Konfigurera registrering och inloggning med ett Google-konto med hjälp av Azure Active Directory B2C

Viktigt!

Från och med den 1 maj 2025 är Azure AD B2C inte längre tillgängligt att köpa för nya kunder. Läs mer i våra vanliga frågor och svar.

Innan du börjar använder du väljaren Välj en principtyp överst på den här sidan för att välja den typ av princip som du konfigurerar. Azure Active Directory B2C erbjuder två metoder för att definiera hur användare interagerar med dina program: via fördefinierade användarflöden eller genom fullständigt konfigurerbara anpassade principer. De steg som krävs i den här artikeln skiljer sig åt för varje metod.

Viktigt!

Från och med den 30 september 2021 upphör Google att använda inloggningsstöd för webbvyer. Om dina appar autentiserar användare med en inbäddad webbvy och du använder Google-federation med Azure AD B2C kommer Google Gmail-användare inte att kunna autentisera. Läs mer.

Anmärkning

I Azure Active Directory B2C är anpassade principer främst utformade för att hantera komplexa scenarier. I de flesta scenarier rekommenderar vi att du använder inbyggda användarflöden. Om du inte har gjort det kan du läsa mer om startpaketet för anpassad princip i Kom igång med anpassade principer i Active Directory B2C.

Förutsättningar

• Skapa ett användarflöde så att användare kan registrera sig och logga in på ditt program.
• Registrera ett webbprogram.

• Slutför stegen i Kom igång med anpassade principer i Active Directory B2C. Handledningen visar hur du uppdaterar anpassade principfiler för att använda konfigurationen för din Azure AD B2C-klient.
• Registrera ett webbprogram.

Skapa ett Google-program

Om du vill aktivera inloggning för användare med ett Google-konto i Azure Active Directory B2C (Azure AD B2C) måste du skapa ett program i Google Developers Console. Mer information finns i Konfigurera OAuth 2.0. Om du inte redan har ett Google-konto kan du registrera dig på https://accounts.google.com/signup.

1. Logga in på Google Developers Console med dina autentiseringsuppgifter för Google-kontot.
2. I det övre vänstra hörnet på sidan väljer du projektlistan och väljer sedan Nytt projekt.
3. Ange ett projektnamn och välj Skapa.
4. Kontrollera att du använder det nya projektet genom att välja listrutan projekt längst upp till vänster på skärmen. Välj projektet efter namn och välj sedan Öppna.
5. I den vänstra menyn väljer du API:er och tjänster och sedan skärmen för OAuth-medgivande. Välj Extern och sedan Skapa.
   1. Ange ett Namn för din applikation.
   2. Välj ett e-postmeddelande om användarsupport.
   3. I avsnittet Appdomän anger du en länk till startsidan för ditt program, en länk till din appsekretessprincip och en länk till dina programvillkor.
   4. I avsnittet Auktoriserade domäner anger du b2clogin.com.
   5. I avsnittet Utvecklarkontaktinformation anger du kommaavgränsade e-postmeddelanden för Google för att meddela dig om eventuella ändringar i projektet.
   6. Välj Spara.
6. Välj Autentiseringsuppgifter på den vänstra menyn och välj sedan Skapa autentiseringsuppgifter>OAuth-klient-ID.
7. Under Programtyp väljer du Webbprogram.
   1. Ange ett Namn för din applikation.
   2. För auktoriserat JavaScript-ursprung anger du https://your-tenant-name.b2clogin.com. Om du använder en anpassad domän anger du https://your-domain-name.
   3. För auktoriserade omdirigerings-URI:er anger du https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp. Om du använder en anpassad domän anger du https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Ersätt your-domain-name med din anpassade domän och your-tenant-name med namnet på din klientorganisation. Använd alltid små bokstäver när du skriver ditt klientnamn, även om klientorganisationen har definierats med versaler i Azure AD B2C. I alla situationer ersätter du your-tenant-name med underdomänen för Direktoratet (hyresgäst). Om din primära klientdomän till exempel är contoso.onmicrosoft.comanvänder du contoso. Om du inte har ditt klientnamn, lär dig hur man läser din klientinformation.
8. Välj Skapa.
9. Kopiera värdena för klient-ID och klienthemlighet. Du behöver båda för att konfigurera Google som identitetsprovider i din klientorganisation. Klienthemlighet är en viktig säkerhetsautentiseringsuppgift.

Konfigurera Google som identitetsprovider

1. Logga in på Azure-portalen med ett konto som har minst administratörsbehörighet för extern identitetsprovider .
2. Om du har åtkomst till flera klientorganisationer väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klientorganisation från menyn Kataloger + prenumerationer.
3. Välj Alla tjänster i det övre vänstra hörnet i Azure-portalen, sök efter och välj Azure AD B2C.
4. Välj Identitetsprovidrar och sedan Google.
5. Ange ett Namn. Till exempel Google.
6. För klient-ID skriver du in klient-ID för Google-applikationen som du skapade tidigare.
7. För klienthemligheten anger du den klienthemlighet som du har registrerat.
8. Välj Spara.

Lägga till Google-identitetsprovider i ett användarflöde

Nu har Googles identitetsprovider konfigurerats, men den är ännu inte tillgänglig på någon av inloggningssidorna. Så här lägger du till Google-identitetsprovidern i ett användarflöde:

1. I din Azure AD B2C-klient väljer du Användarflöden.
2. Välj det användarflöde som du vill lägga till Google-identitetsprovidern.
3. Under Sociala identitetsprovidrar väljer du Google.
4. Välj Spara.
5. Om du vill testa principen väljer du Kör användarflöde.
6. För Program väljer du webbprogrammet med namnet testapp1 som du registrerade tidigare. Svar-URL ska visa https://jwt.ms.
7. Välj knappen Kör användarflöde .
8. På registrerings- eller inloggningssidan väljer du Google för att logga in med Google-konto.

Om inloggningsprocessen lyckas omdirigeras webbläsaren till https://jwt.ms. På sidan visas innehållet i den token som Azure AD B2C returnerar.

Skapa en principnyckel

Du måste lagra klienthemligheten som du tidigare registrerade i din Azure AD B2C-klientorganisation.

1. Logga in på Azure-portalen.
2. Om du har åtkomst till flera klientorganisationer väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klientorganisation från menyn Kataloger + prenumerationer.
3. Välj Alla tjänster i det övre vänstra hörnet i Azure-portalen och sök sedan efter och välj Azure AD B2C.
4. På sidan Översikt väljer du Identity Experience Framework.
5. Välj Principnycklar och välj sedan Lägg till.
6. För Alternativ väljer du Manual.
7. Ange ett Namn för principnyckeln. Till exempel GoogleSecret. Prefixet B2C_1A_ läggs automatiskt till i namnet på din nyckel.
8. I Hemlighet anger du din klienthemlighet som du tidigare har registrerat.
9. För Nyckelanvändning väljer du Signature.
10. Välj Skapa.

Konfigurera Google som identitetsprovider

För att göra det möjligt för användare att logga in med ett Google-konto måste du definiera kontot som en anspråksprovider som Azure AD B2C kan kommunicera med via en slutpunkt. Slutpunkten innehåller en uppsättning anspråk som används av Azure AD B2C för att verifiera att en viss användare har autentiserats.

Du kan definiera ett Google-konto som en anspråksutfärdare genom att lägga till det i elementet ClaimsProviders i tilläggsfilen för din princip.

1. Öppna filen TrustFrameworkExtensions.xml.

2. Hitta elementet ClaimsProviders . Om den inte finns lägger du till den under rotelementet.

3. Lägg till en ny ClaimsProvider på följande sätt:

   <ClaimsProvider>
     <Domain>google.com</Domain>
     <DisplayName>Google</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="Google-OAuth2">
         <DisplayName>Google</DisplayName>
         <Protocol Name="OAuth2" />
         <Metadata>
           <Item Key="ProviderName">google</Item>
           <Item Key="authorization_endpoint">https://accounts.google.com/o/oauth2/auth</Item>
           <Item Key="AccessTokenEndpoint">https://accounts.google.com/o/oauth2/token</Item>
           <Item Key="ClaimsEndpoint">https://www.googleapis.com/oauth2/v1/userinfo</Item>
           <Item Key="scope">email profile</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="client_id">Your Google application ID</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_GoogleSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="google.com" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Ange client_id till program-ID från programregistreringen.

5. Spara filen.

Lägg till en användarresa

I det här läget har identitetsprovidern konfigurerats, men den är ännu inte tillgänglig på någon av inloggningssidorna. Om du inte har en egen anpassad användarresa skapar du en dubblett av en befintlig mallanvändarresa, annars fortsätter du till nästa steg.

1. Öppna filenTrustFrameworkBase.xml från startpaketet.
2. Hitta och kopiera hela innehållet i elementet UserJourney som innehåller Id="SignUpOrSignIn".
3. Öppna TrustFrameworkExtensions.xml och leta upp elementet UserJourneys . Om elementet inte finns lägger du till ett.
4. Klistra in hela innehållet i elementet UserJourney som du kopierade som ett underordnat element till UserJourneys.
5. Byt namn på ID:t för användarens resa. Till exempel Id="CustomSignUpSignIn".

Lägg till identitetsleverantören i en användarupplevelse

Nu när du har en användarresa lägger du till den nya identitetsprovidern i användarresan. Du lägger först till en inloggningsknapp och länkar sedan knappen till en åtgärd. Åtgärden är den tekniska profil som du skapade tidigare.

1. Leta reda på orkestreringsstegelementet som innehåller Type="CombinedSignInAndSignUp", eller Type="ClaimsProviderSelection" i användarresan. Det är vanligtvis det första orkestreringssteget. Elementet ClaimsProviderSelections innehåller en lista över identitetsprovidrar som en användare kan logga in med. Ordningen på elementen styr ordningen på de inloggningsknappar som visas för användaren. Lägg till ett ClaimsProviderSelection XML-element. Ange värdet TargetClaimsExchangeId till ett lämpligt namn.

2. I nästa orkestreringssteg lägger du till ett ClaimsExchange-element . Ange ID:t till värdet för målanspråksutbytes-ID:t. Uppdatera TechnicalProfileReferenceId till ID:t för den tekniska profil som du skapade tidigare.

Följande XML visar de två första orkestreringsstegen för en användarresa med identitetsprovidern:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="GoogleExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="GoogleExchange" TechnicalProfileReferenceId="Google-OAuth2" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurera policyn för den förlitande parten

Principen för förlitande part, till exempel SignUpSignIn.xml, anger den användarresa som Azure AD B2C ska köra. Hitta elementet DefaultUserJourney under den förlitande parten. Uppdatera ReferenceId så att det matchar användarens rese-ID, där du lade till identitetsprovidern.

I följande exempel, för användarupplevelsen, är CustomSignUpSignIn inställt på :

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Ladda upp den anpassade policyn

1. Logga in på Azure-portalen.
2. Välj ikonen Katalog + prenumeration i portalens verktygsfält och välj sedan den katalog som innehåller din Azure AD B2C-klientorganisation.
3. I Azure Portal söker du efter och väljer Azure AD B2C.
4. Under kategorin Principer väljer du Identity Experience Framework.
5. Välj Överför anpassad princip och ladda sedan upp de två principfilerna som du ändrade i följande ordning: tilläggsprincipen, till exempel TrustFrameworkExtensions.xml, och sedan den förlitande partprincipen, till exempel SignUpSignIn.xml.

Testa din anpassade policy

1. Välj din policy för förlitande part, till exempel B2C_1A_signup_signin.
2. För Program väljer du ett webbprogram som du registrerade tidigare. Svar-URL ska visa https://jwt.ms.
3. Välj knappen Kör nu .
4. På registrerings- eller inloggningssidan väljer du Google för att logga in med Google-konto.

Om inloggningsprocessen lyckas omdirigeras webbläsaren till https://jwt.ms, som visar innehållet i token som returneras av Azure AD B2C.

Nästa steg

• Lär dig hur du skickar Google-token till ditt program.
• Kolla in Live-demonstrationen för Google-federationen och hur du skickar Google-åtkomsttoken i Live-demonstrationen