Lab 06: Hinzufügen eines Verbundidentitätsanbieters
Anmeldetyp = Microsoft 365 Admin
Labszenario
Ihr Unternehmen arbeitet mit vielen Anbietern zusammen, und gelegentlich müssen Sie Ihrem Verzeichnis einige Lieferantenkonten als Gast hinzufügen und es ihnen ermöglichen, sich mit ihrem Google-Konto anzumelden.
Geschätzte Dauer: 25 Minuten
Übung 1: Konfigurieren von Identitätsanbietern
Aufgabe 1: Konfigurieren von Google als Identitätsanbieter
Wichtiger Hinweis: Für diese Übung benötigen Sie ein Gmail-Konto auf Google. Erstellen Sie ein neues Google-Konto, und führen Sie dann die Schritte für die Übung aus. Notieren Sie die E-Mail-Adresse und das Kennwort; sie sind erforderlich, um das Lab durchzuführen.
-
Wechseln Sie zur Google-APIs unter https://console.developers.google.com, und melden Sie sich mit Ihrem Google-Konto an. Es wird empfohlen, ein freigegebenes Google-Teamkonto zu verwenden.
-
Stimmen Sie den Vertragsbedingungen zu, wenn Sie dazu aufgefordert werden.
Erstellen eines neuen Projekts:
-
Wählen Sie oben auf der Seite das Projektmenü aus, um die Seite „Projekt auswählen“ zu öffnen. Wählen Sie Neues Projekt aus. Ändern Sie die Standardeinstellungen der anderen Felder nicht.
-
Geben Sie auf der Seite „Neues Projekt“ einen Namen (beispielsweise MyB2BApp) für das Projekt ein, und wählen Sie dann Erstellen aus.
-
Öffnen Sie das neue Projekt über den Link Benachrichtigungen im Meldungsfeld oder das Projektmenü oben auf der Seite.
-
Wählen Sie im linken Menü APIs & Dienste und dann OAuth-Zustimmungsbildschirm aus.
-
Wählen Sie unter Benutzertyp die Option Extern und dann Erstellen aus.
-
Geben Sie auf dem OAuth-Zustimmungsbildschirm unter App-Informationen einen App-Namen ein, z. B. Microsoft Entra ID.
-
Wählen Sie unter „Benutzersupport-E-Mail“ eine E-Mail-Adresse aus. Diese sollte die E-Mail-Adresse enthalten, die Sie zum Anmelden bei Google verwendet haben.
-
Wählen Sie unter „Autorisierte Domänen“ + Domäne hinzufügen aus, und fügen Sie dann die Domäne microsoftonline.com hinzu.
microsoftonline.com
-
Geben Sie unter „Entwicklerkontaktinformationen“ die E-Mail-Adresse für das Labkonto ein, das Sie zum Anmelden beim Portal verwendet haben.
-
Wählen Sie Speichern und fortfahren aus.
-
Wählen Sie im linken Menü Anmeldeinformationen aus.
-
Wählen Sie + Anmeldeinformationen erstellen und dann OAuth-Client-ID aus.
-
Wählen Sie im Menü Anwendungstyp die Option Webanwendung aus. Geben Sie der Anwendung einen geeigneten Namen, z. B. Microsoft Entra B2B. Fügen Sie unter Autorisierte Weiterleitungs-URIs die folgenden URIs hinzu:
https://login.microsoftonline.com
https://login.microsoftonline.com/te/**Mandanten-ID**/oauth2/authresp (wobei <tenant ID> Ihre Mandanten-ID ist) ```
https://login.microsoftonline.com/te/**tenant name**.onmicrosoft.com/oauth2/authresp
(where <tenant name> is your tenant name) ```
-
Klicken Sie auf Erstellen. Kopieren Sie Ihre Client-ID und den geheimen Clientschlüssel. Sie verwenden diese Informationen, wenn Sie den Identitätsanbieter im Azure-Portal hinzufügen.
-
Sie können Ihr Projekt im Veröffentlichungsstatus „Testen“ belassen.
Aufgabe 2: Hinzufügen eines Testbenutzers
-
Wählen Sie OAuth-Zustimmungsbildschirm im Menü „APIs und Dienste“ aus.
-
Wählen Sie im Abschnitt Testbenutzer* der Seite **+ Benutzer hinzufügen aus.
-
Geben Sie das Gmail-Konto ein, das Sie für dieses Lab erstellt haben (oder verwenden).
-
Wählen SieSpeichern
Übung 2 – Konfigurieren von Azure für die Arbeit mit einem externen Identitätsanbieter
Aufgabe 1: Konfigurieren des Google-Verbunds in Microsoft Entra ID
-
Melden Sie sich bei https://entra.microsoft.com als Admin an.
-
Wählen Sie Microsoft Entra ID aus.
-
Wählen Sie unter Identität die Option Externe Identitäten aus.
-
Wählen Sie im Menü auf der linken Seite Alle Identitätsanbieter aus.
-
Microsoft stellt einen direkten Partnerverbund für Google als Identitätsanbieter bereit. Dies kann durch Auswahl von + Google auf der Seite **External Identities Alle Identitätsanbieter** initiiert werden. -
Nachdem Sie „+ Google“ ausgewählt haben, wird eine andere Seite mit zusätzlichen Informationen geöffnet, die zum Konfigurieren von Google als Identitätsanbieter erforderlich sind.
-
Geben Sie die Client-ID und den geheimen Clientschlüssel ein, die Sie zuvor erhalten haben.
- Wählen Sie Speichern aus.
Damit ist die Konfiguration von Google als Identitätsanbieter abgeschlossen.
Aufgabe 2: Einladen eines Testbenutzerkontos
-
Wenn Sie ein vorhandenes Gmail-Konto verwendet haben, denken Sie daran, das Konto mit **External Identities Alle Identitätsanbieter** zu löschen. Sie können auch zur Google-Entwicklerkonsole zurückkehren und das von Ihnen erstellte Projekt löschen. -
Öffnen Sie Microsoft Entra ID.
-
Wechseln Sie zu “Benutzer”, und wählen Sie dann Alle Benutzer aus.
-
Klicken Sie auf + Neuer Benutzer.
-
Wählen Sie im Dropdownmenü Invite external user aus.
-
Geben Sie die Informationen für das Gmail-Konto ein, das Sie als Testbenutzer für die Google App in Übung 1 Aufgabe 2 eingerichtet haben.
-
Geben Sie eine persönliche Nachricht ein.
- Wählen Sie Einladen aus.
Aufgabe 3: Annehmen der Einladung und Anmeldung
-
Verwenden Sie einen InPrivate-Browser, um sich bei Ihrem Gmail-Konto anzumelden.
-
Öffnen Sie Microsoft-Einladung im Namen von im Posteingang.
-
Wählen Sie den Link Einladung annehmen in der Nachricht aus.
-
Geben Sie Ihren Benutzernamen und Ihr Kennwort wie gewünscht im Anmeldedialogfeld ein (falls angefordert). HINWEIS: Wenn der Partnerverbund ordnungsgemäß funktioniert, werden hier die ersten Ergebnisse Ihres neuen Google External Identity-Anbieters angezeigt. Sie wechseln zum Anmeldebildschirm und können sich mit Ihren Gmail-Anmeldeinformationen anmelden. Wenn der Partnerverbund nicht funktioniert oder nicht eingerichtet wurde, erhält der Benutzer nach der Anmeldung eine KONTOÜBERPRÜFUNGS-E-Mail, um das Konto zu bestätigen. Für den Partnerverbund ist keine zusätzliche Überprüfung erforderlich.
HINWEIS: Wenn Sie den Zugriffsfehler 500 erhalten, warten Sie etwa 30 Sekunden, und aktualisieren Sie die Seite. Wählen Sie ERNEUT ÜBERMITTELN aus. Dieser Fehler ist ein Zeitplanungsproblem nur in der Labumgebung.
-
Lesen Sie die neue Nachricht Permissions requested by, die Sie erhalten. Diese Nachricht stammt aus Ihrer Azure Lab-Domäne.
-
Wählen Sie Annehmen aus.
-
Sobald die Anmeldung abgeschlossen ist, wird Ihnen „MyApplications“ zugesandt.
Aufgabe 4: Anmelden bei Microsoft 365 mit Ihrem Google-Konto
-
Nachdem Sie den Prozess zum Einladen externer Benutzer Aufgabe 3 abgeschlossen haben, können Sie sich direkt bei Microsoft Online anmelden.
-
Öffnen Sie eine neue Registerkarte in Ihrem geöffneten Browser. HINWEIS: Wenn Sie in Aufgabe 3 keinen neuen InPrivate-Browser geöffnet haben, sollten Sie dies für diesen Schritt tun.
-
Geben Sie die folgende Webadresse ein:
login.microsoftonline.com
-
Wählen Sie im Dialogfeld Anmeldeoptionen aus.
-
Wählen Sie Bei einer Organisation anmelden aus.
-
Geben Sie den Namen Ihrer Labmandantendomäne in das Feld ein, und wählen Sie Weiter aus.
-
Geben Sie die Google- E-Mail-Adresse und das von Ihnen erstellte Kennwort ein. Zu diesem Zeitpunkt sollte Ihr Konto zur Bestätigung an Google übergeben werden; geben Sie dann das Microsoft Office-Portal ein.