实验室 6:添加联合标识提供者

登录类型 = Microsoft 365 管理

实验室方案

你的公司与许多供应商合作,有时你需要将一些供应商帐户作为来宾添加到你的目录并允许他们使用其 Google 帐户登录。

预计用时:25 分钟

练习 1 - 配置标识提供者

任务 1 - 将 Google 配置为标识提供者

重要说明 - 本练习需要 Google 上的 Gmail 帐户。 创建新的 Google 帐户,然后按照练习的步骤操作。 请务必记下电子邮件地址和密码,这是完成实验室所必需的。

  1. 转到 Google API (https://console.developers.google.com ),并使用 Google 帐户登录。 我们建议使用共享团队 Google 帐户。

  2. 如果系统提示接受服务条款,请接受它。

创建新项目:

  1. 在页面顶部,选择项目菜单以打开“选择项目”页。 选择“新建项目”。 将其余字段保留为默认设置。

  2. 在“新建项目”页上,为项目指定名称:+++MyB2BApp+++,然后选择“创建”。

  3. 通过选择“通知”消息框中的链接,或通过使用页面顶部的项目菜单,打开该新项目。

  4. 在左侧菜单中,选择“API 和服务”,然后选择“OAuth 同意屏幕”。****

  5. 选择“入门”按钮**

  6. 在“应用程序信息”屏幕中输入以下信息:

部分 字段名称
1 应用信息    
  应用名称 +++Microsoft Entra ID+++
  用户支持电子邮件 从下拉列表中选择电子邮件名称
2 受众    
  内部/外部 外部
3 联系人信息    
  电子邮件地址 使用与上方相同的电子邮件地址
4 完成    
  协议 选中该复选框

  1. 选择 Create 按钮继续。

  2. 选择“创建 OAuth 客户端”按钮。

  3. 选择“应用程序=Web 应用程序”。

  4. 接受应用程序的默认名称。

  5. 授权的 JavaScript 源部分,选择“+ 添加 URI”按钮。

  6. 为该值输入 URI +++ https://microsoftonline.com+++。

  7. 已授权重定向 URI 部分,选择“+ 添加 URI”按钮。 在本部分,需要添加三个不同的 URI:

  • 第一个 URI = +++ https://login.microsoftonline.com+++
  • 第二个 URI = +++ https://login.microsoftonline.com/te/租户 ID/oauth2/authresp+++ (其中是你的租户 ID)
  • 第三个 URI = +++ https://login.microsoftonline.com/te/租户名称.onmicrosoft.com/oauth2/authresp+++ (其中是你的租户名称)

实验室提示 - 建议你在实验室虚拟机里用记事本写好这些 URI,再复制粘贴,这样操作更方便。

实验室提示 2 - 结果应与此类似,显示你的租户 ID 和租户名称。

URI # 链接。
URI 1 https://login.microsoftonline.com
URI 2 https://login.microsoftonline.com/te/aaaa1111bbbb2222cccc
URI 3 https://login.microsoftonline.com/te/MyTenantName.onmicrosoft.com/oauth

  1. 选择“创建”按钮。

  2. 创建项目后,将客户端 ID客户端密码复制到记事本,供用户以后使用。

  3. 你可以在此状态下租用项目,无需发布。

任务 2 - 添加测试用户

  1. 从左侧菜单中选择“受众”项。

  2. 在页面的“测试用户”部分,选择“+ 添加用户”。

  3. 输入你正在为本实验室使用的 Gmail 账号。

  4. 选择保存

任务 3 - 将授权域添加到品牌打造

  1. 从左侧菜单中选择“品牌打造”项。

  2. 滚动到页面的最底部。

  3. 在“授权域”部分,添加域 microsoftonline.com

  4. 开发人员联系信息中,添加你用于本实验室的电子邮件地址。

  5. 选择“保存”。

练习 2 - 配置 Azure 以使用外部标识提供者

任务 1 - 为 Google 联合身份验证配置 Microsoft Entra ID

  1. 以管理员身份登录到 https://entra.microsoft.com  。

  2. 选择“Microsoft Entra ID” **

  3. 在“标识” ** 下,选择“外部标识” **。

  4. 从左侧菜单中选择“所有标识提供者”。

  5. Microsoft 为 Google 标识提供者提供直接联合身份验证。可通过从“外部标识” “所有标识提供者”页选择 + Google 来启动此操作

  6. 选择 + Google 后,将打开另一个页面,其中包含将 Google 配置为标识提供者所需的其他信息。

  7. 输入之前获得的客户端 ID 和客户端密码 。

  8. 选择“保存”。

这将完成将 Google 配置为标识提供者的过程。

任务 2 - 邀请你测试用户帐户

  1. 如果使用了现有的 Gmail 帐户,请记得通过“外部标识” “所有标识提供者”删除该帐户。 还可返回到 Google 开发人员控制台并删除所创建的项目。

  2. 打开 Microsoft Entra ID。

  3. 转到“用户”,然后选择“所有用户”**

  4. 选择“+ 新建用户”。

  5. 从下拉菜单中选择“邀请外部用户”。

  6. 输入你在练习 1 任务 2 中设置为 Google 应用的测试用户的 Gmail 帐户的信息。

  7. 根据需要输入个人信息。

  8. 选择“查看 + 邀请”,然后选择“邀请”。
安全说明
如果使用启用了 Passkeys 的现有 Gmail 帐户,将无法在实验室环境中完成登录过程。 Passkey 需要使用蓝牙,而虚拟机无法启用蓝牙。 你仍然可以完成实验室,只需在实验室环境外部运行的 InPrivate 浏览器中执行最后几项任务。

任务 3 - 接受邀请并登录

  1. 使用 InPrivate 浏览器登录到 Gmail 帐户。

  2. 在收件箱中打开“Microsoft 邀请代表方”。

  3. 选择邮件中的“接受邀请”链接。

  4. 按照登录对话框中的要求输入你的用户名和密码(如果需要)。

    注意:如果联合身份验证正常运行,你将在此处看到新 Google 外部标识提供者的第一个结果。 你将转到登录屏幕,并能够使用 Gmail 凭据登录。 如果联合身份验证不起作用或尚未设置,则会在登录后向用户发送帐户验证电子邮件以确认帐户。 使用联合身份验证时,不需要额外的验证。

    注意:如果收到访问错误 500,请等待大约 30 秒并刷新页面。 选择“重新提交”。 此错误仅在实验室环境中是时间问题。

  5. 阅读你收到的新的“权限请求者:”消息。 此消息来自 Azure 实验室域。

  6. 选择“接受”。

  7. 登录完成后,系统会向你发送 MyApplications。

任务 4 - 使用 Google 帐户登录到 Microsoft 365

  1. 完成任务 3 的外部用户邀请过程后,可以直接登录到 Microsoft Online。

  2. 在已打开的浏览器中打开一个新选项卡。

    请注意,如果未在任务 3 中打开新的 InPrivate 浏览器,则应在此步骤中执行此操作。

  3. 输入以下 Web 地址:

    login.microsoftonline.com

  4. 在对话框中选择“登录选项”。

  5. 选择“登录到组织”。

  6. 在框中输入“实验室租户域名”,然后选择“下一步” 。

  7. 输入创建的 Google 电子邮件地址和密码。

此时,你应会看到帐户已传递给 Google 进行确认;随后请输入 Microsoft Office 门户。