Ajout d'un Apple ID ou d'un fournisseur d'identité mobile Apple ID
Vous pouvez configurer Apple pour qu'il utilise le flux Web ou le flux mobile, ou les deux, mais vous devez configurer au moins l'un des flux.
Avant de commencer
Procédure
- Sélectionnez « Authentification » > « Fournisseurs d'identité ». Sélectionnez Ajouter un fournisseur d'identité.
- Sélectionnez « Apple ID » dans la liste des fournisseurs d'identité sociale, puis cliquez sur « Suivant ».
- Spécifiez les informations de base.
Tableau 1. Informations générales Informations Descriptions Nom Le nom que vous attribuez pour désigner le registre d'utilisateurs utilisé par des fournisseurs d'identité tels que Microsoft™ Active Directory, Microsoft Azure Active Directory ou d'autres.
Si plusieurs fournisseurs d'identité sont configurés et activés, le nom du fournisseur d'identité s'affiche sur la Verify page de connexion.
Ces informations s'affichent également dans l'onglet Répertoire > Utilisateurs et groupes > Utilisateurs, dans la boîte de dialogue Ajouter un utilisateur, lorsque vous sélectionnez un fournisseur d'identité.
Domaine Il s'agit d'un attribut de fournisseur d'identité qui permet de distinguer les utilisateurs provenant de plusieurs fournisseurs d'identité et partageant le même nom d'utilisateur.
Pour Apple ID, la valeur du domaine est
www.apple.com.Activé Indique si le fournisseur d'identité est actif et disponible.
Si cette option est désactivée, le fournisseur d'identité n'est pas configuré comme option de connexion. Les utilisateurs ne peuvent pas utiliser le fournisseur d'identité configuré pour se connecter à l'application cible.
Si elle est activée, l'activation est partielle. Ce paramètre n'active pas automatiquement cette source pour toutes les applications. Vous devez sélectionner la source pour chaque application.
ID Un identifiant est généré pour le fournisseur d'identité lorsque vous cliquez sur « Enregistrer ». - Cliquez sur Suivant pour continuer, ou sur Précédent pour modifier votre configuration
- Au fournisseur d'identité. Passez à la configuration de votre application sur le site Web Apple ID en vous inscrivant à l'authentification unique. Vous devez fournir à Apple ID les informations relatives à votre application et indiquer le domaine de rappel autorisé associé à votre tenant.
- Cliquez sur Suivant pour continuer, ou sur Précédent pour modifier votre configuration
- Provenant du fournisseur d'identité. Sélectionnez le type de configuration.Vous pouvez choisir l'une des configurations ou les deux.Remarque : chaque parcours correspond à une inscription distincte.
- Configuration Web
- Placez le commutateur sur « Activé » pour activer la configuration Web de l'identifiant Apple.
- Saisissez l 'identifiant de service, l'identifiant d'équipe et l'identifiant de clé que vous avez reçus lors de votre inscription.
- Téléchargez la clé de signature.
- Configuration mobile
- Placez le commutateur sur « Activé » pour activer la configuration mobile de l'identifiant Apple.
- Indiquez l'émetteur du JWT social reçu par Verify. L'émetteur que vous spécifiez doit correspondre à l'émetteur qui est reçu pour que la vérification ait lieu.
- Sélectionnez le certificat de vérification que vous avez utilisé pour vérifier le jeton Web JSON (JWT) social dans le menu.
- Configurez les jetons que l'application mobile Apple ID reçoit.
- Expiration du jeton d'accès (secondes)
- Définit la durée en secondes au bout de laquelle le jeton d'accès expire.
Définissez l'expiration d'un jeton d'accès pour limiter la durée pendant laquelle un agresseur informatique peut accéder à la ressource s'il a volé le jeton lorsque l'application client est comprise.
Seuls les entiers positifs sont autorisés.
La valeur par défaut est 7200 secondes. La valeur minimale admise est 1 seconde et la valeur maximale admise est 2147483647 secondes.
- Format du jeton d'accès
- Indique si le jeton d'accès est généré sous la forme d'une chaîne opaque, c'est-à-direDefaultréglage, ou dansJWT( JSON Web Token ).
- Générer un jeton d'actualisation
- Indique si l 'application cliente peut demander et utiliser un jeton de rafraîchissement pour obtenir un nouveau jeton d'accès auprès du serveur d'autorisation du fournisseur d'identité OpenID Connect.
N'utilisez cette option que si l'application prévoit d'utiliser le jeton d'accès pour effectuer des opérations via Verify des API.
Il suffit d'obtenir un nouveau jeton d'accès si le précédent est arrivé à expiration.
- Durée de vie du jeton d'actualisation
- Définit la durée en secondes au bout de laquelle le jeton d'actualisation
expire. Ce paramètre détermine la fréquence à laquelle l'utilisateur peut se réauthentifier.
Définissez l'expiration du jeton d'actualisation pour obliger l'utilisateur à effectuer une opération de connexion unique complète sur Verify après un certain temps écoulé. La durée d'expiration est basée sur le temps total écoulé et inclut le temps d'inactivité.
Cette option est affichée mais désactivée, sauf si vous avez activé l'option Générer un jeton d'actualisation.
Un jeton d'actualisation est utilisé pour obtenir un nouveau jeton d'accès afin d'assurer la continuité de l'accès à la ressource protégée.
Seuls les entiers positifs sont autorisés.
La valeur par défaut est 7200 secondes. La valeur minimum doit être égale ou supérieure à la valeur Expiration du jeton d'accès et la valeur maximum est 2147483647 secondes.
- Mappez les attributs à inclure sur le noeud final d'introspection et dans le
contenu du jeton d'accès JWT.
- Nom d'attribut
- Nom de l'attribut que la partie de confiance utilise et exige de Verify.
- Attribut source
Répertorie toutes les sources d'attributs que vous avez définies pour chaque type dans Répertoire > Attributs.
La valeur de votre source d'attribut sélectionnée est affectée en tant que valeur d'attribut pour le nom d'attribut de la partie utilisatrice défini dans le jeton d'ID.
- Sélectionnez « Configurer l'accès à l'API » pour définir les droits d'accès à l'API accordés au jeton d'accès. Vous pouvez sélectionner des accès aux API spécifiques ou définir le bouton à bascule Sélectionner tout sur Activé pour sélectionner tous les accès.
- Configuration Web
- Facultatif : ajoutez ou supprimez des périmètres pour contrôler l'utilisation de l'application.Veillez à appuyer sur la touche Entrée après chaque portée que vous ajoutez.
- Cliquez sur Suivant pour continuer, ou sur Précédent pour modifier votre configuration.
- Sur les appareils mobiles Apple, pour activer la liaison d'identité, basculez le commutateur sur « Activé » et fournissez les informations suivantes.
- ID utilisateur unique
- Attribut utilisateur qui sert d'identificateur pour le compte lié.
- Application des accès JIT
- Act ivez le commutateur pour créer un compte fantôme dans le domaine principal si le compte utilisateur n'est pas trouvé dans le fournisseur d'identité principal.
- Cliquez sur Enregistrer.