将 Facebook 添加为标识提供者(预览版)

适用于:带灰色 X 号的白色圆圈。 员工租户 带白色勾号的绿色圆圈。 外部租户(了解详细信息

通过设置与 Facebook 的联合身份验证,可以使客户能够使用其自己的 Facebook 帐户登录到应用程序。 将 Facebook 添加为应用程序的登录选项之一后,在登录页面上,客户可以使用 Facebook 帐户登录到 Microsoft Entra 外部 ID。 (详细了解客户的身份验证方法和标识提供者。)

提示

立即试用

若要试用此功能,请转到 Woodgrove Groceries 演示并启用“使用社交帐户登录”用例。

创建 Facebook 应用程序

若要使客户能够通过 Facebook 帐户登录,需要在 Facebook App Dashboard 中创建应用程序。 有关详细信息,请参阅应用开发

如果还没有 Facebook 帐户,可通过 https://www.facebook.com 注册。 注册或登录 Facebook 帐户后,启动 Facebook 开发人员帐户注册过程。 有关详细信息,请参阅注册为 Facebook 开发人员

注意

本文档是使用创建时提供商的开发人员页面的状态创建的,可能会发生更改。

  1. 使用 Facebook 开发人员帐户凭据登录面向开发人员的 Facebook
  2. 如果尚未注册,请注册为 Facebook 开发人员:选择页面右上角的“入门”,接受 Facebook 的策略,然后完成注册步骤。
  3. 选择“创建应用”。 此步骤要求你接受 Facebook 平台政策并完成在线安全检查。
  4. 选择“通过 Facebook 登录进行身份验证并向用户请求数据”>“下一步”。
  5. 在“您在构建游戏吗?”下,选择“否,我不是在构建游戏”,然后选择“下一步”。
  6. 添加应用名称和有效的应用联系人电子邮件。 如果你有企业帐户,则还可以添加企业帐户。
  7. 选择“创建应用” 。
  8. 在创建应用后,转到“仪表板”。
  9. 选择“应用设置”>“基本信息”。
    1. 复制“应用程序 ID”的值。 然后,选择“显示”,复制“应用密码”的值。 使用这两个值将 Facebook 配置为租户中的标识提供者。 “应用程序密码”是一个非常重要的安全凭据。
    2. 为“隐私策略 URL”输入一个 URL,例如 https://www.contoso.com/privacy。 策略 URL 是继续提供应用程序的隐私信息的页面。
    3. 为“服务条款 URL”输入一个 URL,例如 https://www.contoso.com/tos。 策略 URL 是你为应用程序继续提供条款和条件的页面。
    4. 输入用户数据删除 URL,例如 https://www.contoso.com/delete_my_data。 用户数据删除 URL 是为了让用户能够请求删除其数据而保留的页面。
    5. 选择“类别”(例如“业务”和“网页”)。 Facebook 需要此值,但 Microsoft Entra ID 不会使用此值。
  10. 在页面底部,选择“添加平台”,选择“网站”,然后选择“下一步”。
  11. 在“网站 URL”中,输入网站的地址,例如 https://contoso.com
  12. 选择“保存更改”。
  13. 在左侧选择“用例”,然后选择“身份验证和帐户创建”旁边的“自定义”。
  14. 在“Facebook 登录”下选择“转到设置”。
  15. 在“有效的 OAuth 重定向 URI”中,输入以下 URI,将 <tenant-ID> 替换为你的 Microsoft Entra 租户 ID,将 <tenant-name> 替换为你的 Microsoft Entra 租户名称:
  • https://login.microsoftonline.com/te/<tenant-ID>/oauth2/authresp
  • https://login.microsoftonline.com/te/<tenant-subdomain>.onmicrosoft.com/oauth2/authresp
  • https://<tenant-name>.ciamlogin.com/<tenant-ID>/federation/oidc/www.facebook.com
  • https://<tenant-name>.ciamlogin.com/<tenant-name>.onmicrosoft.com/federation/oidc/www.facebook.com
  • https://<tenant-name>.ciamlogin.com/<tenant-ID>/federation/oauth2
  • https://<tenant-name>.ciamlogin.com/<tenant-name>.onmicrosoft.com/federation/oauth2
  1. 选择“保存更改”并在页面顶部选择“应用”,然后选择你刚才创建的应用。
  2. 在页面左侧选择“用例”,然后选择“身份验证和帐户创建”旁边的“自定义”。
  3. 通过在“权限”下选择“添加”来添加电子邮件权限。
  4. 在页面顶部选择“返回”
  5. 此时,只有 Facebook 应用程序所有者可以登录。 由于已注册应用,因此可以使用 Facebook 帐户登录。 为了让用户可以使用 Facebook 应用程序,请从菜单中选择“上线”。 按照列出的所有步骤完成所有要求。 你可能需要完成数据处理问题和企业验证,以验证你的企业实体或组织的身份。 有关详细信息,请参阅 Meta 应用开发

在 Microsoft Entra 外部 ID 中配置 Facebook 联合身份验证

创建 Facebook 应用程序后,接下来在 Microsoft Entra ID 中设置 Facebook 客户端 ID 和客户端密码。 可使用 Microsoft Entra 管理中心或 PowerShell 执行此操作。 若要在 Microsoft Entra 管理中心配置 Facebook 联合身份验证,请执行以下步骤:

  1. 登录 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“所有标识提供者”。

  3. 在“Facebook”旁边的“内置”选项卡上,选择“配置”。

  4. 输入“名称”。 例如 Facebook。

  5. 对于“客户端 ID”,输入之前创建的 Facebook 应用程序的“应用 ID”。

  6. 对于“客户端密码”,输入已记录的“应用机密”。

  7. 选择“保存”。

按照以下步骤使用 PowerShell 配置 Facebook 联合身份验证:

  1. 安装最新版本的 Microsoft Graph PowerShell

  2. 运行以下命令:

    Connect-MgGraph -Scopes "IdentityProvider.ReadWrite.All"
    
  3. 在登录提示符下,至少以外部标识提供者管理员身份登录。

  4. 运行以下命令:

    $params = @{
       "@odata.type" = "microsoft.graph.socialIdentityProvider"
       displayName = "Facebook"
       identityProviderType = "Facebook"
       clientId = "[Client ID]"
       clientSecret = "[Client secret]"
    }
    
    New-MgIdentityProvider -BodyParameter $params
    

使用在“创建 Facebook 应用程序”步骤中创建的应用的客户端 ID 和客户端密码。

将 Facebook 标识提供程序添加到用户流

此时,Facebook 标识提供者已在外部租户中设置完毕,但还不能在任何登录页面中使用。 若要将 Facebook 标识提供者添加到用户流,请执行以下操作:

  1. 浏览到“标识”>“外部标识”>“用户流”。

  2. 选择要将 Facebook 标识提供者添加到的用户流。

  3. 在“设置”下,选择“标识提供者”

  4. 在“其他标识提供者”下,选择“Facebook”。

  5. 在窗格顶部,选择“保存”

后续步骤