Apple ID または Apple ID のモバイル ID プロバイダーの追加

オンラインで編集

Apple を構成して、Web フローかモバイル・フロー、あるいは両方を使用できます。ただし、少なくともどちらかのフローは構成する必要があります。

始める前に

Apple®でアプリケーションを設定します。 「Appleでのアプリケーションの設定 」を参照してください。 アプリケーションに関する特定のデータをソーシャル・アイデンティティー・プロバイダーに提供します。 アプリケーションを登録したら、ソーシャル・アイデンティティー・プロバイダーによって割り当てられた情報をコピーします。 その情報を Verify に提供する必要があります。

手順

  1. 「認証 」>「 IDプロバイダー 」を選択します。 ID プロバイダーの追加を選択します。
  2. ソーシャルIDプロバイダーのリストからApple IDを選択し、 「次へ」 を選択します。
  3. 基本情報を指定します。
    表 1. 基本情報
    情報 説明
    名前

    Microsoft™ Active Directory、 Microsoft Azure、 Active Directory などのIDプロバイダー で使用されるユーザーレジストリを表すために割り当てる名前。

    構成されて使用可能になっているアイデンティティー・プロバイダーが複数ある場合は、アイデンティティー・プロバイダー名が Verify サインイン・ページに表示されます。

    この情報は、 ID プロバイダーを選択した場合、 [ディレクトリ] > [ユーザーとグループ] > [ユーザー] タブの [ユーザーの追加 ] ダイアログボックスにも表示されます。
    レルム

    これは、同じユーザー名を持つ複数のIDプロバイダーのユーザーを区別するのに役立つIDプロバイダー属性です。

    「Apple ID」の場合、レルム値は www.apple.com です。
    有効

    アイデンティティー・プロバイダーがアクティブで使用可能かどうかを示します。

    「オフ」 に設定されている場合、そのID プロバイダー はサインインオプションとして設定されません。 ユーザーは、設定済みのID プロバイダー を使用してターゲットアプリケーションにサインインできません。

    「オン」にすると、部分的に有効になります。 この設定は、すべてのアプリケーションに対してこのソースを自動的に有効にするものではありません。 個々のアプリケーションに対してこのソースを選択する必要があります。
    ID 「保存」 を選択すると、ID プロバイダー用のIDが生成されます。
  4. 次へ」 をクリックして続行するか、「 戻る 」をクリックして設定を変更してください
  5. IDプロバイダーへ。 Apple ID のウェブサイトにアクセスし、シングルサインオン(SSO)に登録して、アプリケーションの設定を進めてください。 Apple ID にアプリケーションに関する情報を登録し、テナントで指定された承認済みコールバックドメインを指定する必要があります。
  6. 次へ」 をクリックして続行するか、「 戻る 」をクリックして設定を変更してください
  7. IDプロバイダーから。 構成タイプを選択します。
    いずれかの構成を選択することも、両方を選択することもできます。
    注: 各フローは個別の登録となります。
    • Web 構成
      1. スイッチを「 オン 」にして、 Apple ID のWeb設定を有効にしてください。
      2. 登録時に受け取ったサービスIDチームIDおよびキーID を入力してください。
      3. 署名鍵をアップロードします。
    • モバイル構成
      1. スイッチを「 オン 」にして、 Apple ID のモバイル設定を有効にしてください。
      2. Verifyが受信したソーシャルJWTの発行元を指定してください。 検証が行われるには、指定する発行者が、受け取られた発行者と一致する必要があります。
      3. メニューからソーシャル JWT の検査に使用される証明書検査を選択します。
      4. Apple IDモバイルアプリが受信するトークンを設定します。
        アクセス・トークン存続時間 (秒)
        アクセス・トークンの有効期限が切れるまでの時間の長さを秒単位で設定します。

        アクセス・トークンの有効期限を設定して、クライアント・アプリケーション で情報漏えいがあったときに、攻撃者が盗まれたトークンを使用してリソースにアクセスできる時間を制限します。

        指定できるのは正の整数のみです。

        デフォルト値は 7200 秒です。 許可される最小値は 1 秒で、最大値は 2147483647 秒です。

        アクセス・トークンの形式
        アクセストークンが不透明な文字列として生成されるかどうかを示します。これは、Default設定、またはJWT( JSON Web Token ) 形式。
        リフレッシュ・トークンの生成
        クライアントアプリケーション、 OpenID Connect IDプロバイダーの認証サーバーから新しいアクセストークンを取得するために、 リフレッシュトークンを要求および使用できるかどうかを示します。

        このオプションは、アプリケーションがアクセストークンを使用してAPI経由 Verify で操作を実行する場合にのみ使用してください。

        前のアクセス・トークンが期限切れになった場合にのみ、新規アクセス・トークンを取得する必要があります

        リフレッシュ・トークン存続時間
        リフレッシュ・トークンの有効期限が切れるまでの時間の長さを秒単位で設定します。 この設定により、ユーザーが再認証できる頻度が決まります。

        リフレッシュトークンの有効期限を設定し、一定時間が経過した後に Verify ユーザーが完全なシングルサインオン操作を実行する必要があるようにします。 存続時間は、アイドル時間を含む合計経過時間に基づきます。

        このオプションは、「リフレッシュ・トークンの生成 (Generate refresh token)」を有効にしない限り、表示はされていますが無効になっています。

        リフレッシュ・トークンは、保護リソースへのアクセスを継続するための新規アクセス・トークンを取得するために使用されます。

        指定できるのは正の整数のみです。

        デフォルト値は 7200 秒です。 最小値は、「アクセス・トークン存続時間 (Access token expiry)」値と等しいか、それよりも大きくなければなりません。最大値は 2147483647 秒です。

      5. イントロスペクション・エンドポイントおよび JWT アクセス・トークンのペイロードに含める属性をマップします。
        Attribute Name
        Verify信頼先が使用し、. から要求する属性の名前。
        ソース属性

        ディレクトリ > 属性で各タイプに対して定義したすべての属性ソースを一覧表示します。

        選択した属性ソースの値は、ID トークンの定義済み依拠当事者の属性名の属性値として割り当てられます。

      6. [ API アクセスの設定] を選択し、アクセストークンに付与する API アクセス権を指定します。 特定の API アクセス権を選択することも、「すべて選択」トグルを「オン」に設定してすべてのアクセス権を選択することもできます。
  8. オプション: スコープを追加または削除して、アプリケーションの使用方法を制御します。
    追加した各スコープの後に Enter キーを押すことを忘れないでください。
  9. 「次へ」 をクリックして続行するか、「 戻る 」をクリックして設定を変更してください。
  10. AppleモバイルでIDリンクを有効にするには、スイッチを「 オン」 に切り替え、以下の情報を入力してください。
    固有ユーザー ID
    リンクされたアカウントの ID として機能するユーザー属性。
    JIT プロビジョニング
    プライマリIDプロバイダーでユーザーアカウントが見つからない場合、スイッチを「 オン」 に設定して、プライマリレルムにシャドウアカウントを作成します。
  11. 「保存」 を選択します。