通过

将 Apple 添加为标识提供者(预览版)

  • 项目

适用于:带灰色 X 符号的白色圆圈。 员工租户 带白色复选标记的绿色圆圈。 外部租户(了解详细信息

通过设置与 Apple 的联合,可以让客户使用自己的 Apple 帐户登录到应用程序。 将 Apple 添加为应用程序的登录选项之一后,在登录页上,客户可以使用 Apple 帐户登录到 Microsoft Entra External ID。 (详细了解客户的身份验证方法和标识提供者。)

创建 Apple 应用程序

若要为具有 Apple ID 的客户启用登录,需要在 Apple 开发人员面板创建应用程序。 如果还没有 Apple ID,可以在“证书、标识符和配置文件”部分创建一个。

注意

本文档是在创建时使用提供程序开发人员页面的状态创建的,并且可能会发生更改。

  1. 使用帐户凭据登录到 Apple 开发人员门户。

  2. 从菜单中选择 证书、ID、& 配置文件,然后选择 (+)

  3. 在“注册新标识符”部分中,选择“应用 ID”,然后选择“继续”

  4. 对于“选择类型”,请选择“应用”,然后选择“继续”

  5. 若要注册应用 ID,请执行以下操作:

    1. 请输入描述。
    2. 输入捆绑 ID,例如 com.contoso.azure-ad。 建议使用显式命名,例如 com.myappdomain.myappname
    3. 对于“功能”,从功能列表中选择“通过 Apple 登录”
    4. 记下这一步中的团队 ID(应用 ID 前缀)。 稍后需要用到它。
    5. 选择 继续,然后 注册

  6. 从菜单中选择 证书、ID、& 配置文件,然后选择 (+)

  7. 在“注册新标识符”部分中,选择“服务 ID”,然后选择“继续”

  8. 在“注册服务 ID”中:

    1. 输入“说明”。 同意屏幕上向用户显示说明。
    2. 输入 标识符,例如 com.contoso.entra-service。 建议使用显式命名,例如 com.myappdomain.myappname.service。 记下服务 ID 标识符。 标识符是客户端 ID。
    3. 选择 继续,然后选择 注册

  9. 从“标识符”中,选择你创建的服务 ID 标识符

  10. 选择“通过 Apple 登录”,然后选择“配置”

    1. 选择您要为其配置 Apple 登录功能的主应用 ID。
    2. 在“域和子域”中,通过替换以下内容进行输入
    • <tenant-id> 替换为租户 ID 或主域名,并
    • <tenant-name> 的值替换为租户名称。 所有字符都应采用小写形式。 例如:
      • <tenant-name>.ciamlogin.com
      • <tenant-id>.ciamlogin.com

    1. 返回 URL中,将 <tenant-id>替换为您的租户 ID 或主域名,并将 <tenant-name> 替换为您的租户名称,然后输入以下内容。 所有字符都应采用小写形式。

      例如:

      • https://<tenant-id>.ciamlogin.com/<tenant-id>/federation/oauth2
      • https://<tenant-id>.ciamlogin.com/<tenant-name>/federation/oauth2
      • https://<tenant-name>.ciamlogin.com/<tenant-id>/federation/oauth2

    2. 选择“下一步”,然后选择“完成”

    3. 当弹出窗口关闭时,选择 “继续”,然后选择 “保存”

创建 Apple 客户端机密

  1. 在 Apple 开发人员门户菜单中,选择 密钥,然后选择 (+)
  2. 注册新密钥:
    1. 键入密钥名称
    2. 选择“使用 Apple登录”,然后选择“配置”。
    3. 对于主应用 ID,选择之前创建的应用,然后选择 保存
  3. 选择 “继续”,然后选择 “注册”,以完成密钥注册过程。
  4. 记下密钥 ID。 配置标识提供者时,需要此密钥。
  5. 若要下载密钥,请选择 下载 以下载包含密钥的 .p8 文件。
  6. 选择“完成”

重要

使用 Apple 登录需要管理员每隔 6 个月续订其客户端密码。 如果 Apple 客户端密码过期并将新值存储在策略密钥中,则需要手动续订它。 建议在 6 个月内设置自己的提醒,以生成新的客户端密码。

在 Microsoft Entra 外部 ID 中配置 Apple 联合身份验证

创建 Apple 应用后,在此步骤中,将在 Microsoft Entra 外部 ID 中设置 Apple 应用详细信息。 可以使用 Microsoft Entra 管理中心执行此操作。 若要在 Microsoft Entra 管理中心配置 Apple 联合身份验证,请执行以下步骤:

  1. 登录 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“所有标识提供者”

  3. 在“内置”选项卡下,选择“Apple”

    显示如何添加 Apple 身份提供者的屏幕截图。

  4. 名称 Apple 会自动填充。 无法更改它。

  5. 输入以下详细信息:

    • 客户端(Apple 服务)ID:在上一步中创建的 Apple 应用程序的客户端 ID。
    • Apple 开发人员团队 ID:与在上一步中创建的 Apple 应用程序相关的 Apple 开发人员团队 ID。
    • 密钥 ID:在上一步中创建的 Apple 应用程序的密钥 ID。
    • 客户端机密(.p8)密钥:在上一步中创建的 Apple 应用程序的客户端密钥。

  6. 选择 保存。 你将看到 Apple 已列为配置的标识提供者。

    显示 Apple 已添加到标识提供者列表的屏幕截图。

将 Apple 标识提供者添加到用户流

此时,Apple 标识提供者已在 Microsoft Entra 外部 ID 中设置完毕,但还不能在任何登录页面中使用。 将 Apple 标识提供者添加到用户流:

  1. 在客户租户中,浏览到“标识”>“外部标识”>“用户流”
  2. 选择要添加 Apple 标识提供者的用户流。
  3. 在“设置”下,选择“标识提供者”
  4. 在“其他标识提供者”下,选择“Apple”。
  5. 选择 保存

相关内容