在「Apple 商務」使用識別身分供應商的聯合驗證

概覽

在「Apple 商務」中，你可以使用聯合驗證連結至識別身分供應商（IdP），讓使用者透過其 IdP 使用者名稱（通常是其電子郵件地址）和密碼登入 Apple 裝置。

因此，你的使用者可以利用其 IdP 憑證作為管理式 Apple 帳號。然後他們可以使用這些憑證來登入指派給他們的 iPhone、iPad、Mac、Apple Vision Pro 和共享的 iPad。他們登入其中一個裝置之後，也能登入網頁版 iCloud。

此流程有四個主要步驟：

【重要事項】請先檢視下列資訊，再設定聯合驗證。

你需要先新增並驗證想使用的網域，才能使用「Apple 商務」檢視你的 IdP 使用者帳號。

驗證程序負責確定貴機構有權修改網域的網域名稱服務（DNS）紀錄。舉例來說，若要使用 melardclothing.com 作為你的網域，你需要在驗證程序開始（選取「驗證」後，驗證程序即會開始）的 14 個日曆天內，將指定的 TXT 記錄新增至 DNS 伺服器。

【注意】如果你試圖對你已驗證的某網域建立聯合驗證，但其他機構已對同一個網域建立了聯合驗證，則需聯絡該機構，以決定哪一方有權建立該網域的聯合驗證。請參閱〈什麼是網域衝突？〉。

你的 IdP 需要具備或建立包含可連結至「Apple 商務」之特定設定的 App，才能連線至「Apple 商務」。由於各個 IdP 建立 App 的方式各有不同，特定設定所在的位置也不相同，因此請參閱你的 IdP 文件，瞭解如何完成此流程。

以管理員身分登入你的 IdP，然後選擇下列其中一項操作：
- 找到你的 IdP 建立的 App。你或許可以在此作業中跳過數個步驟。
- 瀏覽至你可建立 App 或連線的位置。
利用下列資訊建立 app 或連線：
- 「Apple 商務」：AppleBusinessOIDC。
- 登入方式：OIDC。
- App 類型：網頁 app。
- 授予類型：重新整理權杖。
- 登入重新導向 URI：https://gsa-ws.apple.com/grandslam/GsService2/acs。
- 存取：允許特定使用者帳號。
- 範圍存取：需將存取權授予下列項目：ssf.manage 和 ssf.read。
儲存變更。
稍後，你需要將此頁面的特定資訊貼至「Apple 商務」。下一項作業是要將該資訊拷貝至文字或試算表檔案中。
開啟一個新的文字檔案或試算表，然後輸入下列 IdP 的值：
- 在 OIDC 用戶端 ID 的部分，貼上 OIDC 用戶端 ID。
- 在 OIDC 用戶端密鑰的部分，貼上 OIDC 用戶端密鑰。
將檔案儲存至安全的位置。

這一步是要在你的 IdP 與「Apple 商務」之間建立信任關係。

【注意】完成此步驟後，使用者將無法在你設定的網域上建立新的非管理式（個人）Apple 帳號。這可能會影響你的使用者所存取的其他 Apple 服務。請參閱〈移轉 Apple 服務〉。

在「Apple 商務」中，以其職務有權設定並配置聯合驗證和連結識別身分供應商（IdP）的使用者身分登入。
若要檢視職務與權限，請參閱〈職務與權限簡介〉。
在瀏覽器中，依序選擇「設定」>「網域」。
在「使用者登入和目錄同步」旁選取「開始使用」。
選取「自訂識別身分供應商」，然後選取「繼續」。
為聯合驗證連線輸入名稱。
你最多可以使用 128 個字元。
從你在上一段所儲存的文字檔案或試算表中，將用戶端 ID 及用戶端密鑰值拷貝至「Apple 商務」內。
與你的 IdP 聯絡，以取得下列兩項設定的 URL：
- Shared Signals Framework (SSF)
- OpenID Connect 設定 URL
選取「繼續」。
若輸入的值有效，系統會顯示你的 IdP 登入頁面。若無效，請檢查並修正輸入內容，然後再次選取「繼續」。
使用 IdP 管理員使用者名稱和密碼登入。
選取「完成」。

【注意】使用者的職務若具備設定與配置聯合驗證和連結識別身分供應商的權限，無法使用聯合驗證登入，只能管理聯合驗證程序。

有幫助？