通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure Active Directory B2C 设置通过 Google 帐户注册与登录

重要

自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 在我们的常见问题解答中了解详细信息

在开始之前,请使用此页面顶部的 “选择策略类型 选择器”来选择要设置的策略类型。 Azure Active Directory B2C 提供了两种定义用户如何与应用程序交互的方法:通过预定义的用户流,或者通过可完全配置的自定义策略。 对于每种方法,本文中所需的步骤都不同。

重要

从 2021 年 9 月 30 日开始,Google 将弃用 Web 视图登录支持。 如果你的应用使用嵌入式 Web 视图对用户进行身份验证,并且你正在将 Google 联合身份验证与 Azure AD B2C 配合使用,则 Google Gmail 用户将无法进行身份验证。 了解详细信息

注释

在 Azure Active Directory B2C 中,自定义策略 主要用于解决复杂场景。 对于大多数场景,我们建议您使用内置的用户流。 如果未这样做,请通过 Active Directory B2C 中的自定义策略入门来了解自定义策略初学者包。

先决条件

创建 Google 应用程序

若要在 Azure Active Directory B2C(Azure AD B2C)中为具有 Google 帐户的用户启用登录,需要在 Google 开发人员控制台中创建应用程序。 有关详细信息,请参阅 设置 OAuth 2.0。 如果还没有 Google 帐户,可以注册 https://accounts.google.com/signup

  1. 使用 Google 帐户凭据登录到 Google 开发人员控制台
  2. 在页面左上角选择项目列表,然后选择“New Project”(新建项目)。
  3. 输入 项目名称,选择“ 创建”。
  4. 确保通过选择屏幕左上角的项目下拉列表来使用新项目。 根据名称选择你的项目,然后选择“Open”(打开)。
  5. 在左侧菜单中,选择 API 和服务 ,然后选择 OAuth 同意屏幕。 选择 “外部 ”,然后选择“ 创建”。
    1. 输入应用程序的名称
    2. 选择 用户支持电子邮件
    3. “应用域 ”部分中,输入 应用程序主页的链接、 应用程序隐私策略的链接,以及指向 应用程序服务条款的链接。
    4. “授权域 ”部分中,输入 b2clogin.com
    5. 在“开发人员联系人信息”部分,输入逗号分隔的电子邮件,以便 Google 通知你对项目所做的任何更改。
    6. 选择“保存”
  6. 在左侧菜单中选择 “凭据 ”,然后选择“ 创建凭据>OAuth 客户端 ID”。
  7. 在“应用程序类型”下,选择“Web 应用程序”
    1. 输入应用程序的名称
    2. 对于 授权的 JavaScript 源,请输入 https://your-tenant-name.b2clogin.com。 如果使用 自定义域,请输入 https://your-___domain-name
    3. 对于 授权重定向 URI,请输入 https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp。 如果使用 自定义域,请输入 https://your-___domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp。 将 your-___domain-name 替换为自定义域,your-tenant-name 替换为租户的名称。 输入租户名称时,全部使用小写字母,即使租户是使用大写字母在 Azure AD B2C 中定义的,也是如此。 在所有情况下,将 your-tenant-name 替换为 Directory(tenant)子域名。 例如,如果租户主域名是 contoso.onmicrosoft.com,请使用 contoso。 如果没有租户名称, 请了解如何阅读租户详细信息
  8. 选择 创建
  9. 复制“客户端 ID”和“客户端密码”的值。 你需要这两者来将 Google 配置为租户中的身份提供者。 客户端密码是一个重要的安全凭据。

将 Google 配置为标识提供者

  1. 使用至少具有外部标识提供者管理员权限的帐户登录到 Azure 门户
  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。
  3. 选择 Azure 门户左上角的“所有服务” ,搜索并选择 Azure AD B2C
  4. 选择 “标识提供者”,然后选择 “Google”。
  5. 输入“名称”。 例如, Google
  6. 对于“客户端 ID”,请输入前面创建的 Google 应用程序的客户端 ID。
  7. 对于“客户端密码”,输入已记录的客户端密码。
  8. 选择“保存”

将 Google 标识提供者添加到用户流

此时,Google 标识提供者已设置,但还不能在任何登录页中使用。 将 Google 标识提供者添加到用户流:

  1. 在 Azure AD B2C 租户中,选择“用户流” 。
  2. 选择要将 Google 标识提供者添加到的用户流。
  3. 社交标识提供者下,选择 Google
  4. 选择“保存”
  5. 若要测试策略,请选择“运行用户流”。
  6. 对于“应用程序”,请选择前面已注册的名为“testapp1”的 Web 应用程序。 “回复 URL”应显示为 https://jwt.ms
  7. 选择“运行用户流”按钮。
  8. 在注册或登录页中,选择 Google 以使用 Google 帐户登录。

如果登录过程成功,浏览器将重定向到 https://jwt.ms。 该页显示 Azure AD B2C 返回的令牌的内容。

创建策略密钥

需要存储以前在 Azure AD B2C 租户中记录的客户端密码。

  1. 登录到 Azure 门户
  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,从“目录 + 订阅”菜单切换到你的 Azure AD B2C 租户。
  3. 选择 Azure 门户左上角的“所有服务”,然后搜索并选择“Azure AD B2C” 。
  4. 在“概述”页上选择“标识体验框架”。
  5. 选择“策略密钥”,然后选择“添加”
  6. 对于“选项”,选择 Manual
  7. 输入策略密钥的名称。 例如,GoogleSecret。 前缀 B2C_1A_ 会自动添加到密钥名称。
  8. “机密”中,输入之前记录的客户端密码。
  9. 在“密钥用法”处选择
  10. 选择 创建

将 Google 配置为标识提供者

若要允许用户使用 Google 帐户登录,需要将该帐户配置为 Azure AD B2C 可以通过终结点与之通信的声明提供者。 该终结点将提供一组声明,Azure AD B2C 使用这些声明来验证特定的用户是否已完成身份验证。

通过将 Google 帐户添加到策略扩展文件中的 ClaimsProviders 元素,可以将 Google 帐户定义为声明提供程序。

  1. 打开 TrustFrameworkExtensions.xml 文件。

  2. 找到 ClaimsProviders 元素。 如果该元素不存在,请在根元素下面添加。

  3. 添加一个新的 ClaimsProvider,如下所示:

    <ClaimsProvider>
  <Domain>google.com</Domain>
  <DisplayName>Google</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="Google-OAuth2">
      <DisplayName>Google</DisplayName>
      <Protocol Name="OAuth2" />
      <Metadata>
        <Item Key="ProviderName">google</Item>
        <Item Key="authorization_endpoint">https://accounts.google.com/o/oauth2/auth</Item>
        <Item Key="AccessTokenEndpoint">https://accounts.google.com/o/oauth2/token</Item>
        <Item Key="ClaimsEndpoint">https://www.googleapis.com/oauth2/v1/userinfo</Item>
        <Item Key="scope">email profile</Item>
        <Item Key="HttpBinding">POST</Item>
        <Item Key="UsePolicyInRedirectUri">false</Item>
        <Item Key="client_id">Your Google application ID</Item>
      </Metadata>
      <CryptographicKeys>
        <Key Id="client_secret" StorageReferenceId="B2C_1A_GoogleSecret" />
      </CryptographicKeys>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" />
        <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
        <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
        <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
        <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
        <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="google.com" />
        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
        <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
        <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
        <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

  4. 将client_id设置为应用程序注册中的应用程序 ID。

  5. 保存文件。

添加用户旅程

此时,标识提供者已设置,但还不能在任何登录页中使用。 如果你没有自己的自定义用户旅程,请创建现有模板用户旅程的副本,否则,请继续执行下一步。

  1. 打开初学者包中的 TrustFrameworkBase.xml 文件。
  2. 找到并复制包含 Id="SignUpOrSignIn" 元素的完整内容。
  3. 打开 TrustFrameworkExtensions.xml 并找到 UserJourneys 元素。 如果该元素不存在,请添加一个。
  4. 将您复制的 UserJourney 元素的完整内容粘贴到 UserJourneys 元素下作为其子项。
  5. 对用户旅程的 ID 进行重命名。 例如,Id="CustomSignUpSignIn"

将标识提供者添加到用户旅程

现在你已拥有用户旅程,请将新的身份提供者添加到用户旅程中。 首先添加一个“登录”按钮,然后将该按钮链接到某个操作。 该操作是前面创建的技术配置文件。

  1. 在用户旅程中,查找包含 Type="CombinedSignInAndSignUp"Type="ClaimsProviderSelection" 的业务流程步骤元素。 通常这是第一个编排步骤。 ClaimsProviderSelections 元素包含用户可以用来登录的标识提供者列表。 元素的顺序将决定向用户显示的登录按钮的顺序。 添加ClaimsProviderSelection XML 元素。 将 TargetClaimsExchangeId 的值设置为易记名称。

  2. 在下一个编排步骤中,添加 ClaimsExchange 元素。 将 ID 设为目标声明交换 ID 的值。将 TechnicalProfileReferenceId 的值更新为先前创建的技术配置文件的 ID。

下面的 XML 演示了使用标识提供者进行用户旅程的前两个业务流程步骤:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="GoogleExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="GoogleExchange" TechnicalProfileReferenceId="Google-OAuth2" />
  </ClaimsExchanges>
</OrchestrationStep>

配置信赖方策略

信赖方策略(例如 SignUpSignIn.xml)指定 Azure AD B2C 将执行的用户旅程。 在信赖方内查找 DefaultUserJourney 元素。 更新 ReferenceId,使其与已在其中添加标识提供者的用户旅程 ID 匹配

在以下示例中,对于 CustomSignUpSignIn 用户旅程,将 ReferenceId 设置为 CustomSignUpSignIn

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

上传自定义策略

  1. 登录到 Azure 门户
  2. 在门户工具栏中选择“目录 + 订阅”图标,然后选择包含 Azure AD B2C 租户的目录。
  3. 在 Azure 门户中,搜索并选择 Azure AD B2C
  4. 在“策略”下,选择“Identity Experience Framework”
  5. 选择“上传自定义策略”,然后上传已更改的两个策略文件,其顺序为:先上传扩展策略(例如 ),然后上传信赖方策略(例如 TrustFrameworkExtensions.xml)。

测试自定义策略

  1. 选择依赖方策略,例如 B2C_1A_signup_signin
  2. 对于应用程序,请选择您前面注册的 Web 应用程序。 “回复 URL”应显示为 https://jwt.ms
  3. 选择“立即运行”按钮。
  4. 在注册或登录页中,选择 Google 以使用 Google 帐户登录。

如果登录过程成功,浏览器将重定向到 https://jwt.ms,后者显示 Azure AD B2C 返回的令牌内容。

后续步骤