通过

将 Apple 添加为标识提供者(预览版)

适用于白色圆圈,内有灰色 X 符号。 员工租户 绿色圆圈,内有白色复选标记符号。 外部租户(了解详细信息

通过设置与 Apple 的联合,可以让客户使用自己的 Apple 帐户登录到应用程序。 将 Apple 添加为应用程序的登录选项之一后,在登录页上,客户可以使用 Apple 帐户登录到 Microsoft Entra External ID。 (详细了解 客户的身份验证方法和标识提供者

创建 Apple 应用程序

若要为具有 Apple ID 的客户启用登录,需要在 Apple 开发人员面板中创建应用程序。 如果还没有 Apple ID,可以在“证书、标识符和配置文件”部分创建一个。

注意

本文档是在创建时使用提供程序开发人员页面的状态创建的,并且可能会发生更改。

  1. 使用帐户凭据登录到 Apple 开发人员门户。

  2. 从菜单中选择 “证书”、“ID”和“配置文件”,然后选择“ +”。

  3. 在“注册新标识符”部分中,选择“应用 ID”,然后选择“继续”

  4. 对于“选择类型”,请选择“应用”,然后选择“继续”

  5. 若要注册应用 ID,请执行以下操作:

    1. 请输入描述。
    2. 输入捆绑 ID,例如 com.contoso.azure-ad。 建议使用显式命名,例如 com.myappdomain.myappname
    3. 对于“功能”,从功能列表中选择“通过 Apple 登录”
    4. 记下这一步中的团队 ID(应用 ID 前缀)。 稍后需要用到它。
    5. 选择 “继续 ”,然后选择 “注册”。

  6. 从菜单中选择 “证书”、“ID”和“配置文件”,然后选择“ +”。

  7. 在“注册新标识符”部分中,选择“服务 ID”,然后选择“继续”

  8. 在“注册服务 ID”中:

    1. 输入“说明”。 同意屏幕上向用户显示说明。
    2. 输入 标识符,例如 com.contoso.entra-service。 建议使用显式命名,例如 com.myappdomain.myappname.service。 记下服务 ID 标识符。 标识符是客户端 ID。
    3. 选择 “继续”,然后选择“ 注册”。

  9. 从“标识符”中,选择你创建的服务 ID 标识符

  10. 选择“通过 Apple 登录”,然后选择“配置”

    1. 选择您要为其配置 Apple 登录功能的主应用 ID。
    2. 在“域和子域”中,通过替换以下内容进行输入
    • <tenant-id> 替换为租户 ID 或主域名,并
    • <tenant-name> 的值替换为租户名称。 所有字符都应采用小写形式。 例如:
      • <tenant-name>.ciamlogin.com
      • <tenant-id>.ciamlogin.com

    1. 返回 URL 中,输入以下内容,将 <tenant-id> 替换为您的租户 ID 或主域名,将 <tenant-name> 替换为您的租户名称。 所有字符都应采用小写形式。

      例如:

      • https://<tenant-id>.ciamlogin.com/<tenant-id>/federation/oauth2
      • https://<tenant-id>.ciamlogin.com/<tenant-name>/federation/oauth2
      • https://<tenant-name>.ciamlogin.com/<tenant-id>/federation/oauth2

    2. 选择“下一步”,然后选择“完成”

    3. 当弹出窗口关闭时,选择“ 继续”,然后选择“ 保存”。

创建 Apple 客户端机密

  1. 在 Apple 开发人员门户菜单中,选择“密钥”,然后选择“+”。
  2. 注册新密钥:
    1. 键入密钥名称
    2. 选择 “使用 Apple 登录”,然后选择“ 配置”。
    3. 对于主应用 ID,选择之前创建的应用,然后选择“ 保存”。
  3. 选择 “继续”,然后选择“ 注册 ”以完成密钥注册过程。
  4. 记下密钥 ID。 配置标识提供者时,需要此密钥。
  5. 若要下载密钥,请选择 “下载 ”以下载 .p8 包含密钥的文件。
  6. 选择“完成”

重要

使用 Apple 登录需要管理员每隔 6 个月续订其客户端密码。 如果 Apple 客户端密码过期并将新值存储在策略密钥中,则需要手动续订它。 建议在 6 个月内设置自己的提醒,以生成新的客户端密码。

在 Microsoft Entra 外部 ID 中配置 Apple 联合身份验证

创建 Apple 应用后,在此步骤中,将在 Microsoft Entra 外部 ID 中设置 Apple 应用详细信息。 可以使用 Microsoft Entra 管理中心执行此操作。 若要在 Microsoft Entra 管理中心配置 Apple 联合身份验证,请执行以下步骤:

  1. 登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>所有标识提供者

  3. 在“内置”选项卡下,选择“Apple”

    显示如何添加 Apple 标识提供者的屏幕截图。

  4. 名称 Apple 会自动填充。 无法更改它。

  5. 输入以下详细信息:

    • 客户端(Apple 服务)ID:在上一步中创建的 Apple 应用程序的客户端 ID。
    • Apple 开发人员团队 ID:与在上一步中创建的 Apple 应用程序相关的 Apple 开发人员团队 ID。
    • 密钥 ID:在上一步中创建的 Apple 应用程序的密钥 ID。
    • 客户端机密(.p8)密钥:在上一步中创建的 Apple 应用程序的客户端密钥。

  6. 选择“ 保存”。 你将看到 Apple 已列为配置的标识提供者。

    显示 Apple 已添加到标识提供者列表的屏幕截图。

将 Apple 标识提供者添加到用户流

此时,Apple 标识提供者已在 Microsoft Entra 外部 ID 中设置完毕,但还不能在任何登录页面中使用。 将 Apple 标识提供者添加到用户流:

  1. 在客户租户中,浏览到 Entra ID>外部标识>用户流
  2. 选择要添加 Apple 标识提供者的用户流。
  3. 在“设置”下,选择“标识提供者”
  4. 在其他标识提供者下,选择 Apple
  5. 选择“ 保存”。

相关内容