使用 Azure Active Directory B2C 設定使用 Google 帳戶註冊和登入

開始 之前，請使用 [選擇原則類型 選取器] 來選擇您要設定的原則類型。 Azure Active Directory B2C 提供兩種方法來定義使用者如何與您的應用程式互動：透過預先 定義的使用者流程 ，或透過完全可設定 的自訂原則 。 本文中每個方法所需的步驟都不同。

重要

從 2021 年 9 月 30 日起，Google 即將 淘汰網頁檢視登入支援 。 如果您的應用程式使用內嵌 Web 檢視來驗證使用者，且您正使用 Google 同盟與 Azure AD B2C，Google Gmail 使用者將無法進行驗證。 深入了解。

注意

在 Azure Active Directory B2C 中， 自訂原則 的設計主要是為了解決複雜的案例。 在大部分情況下，我們建議您使用內 建的使用者流程 。 如果您尚未這麼做，請瞭解開始使用 Active Directory B2C 中的 自訂原則入門套件。

必要條件

• 建立使用者流程 ，讓使用者可以註冊並登入您的應用程式。
• 註冊 Web 應用程式 。

• 完成開始使用 Active Directory B2C 中的自訂原則中的 步驟
• 註冊 Web 應用程式 。

建立 Google 應用程式

若要在 Azure Active Directory B2C（Azure AD B2C）中啟用 Google 帳戶的使用者登入，您必須在 Google 開發人員主控台 中 建立應用程式。 如需詳細資訊，請參閱 設定 OAuth 2.0 。 如果您還沒有 Google 帳戶，可以在 註冊 https://accounts.google.com/signup 。

1. 使用 Google 帳號憑證登入 Google 開發人員主控台 。
2. 在頁面左上角，選取專案清單，然後選取 [ 新增專案 ]。
3. 輸入專案名稱 ，選取 [ 建立 ]。
4. 選取畫面左上方的專案下拉式清單，確定您使用新專案。 依名稱選取您的專案，然後選取 [ 開啟 ]。
5. 在左側功能表中，選取 [API 和服務 ]，然後 選取 [OAuth 同意] 畫面 。 選取 [外部] ，然後選取 [ 建立 ]。
   1. 輸入應用程式的 [ 名稱 ]。
   2. 選取 [使用者支援電子郵件 ]。
   3. 在 [ 應用程式網域 ] 區段中，輸入應用程式 首頁 的連結、應用程式 隱私權原則 的連結，以及應用程式 服務條款 的連結。
   4. 在 [ 授權的網域] 區段中，輸入 b2clogin.com 。
   5. 在 [開發人員連絡資訊] 區 段中，輸入 Google 的逗號分隔電子郵件，通知您專案的任何變更。
   6. 選取 [儲存]。
6. 選取 左側功能表中的 [認證 ]，然後選取 [ 建立認證 > Oauth 用戶端識別碼]。
7. 選取 [應用程式類型]，然後選取 [Web 應用程式]。
   1. 輸入應用程式的 [ 名稱 ]。
   2. 針對 [授權的 JavaScript 來源 ]，輸入 https://your-tenant-name.b2clogin.com 。 如果您使用 自訂網域 ，請輸入 https://your-domain-name 。
   3. 針對 [已授權的 重新導向 URI ]，輸入 https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp 。 如果您使用 自訂網域 ，請輸入 https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp 。 將 取代為您的自訂網域，並以 your-tenant-name 您的租使用者名稱取代 your-domain-name 。 輸入租使用者名稱時，即使租使用者是以 Azure AD B2C 中的大寫字母定義，也請使用所有小寫字母。
8. 按一下 [建立]。
9. 複製用戶端識別碼 和 用戶端密碼 的值 。 您將需要這兩者，才能將 Google 設定為租使用者中的識別提供者。 用戶端密碼 是重要的安全性認證。

將 Google 設定為識別提供者

1. 以 Azure AD B2C 租使用者的全域管理員身分登入 Azure 入口網站 。
2. 如果您有多個租使用者的存取權，請選取 頂端功能表中的 [設定 ] 圖示，從 [目錄 + 訂 用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。
3. 選擇 Azure 入口網站左上角的 [所有服務 ]，搜尋並選取 [Azure AD B2C ]。
4. 選取 [ 識別提供者 ]，然後選取 [Google ]。
5. 輸入名稱。 例如， Google 。
6. 針對 [ 用戶端識別碼 ]，輸入您稍早建立之 Google 應用程式的用戶端識別碼。
7. 針對 [ 用戶端密碼 ]，輸入您記錄的 [用戶端密碼]。
8. 選取 [儲存]。

將 Google 身分識別提供者新增至使用者流程

此時，Google 身分識別提供者已設定，但尚未在任何登入頁面中提供。 若要將 Google 身分識別提供者新增至使用者流程：

1. 在您的 Azure AD B2C 租使用者中，選取 [ 使用者流程 ]。
2. 按一下您想要新增 Google 身分識別提供者的使用者流程。
3. 在 [ 社交識別提供者 ] 底下，選取 [Google ]。
4. 選取 [儲存]。
5. 若要測試您的原則，請選取 [ 執行使用者流程 ]。
6. 針對 [ 應用程式 ]，選取您先前註冊的名為 testapp1 的 Web 應用程式。 回復 URL 應該會顯示 https://jwt.ms 。
7. 選取 [ 執行使用者流程 ] 按鈕。
8. 從 [註冊或登入] 頁面中，選取 [Google] 以使用 Google 帳戶登入。

如果登入程式成功，您的瀏覽器會重新導向至 https://jwt.ms ，以顯示 Azure AD B2C 所傳回權杖的內容。

建立原則金鑰

您必須儲存您先前在 Azure AD B2C 租使用者中記錄的用戶端密碼。

1. 登入 Azure 入口網站。
2. 如果您有多個租使用者的存取權，請選取 頂端功能表中的 [設定 ] 圖示，從 [目錄 + 訂 用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。
3. 選擇 Azure 入口網站左上角的 [所有服務 ]，然後搜尋並選取 [Azure AD B2C ]。
4. 在 [概觀] 頁面上，選取 [ 身分識別體驗架構 ]。
5. 選取 [ 原則金鑰 ]，然後選取 [ 新增 ]。
6. 針對 [ 選項 ]，選擇 Manual 。
7. 輸入 原則金鑰的 [名稱 ]。 例如： GoogleSecret 。 前置詞 B2C_1A_ 會自動新增至金鑰的名稱。
8. 在 [秘密 ] 中 ，輸入您先前記錄的用戶端密碼。
9. 針對 [ 金鑰使用方式 ]，選取 Signature 。
10. 按一下 [建立]。

將 Google 設定為識別提供者

若要讓使用者使用 Google 帳戶登入，您必須將帳戶定義為 Azure AD B2C 可以透過端點進行通訊的宣告提供者。 端點提供一組宣告，供 Azure AD B2C 用來驗證特定使用者已驗證。

您可以將 Google 帳戶定義為宣告提供者，方法是將它新增至 原則擴充檔案中的 ClaimsProviders 元素。

1. 開啟 TrustFrameworkExtensions.xml 。

2. 尋找 ClaimsProviders 元素。 如果不存在，請在根項目底下新增它。

3. 新增 ClaimsProvider ，如下所示：

   <ClaimsProvider>
     <Domain>google.com</Domain>
     <DisplayName>Google</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="Google-OAuth2">
         <DisplayName>Google</DisplayName>
         <Protocol Name="OAuth2" />
         <Metadata>
           <Item Key="ProviderName">google</Item>
           <Item Key="authorization_endpoint">https://accounts.google.com/o/oauth2/auth</Item>
           <Item Key="AccessTokenEndpoint">https://accounts.google.com/o/oauth2/token</Item>
           <Item Key="ClaimsEndpoint">https://www.googleapis.com/oauth2/v1/userinfo</Item>
           <Item Key="scope">email profile</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="client_id">Your Google application ID</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_GoogleSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="google.com" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. 將client_id 設定 為應用程式註冊中的應用程式識別碼。

5. 儲存檔案。

新增使用者旅程圖

此時，識別提供者已設定，但尚未在任何登入頁面中提供。 如果您沒有自己的自訂使用者旅程圖，請建立現有範本使用者旅程圖的重複專案，否則請繼續進行下一個步驟。

1. 從入門套件開啟 TrustFrameworkBase.xml 檔案。
2. 尋找並複製包含 Id="SignUpOrSignIn" 之 UserJourney 元素的整個內容 。
3. 開啟 TrustFrameworkExtensions.xml 並尋找 UserJourneys 元素。 如果專案不存在，請新增一個。
4. 貼上您複製為 UserJourneys 元素子系之 UserJourney 元素 的 整個內容。
5. 重新命名使用者旅程圖的識別碼。 例如： Id="CustomSignUpSignIn" 。

將識別提供者新增至使用者旅程圖

現在您已擁有使用者旅程圖，請將新的識別提供者新增至使用者旅程圖。 您必須先新增登入按鈕，然後將按鈕連結至動作。 動作是您稍早建立的技術設定檔。

1. 尋找在 Type="CombinedSignInAndSignUp" 使用者旅程圖中包含 或 Type="ClaimsProviderSelection" 的協調流程步驟元素。 通常是第一個協調流程步驟。 ClaimsProviderSelections 元素包含使用者可以登入的識別提供者清單。 元素的順序會控制向使用者呈現的登入按鈕順序。 新增 ClaimsProviderSelection XML 元素。 將 TargetClaimsExchangeId 的值設定為易記名稱。

2. 在下一個 協調流程步驟中，新增 ClaimsExchange 元素。 將標識符設定為目標宣告交換標識碼的值。將TechnicalProfileReferenceId的值更新為您稍早建立之技術配置檔的標識碼。

下列 XML 示範使用者旅程圖的前兩個協調流程步驟與識別提供者：

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="GoogleExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="GoogleExchange" TechnicalProfileReferenceId="Google-OAuth2" />
  </ClaimsExchanges>
</OrchestrationStep>

設定信賴憑證者原則

信賴憑證者原則，例如 SignUpSignIn.xml，會指定 Azure AD B2C 將執行的使用者旅程圖。 尋找信賴憑證者內的DefaultUserJourney元素。 更新 ReferenceId 以符合您新增識別提供者的使用者旅程圖標識碼。

在下列範例中 CustomSignUpSignIn ，針對使用者旅程圖， ReferenceId 會設定為 CustomSignUpSignIn：

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

上傳自定義原則

1. 登入 Azure 入口網站。
2. 在入口網站工具列中選取 [ 目錄 + 訂 用帳戶] 圖示，然後選取包含 Azure AD B2C 租使用者的目錄。
3. 在 Azure 入口網站中，搜尋並選取 [Azure AD B2C]。
4. 在 [原則] 底下，選取 [身分識別體驗架構]。
5. 選取 [ 上傳自定義原則]，然後上傳您變更的兩個原則檔案，順序如下：擴充原則，例如 TrustFrameworkExtensions.xml，然後是信賴憑證者原則，例如 SignUpSignIn.xml。

測試您的自定義原則

1. 選取您的信賴憑證者原則，例如 B2C_1A_signup_signin。
2. 針對 [ 應用程式]，選取您 先前註冊的 Web 應用程式。 回覆 URL 應該會顯示 https://jwt.ms。
3. 選取 [ 立即 執行] 按鈕。
4. 從 [註冊或登入] 頁面中，選取 [Google] 以使用 Google 帳戶登入。

如果登入程式成功，您的瀏覽器會重新導向至 https://jwt.ms，以顯示 Azure AD B2C 所傳回令牌的內容。

下一步

• 瞭解如何將 Google令牌傳遞至您的應用程式。
• 查看Google同盟 Live示範，以及如何傳遞Google存取令牌 Live 示範