Laboratório 06: Adicionar um provedor de identidade federado

Tipo de logon = administração do Microsoft 365

Cenário do laboratório

Sua empresa trabalha com muitos fornecedores e, ocasionalmente, você precisa adicionar algumas contas de fornecedor ao seu diretório como convidado e permitir que eles usem sua Conta do Google para fazer logon.

Tempo estimado: 25 minutos

Exercício 1 – Configurar provedores de identidade

Tarefa 1 – Configurar o Google para ser usado como provedor de identidade

Observação importante – Para este exercício, você precisará de uma conta do Gmail no Google. Crie uma nova Conta do Google e siga as etapas para o exercício. Certifique-se de anotar o endereço de e-mail e senha, eles são necessários para completar o laboratório.

  1. Acesse as APIs do Google em https://console.developers.google.com e entre com sua conta do Google. É recomendável que você use uma conta do Google de equipe compartilhada.

  2. Aceite os termos de serviço se for solicitado a fazê-lo.

Criar um novo projeto:

  1. Na parte superior da página, selecione o menu Projeto para abrir a página Selecionar um projeto. Escolha Novo projeto. Mantenha os demais campos com as configurações padrão.

  2. Na página Novo Projeto, dê um nome ao projeto: +++MyB2BApp+++ e clique em Criar.

  3. Abra o novo projeto selecionando o link na caixa de mensagem de Notificações ou usando o menu Projeto na parte superior da página.

  4. No menu à esquerda, selecione APIs e Serviços, e em seguida, selecione Tela de consentimento do OAuth.

  5. Clique no botão Introdução.

  6. Na tela Informações do aplicativo, insira as seguintes informações:

Seção Nome do campo Valor
1 Informações do aplicativo    
  Nome do aplicativo +++Microsoft Entra ID+++
  Email de suporte ao usuário Selecione o nome do email na lista suspensa.
2 Público-alvo    
  Interno/Externo Externo
3 Informações de contato    
  Endereços de email Use o mesmo endereço de email acima
4 Concluir    
  Contrato Marque a caixa de seleção

  1. Clique no botão Criar para continuar.

  2. Clique no botão Criar cliente OAuth.

  3. Escolha o Tipo de Aplicativo = Aplicativo Web.

  4. Aceite o nome padrão do aplicativo.

  5. Em Origens JavaScript autorizadas, clique no botão + Adicionar URI.

  6. Insira o URI +++https://microsoftonline.com+++ para o valor.

  7. Em URIs de redirecionamento autorizados, clique no botão + Adicionar URI. Você precisará adicionar três URIs diferentes nesta seção:

  • Primeiro URI = +++https://login.microsoftonline.com+++
  • Segundo URI = +++https://login.microsoftonline.com/te/tenant ID/oauth2/authresp+++ (em que é o ID do locatário)
  • Terceiro URI = +++https://login.microsoftonline.com/te/nome do locatário.onmicrosoft.com/oauth2/authresp+++ (em que é o nome do seu locatário)

Dica de laboratório – Você pode achar essa etapa mais fácil se usar o Bloco de Notas na VM do laboratório para criar esses URIs e, em seguida, copiar e colar a partir dele.

Dica de laboratório 2 — Os resultados devem ser semelhantes a este, com a sua ID e nome de locatário.

Número do URI Link
URIs 1 https://login.microsoftonline.com
URIs 2 https://login.microsoftonline.com/te/aaaa1111bbbb2222cccc
URIs 3 https://login.microsoftonline.com/te/MyTenantName.onmicrosoft.com/oauth

  1. Selecione o botão Criar.

  2. Quando o item for criado, copie o ID do Cliente e o Segredo do Cliente para o Bloco de Notas do usuário posteriormente.

  3. Você pode alugar seu projeto neste estado, não precisamos publicar.

Tarefa 2 – Adicionar um usuário de teste

  1. No menu à esquerda, selecione o item Público-alvo.

  2. Na seção Testar usuários da página, escolha + Adicionar usuários.

  3. Insira a conta do Gmail que você está usando neste laboratório.

  4. Selecione Salvar

Tarefa 3 – Adicionar domínio autorizado à identidade visual

  1. No menu à esquerda, selecione o item Identidade visual.

  2. Role até o final da página.

  3. Na seção Domínios autorizados, adicione o domínio microsoftonline.com.

  4. Nas Informações de contato do desenvolvedor, adicione o endereço de email que você está usando para este laboratório.

  5. Selecione Salvar.

Exercício 2 – Configurar o Azure para trabalhar com um provedor de identidade externo

Tarefa 1 – Configurar o Microsoft Entra ID para a federação do Google

  1. Entrar no  https://entra.microsoft.com  como administrador.

  2. Selecione  Microsoft Entra ID.

  3. Em  Identidade, selecione  Identidades Externas.

  4. Escolha Todos os provedores de identidade no menu à esquerda.

  5. A Microsoft fornece uma federação direta para o Google como um provedor de identidade.Isso pode ser iniciado selecionando + Google na página **Identidades externas Todos os provedores de identidade**

  6. Depois de selecionar + Google, outra página será aberta com informações adicionais necessárias para configurar o Google como um provedor de identidade.

  7. Insira a ID de cliente e o Segredo do cliente obtidos anteriormente.

  8. Selecione Salvar.

Isso conclui a configuração do Google como um provedor de identidade.

Tarefa 2 – Convidar a conta de usuário de teste

  1. Se você usou uma conta existente do Gmail, lembre-se de excluir a conta com **Identidades externas Todos os provedores de identidade**. Você também pode retornar ao console do desenvolvedor do Google e excluir o projeto que criou.

  2. Abra o Microsoft Entra ID.

  3. Vá para Usuários e selecione Todos os usuários.

  4. Selecione + Novo usuário.

  5. Escolha Convidar usuário externo no menu suspenso.

  6. Insira as informações da conta do Gmail que você configurou como usuário de teste para o Google App no Exercício 1, Tarefa 2.

  7. Digite uma mensagem pessoal como desejar.

  8. Selecione Revisar e convidar e clique em Convidar.
Observação de segurança
Se você estiver usando uma conta do Gmail existente com Chaves de acesso ativadas, não será possível concluir os processos de login no ambiente de laboratório. A chave de acesso requer BlueTooth, que não pode ser habilitado por meio da VM. Você ainda pode fazer o laboratório, basta fazer essas últimas tarefas em um navegador InPrivate em execução fora do ambiente de laboratório.

Tarefa 3 – Aceitar o convite e fazer logon

  1. Use um navegador InPrivate para fazer logon em sua conta do Gmail.

  2. Abra o Convite da Microsoft em nome de na Caixa de Entrada.

  3. Selecione o link Aceitar convite na mensagem.

  4. Digite seu nome de usuário e senha conforme solicitado na caixa de diálogo de login (se solicitado).

    OBSERVAÇÃO: se a federação estiver funcionando corretamente, é aqui que você verá os primeiros resultados do seu novo provedor de identidade externa do Google. Você irá para a tela de login e poderá fazer logon com suas credenciais do Gmail. Se a federação não estiver funcionando, ou não tiver sido configurada, o usuário receberá um e-mail de VERIFICAÇÃO DE CONTA após fazer logon para confirmar a conta. Com a federação, nenhuma verificação extra é necessária.

    OBSERVAÇÃO: se você receber um erro de acesso 500, aguarde cerca de 30 segundos e atualize a página. Escolha REENVIAR. Esse erro é um problema de tempo somente no ambiente de laboratório.

  5. Leia a nova mensagem Permissões solicitadas por: que você receber. Essa mensagem vem do seu Domínio de Laboratório do Azure.

  6. Escolha Aceitar.

  7. Assim que o logon estiver concluído, você receberá MyApplications.

Tarefa 4 – Fazer logon no Microsoft 365 usando sua conta do Google

  1. Depois de concluir o processo de convite de usuário externo da Tarefa 3, você poderá fazer logon diretamente no Microsoft Online.

  2. Abra uma nova guia no navegador que você abriu.

    OBSERVAÇÃO: se você não abriu um novo navegador InPrivate na Tarefa 3, abra-o para esta etapa.

  3. Digite o seguinte endereço da Web:

    login.microsoftonline.com

  4. Selecione Opções de entrada na caixa de diálogo.

  5. Escolha Entrar em uma organização.

  6. Insira o nome de domínio do locatário do laboratório na caixa e selecione Avançar.

  7. Insira o endereço de e-mail e a senha do Google que você criou.

Neste ponto, você verá sua conta passada para o Google para confirmação; em seguida, entre no portal do Microsoft Office.