Hinzufügen von Google als Identitätsanbieter (Vorschau)

Gilt für: Weißer Kreis mit grauem X. Mitarbeitermandanten Grüner Kreis mit weißem Häkchen. Externe Mandanten (weitere Informationen)

Indem Sie den Verbund mit Google einrichten, ermöglichen Sie es Kund*innen, sich mit ihren eigenen Gmail-Konten bei Ihren Anwendungen anzumelden. Nachdem Sie Google als eine der Anmeldeoptionen Ihres Benutzerflows hinzugefügt haben, können sich Kund*innen mit einem Google-Konto bei Ihrer Anwendung registrieren und sich anmelden. (Erfahren Sie mehr über Authentifizierungsmethoden und Identitätsanbieter für Kunden.)

Tipp

Jetzt testen

Um dieses Feature auszuprobieren, wechseln Sie zur Woodgrove Groceries Demo und starten Sie den Anwendungsfall "Anmelden mit einem Social Media-Konto".

Voraussetzungen

Erstellen einer Google-Anwendung

Um die Anmeldung für Kunden mit einem Google-Konto zu aktivieren, müssen Sie eine Anwendung in der Google Developers Console erstellen. Weitere Informationen finden Sie unter Einrichten von OAuth 2.0. Wenn Sie noch über kein Google-Konto verfügen, können Sie sich unter https://accounts.google.com/signup registrieren.

  1. Melden Sie sich bei der Google Developers Console mit den Anmeldeinformationen für Ihr Google-Konto an.

  2. Stimmen Sie den Vertragsbedingungen zu, wenn Sie dazu aufgefordert werden.

  3. Wählen Sie in der oberen linken Ecke der Seite die Projektliste aus, und wählen Sie dann Neues Projekt aus.

  4. Geben Sie einen Projektnamen ein, und wählen Sie Erstellen aus.

  5. Stellen Sie sicher, dass Sie das neue Projekt verwenden. Wählen Sie dazu oben links auf dem Bildschirm die Dropdownliste „Projekt“ aus. Wählen Sie Ihr Projekt (anhand des Namens) aus, und wählen Sie dann Öffnen aus.

  6. Wählen Sie unter Schnellzugriff oder im Menü links die APIs & Dienste und danach OAuth-Zustimmungsbildschirm aus.

  7. Wählen Sie unter Benutzertyp die Option Extern und dann Erstellen aus.

  8. Wählen Sie auf dem OAuth-Zustimmungsbildschirm unter App-Informationen

    1. Geben Sie einen Namen für Ihre Anwendung ein.
    2. eine E-Mail-Adresse für den Benutzersupport aus.
  9. Wählen Sie im Abschnitt Autorisierte Domänen die Option Domäne hinzufügen aus und fügen Sie dann ciamlogin.com und microsoftonline.com hinzu.

  10. Geben Sie im Abschnitt Kontaktdaten des Entwicklers durch Trennzeichen getrennte E-Mail-Adressen für Google ein, damit Sie über Änderungen an Ihrem Projekt informiert werden.

  11. Wählen Sie Speichern und fortfahren aus.

  12. Wählen Sie aus dem Menü links Anmeldeinformationen aus.

  13. Wählen Sie Anmeldeinformationen erstellen und dann OAuth-Client-ID aus.

  14. Wählen Sie unter Anwendungstyp die Option Webanwendung aus.

    1. Geben Sie einen geeigneten Namen für Ihre Anwendung ein, z. B. „Microsoft Entra External ID“.
    2. Geben Sie unter Autorisierte OAuth-Weiterleitungs-URIs die folgenden URIs ein. Ersetzen Sie <tenant-ID> durch Ihre Kundenverzeichnis-ID (Mandanten-ID) und <tenant-subdomain> durch Ihre Unterdomäne des Kundenverzeichnisses (Mandanten). Wenn Sie ihren Mandantennamen nicht kennen, können Sie Ihre Mandantendetails auslesen.
    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
    • https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
    • https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.com
    • https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.com
    • https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2
    • https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2
  15. Klicken Sie auf Erstellen.

  16. Speichern Sie die Werte für Client-ID und Geheimer Clientschlüssel. Sie benötigen beide Werte, um Google+ als Identitätsanbieter in Ihrem Mandanten zu konfigurieren.

Hinweis

In einigen Fällen erfordert Ihre App möglicherweise eine Überprüfung durch Google (z. B. beim Aktualisieren des Anwendungslogos). Weitere Informationen finden Sie in der Guid für den Überprüfungsstatus von Google.

Konfigurieren eines Verbunds mit Google in Microsoft Entra External ID

Nachdem Sie die Google-Anwendung erstellt haben, legen Sie in diesem Schritt die Google-Client-ID und den geheimen Clientschlüssel in Microsoft Entra ID fest. Dazu können Sie das Microsoft Entra Admin Center oder PowerShell verwenden. Führen Sie die folgenden Schritte aus, um den Google-Verbund im Microsoft Entra Admin Center zu konfigurieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center an. 

  2. Browsen Sie zu Identität>External Identities>Alle Identitätsanbieter.

  3. Wählen Sie auf der Registerkarte Integriert neben Facebook die Option Konfigurieren aus.

  4. Geben Sie einen Namen ein. Beispiel: Google.

  5. Geben Sie für die Client-ID die Client-ID der Google-Anwendung ein, die Sie zuvor erstellt haben.

  6. Geben Sie für Geheimer Clientschlüssel den zuvor notierten geheimen Clientschlüssel ein.

  7. Wählen Sie Speichern aus.

So konfigurieren Sie den Google-Verbund mithilfe von PowerShell:

  1. Installieren Sie die neueste Version des Microsoft Graph PowerShell-Moduls.

  2. Führen Sie den folgenden Befehl aus: Connect-MgGraph

  3. Melden Sie sich bei der Anmeldeaufforderung mindestens mit der Rolle Administrator für externe Identitätsanbieter an.

  4. Führen Sie den folgenden Befehl aus:

    Import-Module Microsoft.Graph.Identity.SignIns
    $params = @{
    "@odata.type" = "microsoft.graph.socialIdentityProvider"
    displayName = "Login with Google"
    identityProviderType = "Google"
    clientId = "00001111-aaaa-2222-bbbb-3333cccc4444"
    clientSecret = "000000000000"
    }
    New-MgIdentityProvider -BodyParameter $params
    

Verwenden Sie die Client-ID und den geheimen Clientschlüssel der App, die Sie im Schritt Google-Anwendung erstellen erstellt haben.

Hinzufügen von Google als Identitätsanbieter zu einem Benutzerflow

Der Google-Identitätsanbieter ist jetzt in Ihrer Microsoft Entra ID-Instanz eingerichtet; er ist jedoch noch auf keiner der Anmeldeseiten verfügbar. So fügen Sie den Google-Identitätsanbieter einem Benutzerflow hinzu:

  1. Browsen Sie in Ihrem externen Mandanten zu Identität>Externe Identitäten>Benutzerflows.

  2. Wählen Sie den Benutzerflow aus, dem Sie Google als Identitätsanbieter hinzufügen möchten.

  3. Wählen Sie unter „Einstellungen“ die Option Identitätsanbieter aus.

  4. Wählen Sie unter Andere Identitätsanbieter die Option Google aus.

  5. Wählen Sie Speichern aus.

Nächste Schritte