添加 Apple ID 或 Apple ID 移动身份提供者

在线编辑

您可以配置 Apple 以使用 Web 流和/或移动流,但是必须至少配置其中一种流。

准备工作

在 Apple® 中配置您的应用程序。请参阅 “在 Apple 中配置您的应用程序”。 向社交身份提供者提供有关应用程序的特定数据。 注册应用程序后,复制社交身份提供者指定的信息。 必须向 Verify 提供信息。

过程

  1. 选择 “身份验证 ”> “身份提供商 ”。 选择添加身份提供者
  2. 从社交身份提供商列表中选择 Apple ID,然后点击 “下一步 ”。
  3. 指定基本信息。
    表 1. 基本信息
    信息 描述
    名称

    您为代表身份提供商 (例如 Microsoft™ Active Directory、 Microsoft Azure、 Active Directory 等)所使用的用户注册表指定的名称。

    如果配置并启用了多个身份提供者,那么身份提供者名称将显示在 Verify 登录页面中。

    当您选择身份提供商时,此信息也会显示在 “目录 > 用户和组 > 用户 ”选项卡以及 “添加用户 ”对话框中。

    这是一个身份提供商属性,用于区分来自多个身份提供商且用户名相同的用户。

    对于 Apple ID,域值为 www.apple.com
    已启用

    指示身份提供程序是否处于活动状态且可供使用。

    如果设置为 “关闭 ”,则该身份提供商不会被配置为登录选项。 用户无法使用已配置的身份提供商登录目标应用程序。

    如果将其启用,将部分启用。 此设置不会对所有应用程序自动启用此源。 您必须对各个应用程序选择此源。
    标识 当您选择 “保存 ”时,系统会为身份提供商生成一个 ID。
  4. 点击 “下一步 ”继续,或点击“上一步 ”更改配置
  5. 向身份提供者。 请前往 Apple ID 网站配置您的应用程序,并注册单点登录功能。 您必须向 Apple ID 提供有关您应用程序的信息,并提供您租户中指定的授权回调域名。
  6. 点击 “下一步 ”继续,或点击“上一步 ”更改配置
  7. 来自身份提供商。 选择配置类型。
    您可以选择一种或两种配置。
    注意: 每个流程都需要单独注册。
    • Web 配置
      1. 将开关拨至 “开 ”的位置,以启用 Apple ID 网络配置。
      2. 请输入注册时收到的服务 ID团队 ID 和密钥 ID
      3. 上载签名密钥。
    • 移动配置
      1. 将开关拨至 “开 ”的位置,以启用 Apple ID 移动配置。
      2. 提供由 Verify. 接收的社交 JWT 的签发者。 您指定的发出者必须与接收到的发出者相匹配才能进行验证。
      3. 从菜单中选择用于验证社交 JWT 的验证证书。
      4. 配置 Apple ID 移动应用程序接收的令牌。
        访问令牌到期时间(秒)
        这用于设置访问令牌到期之前的时间长度(以秒计)。

        设置访问令牌到期时间,以限制攻击者在客户机应用程序受到损害时可以使用被盗令牌访问资源的时间。

        只允许使用正整数。

        缺省值为 7200 秒。 允许的最小值为 1 秒,最大值为 2147483647 秒。

        访问令牌格式
        指示访问令牌是否以不透明字符串的形式生成,即Default设置中,或在JWT( JSON Web Token ) 格式。
        生成刷新令牌
        指示客户端应用程序是否可以请求并使用刷新令牌 ,从 OpenID Connect身份提供商的授权服务器获取新的访问令牌

        仅当应用程序计划使用访问令牌通过 Verify API 执行操作时,才应使用此选项。

        仅当前一个访问令牌到期时,才需要获取新的访问令牌。

        刷新令牌生命周期
        这用于设置刷新令牌到期之前的时间长度(以秒计)。 此设置确定用户可以重新认证的频率。

        将刷新令牌的过期时间设置为:在 Verify 经过一段时间后,要求用户重新执行完整的单点登录操作。 到期时间基于总耗用时间并且包含空闲时间。

        此选项显示但是被禁用,除非启用了生成刷新令牌

        刷新令牌用于获取新的访问令牌以继续访问受保护资源。

        只允许使用正整数。

        缺省值为 7200 秒。 最小值必须等于或大于访问令牌到期时间值并且最大值为 2147483647 秒。

      5. 映射要包含在自省端点和 JWT 访问令牌有效内容中的属性。
        属性名称
        Verify依赖方使用的属性名称,以及其要求从.获取的属性名称。
        源属性

        列出了您在 “目录 > 属性 ”中为每种类型定义的所有属性来源。

        所选属性源的值指定为标识令牌中定义的信赖方属性名称的属性值。

      6. 选择 “配置 API 访问权限 ”,以指定授予访问令牌的 API 访问权限。 您可以选择特定 API 访问权,或者将全选开关设置为开启来选择所有访问权。
  8. 可选: 添加或移除作用域,以控制应用程序的使用方式。
    请务必在添加的每个作用域后按 Enter 键。
  9. 点击 “下一步 ”继续,或点击“上一步 ”更改配置。
  10. 对于 Apple 移动设备,若要启用身份关联,请将开关切换至 “开 ”并提供以下信息。
    唯一用户标识
    充当已链接帐户的标识的用户属性。
    即时供应
    如果未在主身份提供商中找到该用户账户,请将开关切换至“开 ”以在主域中创建一个影子账户。
  11. 选择 “保存 ”。