удостоверений.
В разделе "Другие поставщики удостоверений" выберите Google.
Выберите Сохранить.