將 Google 新增為識別提供者 (預覽)
適用於:員工員工租使用者外部租使用者(深入瞭解)
藉由設定與Google的同盟,您可以讓客戶使用自己的Google帳戶登入您的應用程式。 將Google新增為其中一個使用者流程的登入選項之後,客戶可以使用Google帳戶註冊並登入您的應用程式。 (深入瞭解 客戶的驗證方法和識別提供者。
必要條件
建立Google應用程式
若要為具有Google帳戶的客戶啟用登入,您必須在Google Developers Console 中建立應用程式。 如需詳細資訊,請參閱 設定 OAuth 2.0。 如果您還沒有Google帳戶,您可以在註冊 https://accounts.google.com/signup
。
使用Google帳戶認證登入 Google開發人員主控台 。
如果系統提示您,請接受服務條款。
在頁面左上角,選取專案清單,然後選取 [ 新增專案]。
輸入專案名稱,選取 [建立]。
選取畫面左上方的專案下拉式清單,確定您使用新專案。 依名稱選取您的項目,然後選取 [ 開啟]。
在 [快速存取] 下,或在左側功能表中,選取 [API 和服務],然後選取 [OAuth 同意] 畫面。
針對 [使用者類型],選取 [外部],然後選取 [建立]。
在 [OAuth 同意] 畫面的 [應用程式資訊] 底下
- 輸入應用程式的 [ 名稱 ]。
- 選取 [用戶支援] 電子郵件位址。
在 [ 授權的網域] 區段下,選取 [新增網域],然後新增
ciamlogin.com
和microsoftonline.com
。在 [開發人員連絡資訊] 區段中,輸入Google的逗號分隔電子郵件,通知您專案的任何變更。
選取儲存並繼續。
從左側功能表中,選取 [ 認證]
選取 [建立認證],然後選取 [OAuth 用戶端標識符]。
選取 [應用程式類型],然後選取 [Web 應用程式]。
- 為您的應用程式輸入適當的名稱,例如「Microsoft Entra 外部 ID」。
- 在 [有效的 OAuth 重新導向 URI] 中,輸入下列 URI。 取代為您的客戶目錄(租使用者)識別碼,並以
<tenant-subdomain>
您的客戶目錄(租使用者)子域取代<tenant-ID>
。 如果您沒有租用戶名稱, 請瞭解如何閱讀您的租使用者詳細數據。
https://login.microsoftonline.com
https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.com
https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.com
https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2
https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2
選取 建立。
記錄用戶端識別碼和客戶端密碼的值。 您需要這兩個值,才能將Google設定為租使用者中的識別提供者。
注意
在某些情況下,您的應用程式可能需要 Google 的驗證(例如,如果您更新應用程式標誌)。 如需詳細資訊,請參閱 Google 的驗證狀態 GUID。
在 Microsoft Entra 外部 ID 中設定Google同盟
建立 Google 應用程式之後,在此步驟中,您會在 Entra ID Microsoft 中設定 Google 用戶端識別碼和客戶端密碼。 您可以使用 Microsoft Entra 系統管理中心或 PowerShell 來執行此動作。 若要在 Microsoft Entra 系統管理中心設定 Google 同盟,請遵循下列步驟:
流覽至 [身分>識別外部身分>識別] [所有識別提供者]。
在 [內建] 索引標籤上,選取 [Google] 旁的 [設定]。
輸入名稱。 例如, Google。
針對 [ 用戶端識別符],輸入您稍早建立之 Google 應用程式的用戶端識別碼。
針對 [ 客戶端密碼],輸入您記錄的 [用戶端密碼]。
選取 [儲存]。
若要使用PowerShell設定 Google 同盟,請遵循下列步驟:
執行下列命令:
Connect-MgGraph
在登入提示字元中,使用受控全域管理員帳戶登入。
執行以下命令:
Import-Module Microsoft.Graph.Identity.SignIns $params = @{ "@odata.type" = "microsoft.graph.socialIdentityProvider" displayName = "Login with Google" identityProviderType = "Google" clientId = "00001111-aaaa-2222-bbbb-3333cccc4444" clientSecret = "000000000000" } New-MgIdentityProvider -BodyParameter $params
使用您在建立 Google 應用程式步驟中建立之應用程式的用戶端識別碼和客戶端密碼。
將Google身分識別提供者新增至使用者流程
此時,Google 身分識別提供者已在您的 Microsoft Entra 識別碼中設定,但尚未在任何登入頁面中提供。 若要將Google身分識別提供者新增至使用者流程:
在您的外部租使用者中,流覽至 [身分>識別外部身分>識別使用者流程]。
選取您想要新增Google身分識別提供者的使用者流程。
在 [設定] 底下,選取 [ 識別提供者]。
在 [其他識別提供者] 底下,選取 [Google]。
選取 [儲存]。
下一步
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: