Aggiungere Google come provider di identità (anteprima)
Si applica a: Tenant della forza lavoro Tenant esterni (altre informazioni)
Configurando la federazione con Google, è possibile consentire ai clienti di accedere alle applicazioni con i propri account Google. Dopo aver aggiunto Google come una delle opzioni di accesso del flusso utente, i clienti possono iscriversi e accedere all'applicazione con un account Google. (Altre informazioni sui metodi di autenticazione e sui provider di identità per i clienti).
Suggerimento
Per provare questa funzionalità, passare alla demo Woodgrove Groceries e avviare il caso d'uso "Accedi con un account social".
Prerequisiti
- Un tenant esterno.
- Flusso utente di iscrizione e di accesso.
Creazione di un'applicazione Google
Per abilitare l'accesso per i clienti con un account Google, è necessario creare un'applicazione in Google Developers Console. Per altre informazioni, vedere Configurazione di OAuth 2.0. Se non si ha già un account Google, è possibile iscriversi all'indirizzo https://accounts.google.com/signup
.
Accedere alla Google Developers Console con le credenziali dell'account Google.
Se richiesto, accettare le condizioni d'uso.
Nell'angolo superiore sinistro della pagina selezionare l'elenco di progetti e quindi selezionare Nuovo progetto.
Immettere un Nome progetto, selezionare Crea.
Assicurarsi di usare il nuovo progetto selezionando l'elenco a discesa del progetto nell'angolo in alto a sinistra dello schermo. Selezionare il progetto in base al nome e quindi selezionare Apri.
Nel menu a sinistra, in Accesso rapido, selezionare API e servizi e quindi schermata di consenso OAuth.
Per User Type (Tipo utente) selezionare External (Esterno) e quindi selezionare Create (Crea).
Nella schermata di consenso OAuth, in Informazioni sull'app
- Immettere un nome per l'applicazione.
- Selezionare un indirizzo di posta elettronica del supporto utente.
Nella sezione Domini autorizzati selezionare Aggiungi dominio e quindi aggiungere
ciamlogin.com
emicrosoftonline.com
.Nella sezione Informazioni contatto sviluppatore immettere messaggi di posta elettronica separati da virgole per Google per notificare eventuali modifiche al progetto.
Seleziona Salva e continua.
Dal menu a sinistra selezionare Credenziali
Selezionare Crea credenziali e quindi ID client OAuth.
In Tipo di applicazione selezionare Applicazione Web.
- Immettere un nome appropriato per l'applicazione, ad esempio "Microsoft Entra per ID esterno".
- In URI di reindirizzamento OAuth validi immettere gli URI seguenti. Sostituire
<tenant-ID>
con l'ID directory (tenant) del cliente e<tenant-subdomain>
con il sottodominio della directory del cliente (tenant). Se non si dispone del nome del tenant, vedere come leggere i dettagli del tenant.
https://login.microsoftonline.com
https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
https://<tenant-ID>.ciamlogin.com/<tenant-ID>/federation/oidc/accounts.google.com
https://<tenant-ID>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oidc/accounts.google.com
https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2
https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2
Seleziona Crea.
Registrare i valori di ID client e segreto client. Sono necessari entrambi i valori per configurare Google come provider di identità nel tenant.
Nota
In alcuni casi, l'app potrebbe richiedere la verifica da Parte di Google(ad esempio, se aggiorni il logo dell'applicazione). Per altre informazioni, consulta il GUID dello stato di verifica di Google.
Configurare la federazione di Google in Microsoft Entra per ID esterno
Dopo aver creato l'applicazione Google, in questo passaggio si impostano l'ID client Google e il segreto client in Microsoft Entra ID. A tal fine, usare l'interfaccia di amministrazione di Microsoft Entra o PowerShell. Per configurare la federazione di Google nell'interfaccia di amministrazione di Microsoft Entra, seguire questa procedura:
Accedi all'Interfaccia di amministrazione di Microsoft Entra.
Passare a Identità>Identità esterne>Tutti i provider di identità.
Nella scheda Predefinita, accanto a Google, selezionare Configura.
Immetti un valore per Nome. Ad esempio, Google.
Per ID client immettere l'ID client dell'applicazione Google creata in precedenza.
Per Segreto client immettere il segreto client registrato.
Seleziona Salva.
Per configurare la federazione di Google tramite PowerShell, seguire questa procedura:
Installare la versione più recente del modulo Microsoft Graph PowerShell per Graph.
Eseguire il seguente comando:
Connect-MgGraph
Al prompt di accesso accedere come almeno un amministratore del provider di identità esterno.
Esegui questo comando:
Import-Module Microsoft.Graph.Identity.SignIns $params = @{ "@odata.type" = "microsoft.graph.socialIdentityProvider" displayName = "Login with Google" identityProviderType = "Google" clientId = "00001111-aaaa-2222-bbbb-3333cccc4444" clientSecret = "000000000000" } New-MgIdentityProvider -BodyParameter $params
Usare l'ID client e il segreto client dell'app creata nel passaggio Creare un'applicazione Google.
Aggiungere un provider di identità Google a un flusso utente
A questo punto, il provider di identità Google è stato configurato nell'ID Microsoft Entra, ma non è ancora disponibile in nessuna delle pagine di accesso. Per aggiungere il provider di identità Google a un flusso utente:
Nel tenant esterno passare a Identità>>esterne Flussi utente.
Selezionare il flusso utente in cui si vuole aggiungere il provider di identità Google.
In Impostazioni selezionare Provider di identità.
In Altri provider di identità selezionare Google.
Seleziona Salva.