將Google新增為識別提供者

  • 文章

藉由設定與Google的同盟,您可以讓客戶使用自己的Google帳戶登入您的應用程式。 將Google新增為其中一個使用者流程的登入選項之後,客戶可以使用Google帳戶註冊並登入您的應用程式。 (深入瞭解 客戶的驗證方法和識別提供者。

提示

立即試用

若要試用這項功能,請移至 Woodgrove Groceries 示範,然後啟動「使用社交帳戶登入」使用案例。

必要條件

建立Google應用程式

若要為具有Google帳戶的客戶啟用登入,您必須在Google Developers Console建立應用程式。 如需詳細資訊,請參閱 設定 OAuth 2.0。 如果您還沒有Google帳戶,您可以在註冊 https://accounts.google.com/signup

  1. 使用Google帳戶認證登入 Google開發人員主控台

  2. 如果系統提示您,請接受服務條款。

  3. 在頁面左上角,選取專案清單,然後選取 [ 新增專案]。

  4. 輸入專案名稱,選取 [建立]。

  5. 選取畫面左上方的專案下拉式清單,確定您使用新專案。 依名稱選取您的項目,然後選取 [ 開啟]。

  6. 在 [快速存取] 下,或在左側功能表中,選取 [API 和服務],然後選取 [OAuth 同意] 畫面

  7. 針對 [使用者類型],選取 [外部],然後選取 [建立]。

  8. 在 [OAuth 同意] 畫面的 [應用程式資訊] 底下

    1. 輸入應用程式的 [ 名稱 ]。
    2. 選取 [用戶支援] 電子郵件位址

  9. 在 [ 授權的網域] 區段下,選取 [新增網域],然後新增 ciamlogin.commicrosoftonline.com

  10. 在 [開發人員連絡資訊]段中,輸入Google的逗號分隔電子郵件,通知您專案的任何變更。

  11. 選取儲存並繼續

  12. 從左側功能表中,選取 [ 認證]

  13. 選取 [建立認證],然後選取 [OAuth 用戶端標識符]。

  14. 選取 [應用程式類型],然後選取 [Web 應用程式]

    1. 輸入適合您應用程式的名稱,例如「Microsoft Entra 外部 ID」。
    2. [有效的 OAuth 重新導向 URI] 中,輸入下列 URI。 取代為您的客戶目錄(租使用者)識別碼,並以<tenant-subdomain>您的客戶目錄(租使用者)子域取代 <tenant-ID> 。 如果您沒有租用戶名稱, 請瞭解如何閱讀您的租使用者詳細數據
    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
    • https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
    • https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.com
    • https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.com
    • https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oauth2
    • https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

  15. 選取 建立

  16. 記錄用戶端識別碼客戶端密碼的值。 您需要這兩個值,才能將Google設定為租使用者中的識別提供者。

注意

在某些情況下,您的應用程式可能需要 Google 的驗證(例如,如果您更新應用程式標誌)。 如需詳細資訊,請參閱 Google 的驗證狀態 GUID

在 Microsoft Entra 外部 ID 中設定Google同盟

建立 Google 應用程式之後,在此步驟中,您會在 Microsoft Entra ID 中設定 Google 用戶端識別碼和客戶端密碼。 您可以使用 Microsoft Entra 系統管理中心或 PowerShell 來執行此動作。 若要在 Microsoft Entra 系統管理中心設定 Google 同盟,請遵循下列步驟:

  1. 登入 Microsoft Entra 系統管理中心。 

  2. 流覽至 [身分>識別外部身分>識別] [所有識別提供者]。

  3. 選取 [+ Google]。

  4. 輸入名稱。 例如, Google

  5. 針對 [ 用戶端識別符],輸入您稍早建立之 Google 應用程式的用戶端識別碼。

  6. 針對 [ 客戶端密碼],輸入您記錄的 [用戶端密碼]。

  7. 選取 [儲存]。

若要使用PowerShell設定 Google 同盟,請遵循下列步驟:

  1. 安裝最新版的 Azure AD PowerShell for Graph 模組 (AzureADPreview)。

  2. 執行下列命令:Connect-AzureAD

  3. 在登入提示字元中,使用受控全域 管理員 istrator 帳戶登入。

  4. 執行以下命令:

    New-AzureADMSIdentityProvider -Type Google -Name Google -ClientId <client ID> -ClientSecret <client secret>

    使用您在建立 Google 應用程式步驟中建立之應用程式的用戶端識別碼和客戶端密碼。

將Google身分識別提供者新增至使用者流程

此時,Google 身分識別提供者已在您的 Microsoft Entra 識別碼中設定,但尚未在任何登入頁面中提供。 若要將Google身分識別提供者新增至使用者流程:

  1. 在您的外部租使用者中,流覽至 [身分>識別外部身分>識別使用者流程]。

  2. 選取您想要新增Google身分識別提供者的使用者流程。

  3. 在 [設定] 下,選取 [識別提供者]。

  4. 在 [其他識別提供者] 底下,選取 [Google]。

  5. 選取 [儲存]。

下一步