Configurer l’inscription et la connexion avec un compte Google à l’aide d’Azure Active Directory B2C
Avant de commencer, utilisez le sélecteur Choisir un type de stratégie pour choisir le type de stratégie que vous configurez. Azure Active Directory B2C offre deux possibilités pour définir la façon dont les utilisateurs interagissent avec vos applications : via des flux utilisateurs prédéfinis ou via des stratégies personnalisées entièrement configurables. La procédure donnée dans cet article est différente pour chaque méthode.
Important
À partir du 30 septembre 2021, Google déprécie la prise en charge de la connexion par vue web. Si vos applications authentifient les utilisateurs avec une vue web incorporée et que vous utilisez la fédération Google avec Azure AD B2C, les utilisateurs de Google Gmail ne pourront pas s’authentifier. Plus d’informations
Notes
Dans Active Directory B2C, les stratégies personnalisées sont principalement conçues pour gérer des scénarios complexes. Pour la plupart des scénarios, nous vous recommandons de recourir à des flux d’utilisateurs intégrés. Si vous ne l’avez pas fait, découvrez le Pack de démarrage de stratégie personnalisée dans Prise en main des stratégies personnalisées dans Active Directory B2C.
Prérequis
- Créez un flux d’utilisateurs pour permettre aux utilisateurs de s’inscrire et de se connecter à votre application.
- Inscrire une application web.
Créer une application Google
Pour permettre la connexion des utilisateurs avec un compte Google dans Azure Active Directory B2C (Azure AD B2C), vous devez créer une application sur la console Google Developers. Pour plus d’informations, consultez Configuration d’OAuth 2.0. Si vous ne disposez pas déjà d’un compte Google, vous pouvez vous inscrire à l’adresse https://accounts.google.com/signup
.
- Connectez-vous à la Console Google Developers avec les informations d’identification de votre compte Google.
- Dans le coin supérieur gauche de la page, sélectionnez la liste des projets, puis Nouveau projet.
- Entrez un nom de projet , sélectionnez Créer.
- Vérifiez que vous utilisez le nouveau projet en sélectionnant la liste déroulante Projet en haut à gauche de l’écran. Sélectionnez le nom de votre projet, puis Ouvrir.
- Dans le menu de gauche, sélectionnez API et services, puis Écran de consentement OAuth. Sélectionnez Externe, puis Créer.
- Entrez un nom pour votre application.
- Sélectionnez une adresse e-mail de support utilisateur.
- Dans la section Domaine d’application, entrez un lien vers la page d’accueil de l’application, un lien vers la politique de confidentialité de votre application et un lien vers les conditions d’utilisation du service de votre application.
- Dans la section Domaines autorisés, entrez b2clogin.com.
- Dans la section Informations de contact du développeur, entrez des adresses e-mail séparées par des virgules pour que Google puisse vous informer des modifications apportées à votre projet.
- Sélectionnez Enregistrer.
- Sélectionnez Informations d’identification dans le menu de gauche, puis Créer des informations d’identification>ID client OAuth.
- Sous Type d’application, sélectionnez Application web.
- Entrez un nom pour votre application.
- Pour les origines JavaScript autorisées, entrez
https://your-tenant-name.b2clogin.com
. Si vous utilisez un domaine personnalisé, entrezhttps://your-domain-name
. - Pour les URI de redirection autorisés, entrez
https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp
. Si vous utilisez un domaine personnalisé, entrezhttps://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp
. Remplacezyour-domain-name
par le nom de votre domaine personnalisé etyour-tenant-name
par le nom de votre locataire. Utilisez uniquement des minuscules quand vous entrez le nom de votre locataire, même si le locataire est défini à l’aide de majuscules dans Azure AD B2C.
- Cliquez sur Créer.
- Copiez les valeurs de ID client et Clé secrète client. Vous aurez besoin de ces deux valeurs pour configurer Google comme fournisseur d’identité dans votre locataire. Client secret est une information d’identification de sécurité importante.
Configurer Google en tant que fournisseur d’identité
- Connectez-vous au portail Azure en tant qu’administrateur général de votre locataire Azure AD B2C.
- Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
- Choisissez Tous les services dans le coin supérieur gauche du Portail Azure, recherchez et sélectionnez Azure Active Directory B2C.
- Sélectionnez Fournisseurs d’identité, puis Google.
- Saisissez un Nom. Par exemple, Google.
- Dans ID client, entrez l’ID client de l’application Google que vous avez créée précédemment.
- Dans Clé secrète client, entrez la clé secrète client que vous avez enregistrée.
- Sélectionnez Enregistrer.
Ajouter le fournisseur d’identité Google à un flux d’utilisateur
À ce stade, le fournisseur d’identité Google a été configuré, mais il n’est encore disponible dans aucune des pages de connexion. Pour ajouter le fournisseur d’identité Google à un flux d’utilisateur :
- Dans votre locataire Azure AD B2C, sélectionnez Flux d’utilisateur.
- Cliquez sur le flux d’utilisateur auquel vous souhaitez ajouter le fournisseur d’identité Google.
- Sous Fournisseurs d’identité sociale, sélectionnez Google.
- Sélectionnez Enregistrer.
- Pour tester votre stratégie, sélectionnez Exécuter le flux d’utilisateur.
- Pour Application, sélectionnez l’application web testapp1 que vous avez précédemment inscrite. L’URL de réponse doit être
https://jwt.ms
. - Sélectionnez le bouton Exécuter le flux d’utilisateur.
- Dans la page d’inscription ou de connexion, sélectionnez Google pour vous connecter avec un compte Google.
Si le processus de connexion réussit, votre navigateur est redirigé vers https://jwt.ms
, qui affiche le contenu du jeton retourné par Azure AD B2C.
Création d’une clé de stratégie
Vous devez stocker la clé secrète client que vous avez enregistrée dans votre locataire Azure AD B2C.
- Connectez-vous au portail Azure.
- Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
- Choisissez Tous les services dans le coin supérieur gauche du portail Azure, puis recherchez et sélectionnez Azure AD B2C.
- Dans la page de vue d’ensemble, sélectionnez Infrastructure d’expérience d’identité.
- Sélectionnez Clés de stratégie, puis Ajouter.
- Pour Options, choisissez
Manual
. - Entrez un nom pour la clé de stratégie. Par exemple :
GoogleSecret
. Le préfixeB2C_1A_
est ajouté automatiquement au nom de votre clé. - Dans Secret, entrez la clé secrète client que vous avez enregistrée.
- Pour Utilisation de la clé, sélectionnez
Signature
. - Cliquez sur Créer.
Configurer Google en tant que fournisseur d’identité
Pour permettre aux utilisateurs de se connecter avec un compte Google, vous devez définir le compte en tant que fournisseur de revendications avec lequel Azure Active Directory B2C peut communiquer via un point de terminaison. Le point de terminaison fournit un ensemble de revendications utilisées par Azure AD B2C pour vérifier qu’un utilisateur spécifique s’est authentifié.
Vous pouvez définir un compte Google en tant que fournisseur de revendications en l’ajoutant à l’élément ClaimsProviders dans le fichier d’extension de votre stratégie.
Ouvrez le fichier TrustFrameworkExtensions.xml.
Recherchez l’élément ClaimsProviders. S’il n’existe pas, ajoutez-le sous l’élément racine.
Ajoutez un nouveau ClaimsProvider comme suit :
<ClaimsProvider> <Domain>google.com</Domain> <DisplayName>Google</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Google-OAuth2"> <DisplayName>Google</DisplayName> <Protocol Name="OAuth2" /> <Metadata> <Item Key="ProviderName">google</Item> <Item Key="authorization_endpoint">https://accounts.google.com/o/oauth2/auth</Item> <Item Key="AccessTokenEndpoint">https://accounts.google.com/o/oauth2/token</Item> <Item Key="ClaimsEndpoint">https://www.googleapis.com/oauth2/v1/userinfo</Item> <Item Key="scope">email profile</Item> <Item Key="HttpBinding">POST</Item> <Item Key="UsePolicyInRedirectUri">false</Item> <Item Key="client_id">Your Google application ID</Item> </Metadata> <CryptographicKeys> <Key Id="client_secret" StorageReferenceId="B2C_1A_GoogleSecret" /> </CryptographicKeys> <OutputClaims> <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" /> <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" /> <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" /> <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" /> <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" /> <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="google.com" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" /> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" /> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" /> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" /> <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" /> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>
Définissez client_id sur l’ID d’application de l’inscription de l’application.
Enregistrez le fichier .
Ajouter un parcours utilisateur
À ce stade, le fournisseur d’identité a été configuré, mais il n’est encore disponible dans aucune des pages de connexion. Si vous n’avez pas votre propre parcours utilisateur personnalisé, créez un doublon d’un modèle de parcours utilisateur existant ; sinon, passez à l’étape suivante.
- Ouvrez le fichier TrustFrameworkBase.xml à partir du pack de démarrage.
- Recherchez et copiez l’intégralité du contenu de l’élément UserJourney comprenant
Id="SignUpOrSignIn"
. - Ouvrez le fichier TrustFrameworkExtensions.xml, puis recherchez l’élément UserJourneys. Si l’élément n’existe pas, ajoutez-en un.
- Collez l’intégralité du contenu de l’élément UserJourney que vous avez copié en tant qu’enfant de l’élément UserJourneys.
- Renommez l’ID du parcours utilisateur. Par exemple :
Id="CustomSignUpSignIn"
.
Ajoutez le fournisseur d’identité à un parcours utilisateur
Maintenant que vous disposez d’un parcours utilisateur, ajoutez-y le nouveau fournisseur d’identité. Vous ajoutez d’abord un bouton de connexion, puis vous liez le bouton à une action. L’action représente le profil technique que vous avez créé plus haut.
Recherchez l’élément d’étape d’orchestration comprenant
Type="CombinedSignInAndSignUp"
ouType="ClaimsProviderSelection"
dans le parcours utilisateur. Il s’agit généralement de la première étape d’orchestration. L’élément ClaimsProviderSelections contient une liste de fournisseurs d’identité auxquels un utilisateur peut se connecter. L’ordre des éléments détermine l’ordre des boutons de connexion présentés à l’utilisateur. Ajoutez un élément XML ClaimsProviderSelection. Définissez la valeur TargetClaimsExchangeId sur un nom convivial.À la prochaine étape d’orchestration, ajoutez un élément ClaimsExchange. Définissez ID sur la valeur de l’ID d’échange des revendications cible. Mettez à jour la valeur de TechnicalProfileReferenceId sur l’ID du profil technique que vous avez créé précédemment.
Le code XML suivant montre les deux premières étapes d’orchestration d’un parcours utilisateur avec le fournisseur d’identité :
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="GoogleExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="GoogleExchange" TechnicalProfileReferenceId="Google-OAuth2" />
</ClaimsExchanges>
</OrchestrationStep>
Configurer la stratégie de partie de confiance
La stratégie de partie de confiance, par exemple SignUpSignIn.xml, spécifie le parcours utilisateur à partir duquel Azure AD B2C s’exécutera. Recherchez l’élément DefaultUserJourney dans la partie de confiance. Mettez à jour la valeur ReferenceId afin qu’elle corresponde à l’ID du parcours utilisateur auquel vous avez ajouté le fournisseur d'identité.
Dans l’exemple suivant, pour le parcours utilisateur CustomSignUpSignIn
, la valeur ReferenceId est définie sur CustomSignUpSignIn
:
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
Téléchargez la stratégie personnalisée
- Connectez-vous au portail Azure.
- Sélectionnez l’icône Annuaire et abonnement dans la barre d’outils du portail, puis sélectionnez l’annuaire qui contient votre locataire Azure AD B2C.
- Dans la Portail Azure, recherchez et sélectionnez Azure AD B2C.
- Sous Stratégies, sélectionnez Identity Experience Framework.
- Sélectionnez Charger une stratégie personnalisée, puis chargez les deux fichiers de stratégie que vous avez modifiés, dans l’ordre suivant : la stratégie d’extension, par exemple
TrustFrameworkExtensions.xml
, puis la stratégie de la partie de confiance, par exempleSignUpSignIn.xml
.
Tester votre stratégie personnalisée
- Sélectionnez votre stratégie de partie de confiance, par exemple
B2C_1A_signup_signin
. - Pour Application, sélectionnez une application web que vous avez précédemment inscrite. L’URL de réponse doit être
https://jwt.ms
. - Sélectionnez le bouton Exécuter maintenant.
- Dans la page d’inscription ou de connexion, sélectionnez Google pour vous connecter avec un compte Google.
Si le processus de connexion réussit, votre navigateur est redirigé vers https://jwt.ms
, qui affiche le contenu du jeton retourné par Azure AD B2C.
Étapes suivantes
- Découvrez comment transmettre un jeton Google à votre application.
- Consultez la démonstration en direct de la fédération Google et comment passer la démonstration en direct du jeton d’accès Google