分享方式:

將 Google 新增為身分識別提供者 (預覽)

  • 文章

適用於具有灰色 X 符號的白色圓圈。員工租用戶 具有白色核取符號的綠色圓圈。 外部租用戶 (深入了解)

藉由設定與 Google 建立同盟,您可以讓客戶使用自己的 Google 帳戶登入您的應用程式。 將 Google 新增為使用者流程的登入選項之一後,客戶便可使用 Google 帳戶註冊並登入您的應用程式。 (深入了解客戶的驗證方法和識別提供者。)

提示

立即試用

若要試用這項功能,請移至 Woodgrove Groceries 示範,並啟動「使用社交帳戶登入」使用案例。

必要條件

建立 Google 應用程式

若要支援讓客戶透過 Google 帳戶登入,您必須在 Google Developers Console 中建立應用程式。 如需詳細資訊,請參閱設定 OAuth 2.0。 如果您還沒有 Google 帳戶,可以在 https://accounts.google.com/signup 上註冊。

  1. 以您的 Google 帳戶認證登入 Google 開發人員主控台

  2. 如果系統提示您,請接受服務條款。

  3. 在頁面的左上角,選取 [專案清單],然後選取 [新增專案]

  4. 輸入 [專案名稱],然後選取 [建立]

  5. 請選取畫面左上方的 [專案] 下拉式清單,以確定您使用的是新專案。 依名稱選取您的專案,然後選取 [開啟]

  6. 在 [快速存取] 下,或左側功能表中,選取 [API 和服務],然後選取 [OAuth 同意畫面]

  7. 針對 [User Type] (使用者類型) 選取 [External] (外部),然後選取 [建立]

  8. 在 [OAuth 同意畫面] 的 [應用程式資訊] 底下

    1. 輸入應用程式的名稱
    2. 選取 [使用者支援電子郵件] 地址。

  9. 在 [授權網域] 區段下,選取 [新增網域],然後新增 ciamlogin.commicrosoftonline.com

  10. 在 [開發人員連絡資訊] 區段中,輸入電子郵件並用逗號分隔,好讓 Google 能通知您專案的任何變更。

  11. 選取儲存並繼續

  12. 從左側功能表中,選取 [憑證]

  13. 選取 [建立認證],然後選取 [OAuth 用戶端 ID]

  14. 選取 [應用程式類型],然後選取 [Web 應用程式]

    1. 輸入適合您應用程式的 [名稱],例如「Microsoft Entra External ID」。
    2. 在 [Valid OAuth redirect URIs] (有效的 OAuth 重新導向 URI) 中,輸入下列 URI。 將 <tenant-ID> 取代為您的客戶目錄 (租用戶) 識別碼,並將 <tenant-subdomain> 取代為您的客戶目錄 (租用戶) 子網域。 如果您沒有租用戶名稱,請了解如何讀取租用戶詳細資料
    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
    • https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
    • https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.com
    • https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.com
    • https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2
    • https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

  15. 選取 建立

  16. 記錄 [Client ID] (用戶端識別碼) 和 [Client Secret] (用戶端密碼) 的值。 在將 Google+ 設為租用戶中的識別提供者時,您會用到這兩個值。

注意

在某些情況下,您的應用程式可能需要由 Google 驗證 (例如,如果您更新應用程式標誌)。 如需詳細資訊,請參閱 Google 的驗證狀態 GUID

在 Microsoft Entra 外部 ID 中設定 Google 同盟

建立 Google 應用程式之後,此步驟將指引您在 Microsoft Entra ID 中設定 Google 用戶端識別碼和用戶端密碼。 您可以使用 Microsoft Entra 系統管理中心或 PowerShell 來執行此動作。 若要在 Microsoft Entra 系統管理中心設定 Google 同盟,請遵循下列步驟:

  1. 登入 Microsoft Entra 系統管理中心。 

  2. 瀏覽至 [身分識別]>[外部身分識別]>[所有識別提供者]

  3. 在 [內建] 索引標籤上,選取 [Google] 旁的 [設定]

  4. 輸入名稱。 例如,Google

  5. 在 [用戶端識別碼] 中,輸入先前所建立 Google 應用程式的應用程式識別碼。

  6. 在 [用戶端密碼] 中,輸入您記下的用戶端密碼。

  7. 選取 [儲存]。

若要使用 PowerShell 設定 Google 同盟,請遵循下列步驟:

  1. 安裝最新版的 Microsoft Graph PowerShell for Graph 模組

  2. 執行下列命令:Connect-MgGraph

  3. 在登入提示字元中,至少 以外部識別提供者系統管理員身分登入。

  4. 執行以下命令:

    Import-Module Microsoft.Graph.Identity.SignIns
$params = @{
"@odata.type" = "microsoft.graph.socialIdentityProvider"
displayName = "Login with Google"
identityProviderType = "Google"
clientId = "00001111-aaaa-2222-bbbb-3333cccc4444"
clientSecret = "000000000000"
}
New-MgIdentityProvider -BodyParameter $params

使用您在建立 Google 應用程式步驟中,所建立應用程式的用戶端識別碼和用戶端密碼。

將 Google 識別提供者新增至使用者流程

目前,您已在 Microsoft Entra ID 中設定 Google 識別提供者,但還無法在任一登入頁面中使用。 若要將 Google 識別提供者新增至使用者流程:

  1. 在您的外部租用戶中,瀏覽至 [身分識別]>[外部身分識別]>[使用者流程]

  2. 選取您想要新增 Google 識別提供者的使用者流程。

  3. 在 [設定] 底下,選取 [識別提供者]

  4. 在 [其他識別提供者] 底下,選取 [Google]

  5. 選取 [儲存]。

下一步