讨论企业身份和认证

（你好 WWDC 2020） 您好 欢迎来到全球开发者大会。 （讨论企业身份和认证） 你好 我叫Mike Boylan 是一名支持企业和教育的 高级咨询工程师 很高兴今天和我的同事 Sudhakar 和大家一起 讨论企业身份和认证 Apple 对安全性的关注 不仅限于我们的软件、硬件和服务 对于以任何规模部署 Apple 设备的组织 身份已成为 使用者如何对设备、网站 应用程序和服务进行认证的核心 这也是确保整个平台安全的关键部分 身份和认证变得越来越复杂 这已不足为奇 所有企业应用程序或网站 都需要对用户进行认证才能正常运行 这些 app 可以连接到 云、本地或两者中的记录系统 那么 组织者们该如何应对这些挑战呢？ 为了帮助解决问题 Apple 开发了许多工具和技术 优化组织者 跨设备、网站、应用程序 和服务利用身份的方式 我们认为身份需要紧密集成到 我们的操作系统 以便为用户提供 无缝、几乎不可见的体检 这使用户可以在任何地方工作 同时还可以为 IT 行业人员提供 他们所需要的可视性和控制权 使他们舒适地完成任务 本次讲座将重点介绍三种不同的技术 以及它们如何在实践中一起使用 还有今年的新增功能 我们将介绍设备认证和 macOS 账户类型 单点登录扩展 以及 Managed Apple ID 和联合认证 我们首先谈谈设备认证 我们设备上的身份 通常从锁定或登录界面开始 以下是一个 共享 iPad 和共享 Mac 的例子 用户可以在其中选择自己的账户 输入凭据 并查看个性化体验 在 iPadOS 上 Managed Apple ID 可启用此功能 而在 macOS 上 账户可以是本地账户 也可以来自网络 在这台 Mac 上 我们可以看到 当一个设备分配给一个特定的用户时 即使在初始部署过程中 身份也在发挥作用 去年 我们增加了一项叫做 注册自定义的功能 该功能允许在安装过程中加载一个网页 就像你现在看到的一样 并且允许用户使用最新的认证方法 进行身份验证 然后可以使用认证过程中的用户信息 在 macOS 设置助手中 为用户预填充本地账户名称和简称 并且有选择地将其锁定到位 因此 假设用户正在使用本地账户 在 Mac 上就会有两种主要类型的账户： 本地账户和网络或移动账户 移动账户是网络账户的一种特定类型 macOS 账户类型 多年来 根据不同部署方案 很多组织已使用了这些账户中的任一类型 有时也根据情况使用了两种类型 移动账户和网络账户 是最先在 Mac 上开始使用的组织身份 比 iPhone 和 iPad 这样的移动设备 出现或流行的年代还早 它们的存在主要是为了 在计算机实验室等环境中 为共享设备提供帮助 但如今它们的使用意义要小得多 尤其是在 1:1 的部署方案中 本地账户 我们建议使用 1:1 部署方案时 尽可能在 macOS 上使用本地帐户 用户记录储存在本地 Mac 上 并且真实认证来自于 macOS 的本地目录服务 这有利于确保避免不必要的登录延迟 并且在 Mac 上进行本地密码管理 现在我们收到了很多关于 何时将 Mac 绑定到目录服务 以及何时解绑的问题 尤其是在 1:1 部署当中 绑定与连接 对于传统上将 Mac 绑定到活动目录 或其他目录服务 以进行 1:1 部署的组织 他们应该考虑不绑定计算机 相反 应该考虑内置的 Kerberos 扩展 其他单点登录扩展 或 MDM 供应商通常提供的 附加第三方增值 来提供目录连接 我们稍后会讨论内置的 Kerberos 扩展 和单点登录扩展 将内置的 Kerberos 扩展 与本地活动目录环境相结合 使用户可以获得 Kerberos 票证授予票证 也称为 TGT 并访问目录资源 如文件服务器和打印机 该扩展还可以帮助保持用户密码 与目录中的密码同步 且可以帮助确保用户在更改密码时 新密码符合组织复杂性要求 请注意 要浏览活动目录 DFS 或分布式文件系统 或者能够使用通过 MDM 传递的 AD 证书有效负载 获取 Active Directory 机器证书 Mac 本身确实需要绑定到活动目录上 仅因为 Mac 本身 已经绑定并具有 AD 机器记录 但这并不意味着用户需要 使用域账户登录 Mac 理想情况下 将使用 如上所述的本地账户替代 本地账户在 macOS 上 提供最佳、最可靠的体验 我们建议尽可能使用它们 另一种账户类型就是网络账户 网络账户 对于这些账户 认证的真实来源是目录服务器 主文件夹可以选择置于网络卷上 当登录到 macOS 时 可以通过网络 直接访问主文件夹的内容 最新应用程序、文件大小和文件类型 包括许多应用程序现在 都使用数据库来储存内容 固有的移动概念也给 网络账户和网络主文件夹 带来了巨大挑战 我们确实将此类型账户视为旧账户 并且不建议使用 但是它们并不是被弃用 在绝对必要时 也可以使用它们

我们建议尽可能使用本地账户 如果绝对必要的话 至少考虑使用移动账户 接下来我们会讨论 移动账户 移动账户是网络账户的一种类型 但比真正的网络账户更常用 认证的真实来源仍然是目录服务器 但是凭据也缓存在本地 主文件夹也在 Mac 本地创建 本地缓存凭据和本地主文件夹 有助于确保即使目录服务器不可用 用户也可以使用他们的 Mac 但是 由于用户认证的真实来源 是目录服务器 因此尝试访问目录服务器 可能会导致登录延迟 发生这种情况可能有多种原因 但最常见的是 DNS 错误配置 或意外重新使用所导致的 比如 连接到公共无线网络

同步密码还存在其他复杂性 因为可以在外部更改密码 然后需要在 Mac 上进行更新 使用 FileVault 时尤其如此 macOS 在 1:1 部署中支持移动账户 不过不建议使用 但是 在共享实验室条件下 通常适合使用移动账户 并且如果需要的话 甚至可以将它们配置为一段时间后过期

因此 这是对认证设备的概述 以及在部署期间和部署之后 我们如何管理 共享设备和单个设备之间 不同类型的账户和认证 现在 我们来谈谈单点登录扩展 单点登录概括 快速回顾一下 去年在 iPadOS iOS 13 和 macOS Catalina 版本中 加入了 SSO 扩展 它们能够使用本机应用程序和 WebKit 来提供更无缝的单点登录体验 我们在内部使用 SSO 扩展 来针对自己的身份管理系统 进行单点登录 并且我们已经看到像 Microsoft 和 Okta 这样的大型身份提供商 也将产品推向市场 SSO 扩展允许组织利用现有凭证 简而言之 它们是通过移动设备管理 或 MDM 进行配置的 可以为用户提供本机 UI、网站 UI 或完全透明的认证体验 这是一个图形 描述了 Safari 浏览器和 WebKit 以及本机应用程序 如何做到调用单点登录扩展 以针对组织的身份提供者进行认证

今年 我们将介绍 SSO 扩展的一些新功能和改进 首先是可以在 macOS 和 iPadOS 的用户频道上 使用共享 iPad 配置 SSO 扩展 我们改进了 SSO 扩展与 每个应用 VPN 配置交互的方式 我们添加了 SSO 扩展应用程序的功能 以便将通配符包含在 嵌入到应用程序中的匹配 URL 列表内 我们现在向扩展提供 有关请求认证的 调用应用程序的附加信息 当配置扩展的 MDM 概要文件被删除时 就会调用一个操作 来允许扩展所需的任何清理任务 最后 我们对第一方内置的 Kerberos 扩展 进行了一些重大改进 让我们从用户渠道配置文件交付开始 深入研究所有这些更改

今年 我们通过共享 iPad 在 macOS 和 iPadOS 的用户通道上 加入配置 SSO 扩展的功能 这将使 MDM 开发人员 可以更轻松地将 SSO 扩展的配置 集成到他们的产品中 用户渠道交付 所有 SSO 扩展均启用此功能 用户通道上配置的设置 优先于系统级别配置中的任何设置 这项改进还将使 每个用户的 SSO 设置更加容易 例如设置用户名 我们还大大改善了 SSO 扩展与 每应用 VPN 配合使用的方式 每应用 VPN 改进 今年新增功能是 关联域现在可与每应用 VPN 配合使用 因此 SSO 重定向扩展 可以重新定向本地身份提供商的流量 本地防火墙与基于网络的防火墙 具有相同的证书限制 这意味着该证书需要 由预安装的且受系统信任的 CA 颁发 要使用此功能 你需要将关联域添加到 每应用 VPN 的有效负载中 并通过 iOS 上的管理应用属性 或 macOS 上的管理关联域有效负载 为这些域启用新的直接下载功能 我们将概述相关的域 并在不久后讨论对其的一些更改 重定向扩展示例 让我们来看看扩展 如何将每应用 VPN 用于本地身份提供商 安装该应用程序后 如果存在关联的域 则操作系统将通过每应用 VPN 请求站点关联文件 本机应用程序可以将操作 发送给扩展程序 例如“登录” 然后 该请求将通过每应用 VPN 到达本地网络 再到达本地身份提供商 然后 响应仍然通过每应用 VPN 返回扩展 然后将响应和令牌发送回本机应用程序 并且 SSO 扩展继承其宿主应用程序的 每应用 VPN 设置 如果为主机应用程序分配了每应用 VPN 则所有主机和扩展流量 都将使用每应用 VPN 这可能会影响扩展的性能 因为即使某些资源可能在云上 所有流量也都必须 通过 VPN 进行路由 今年新增功能 你可以使用 “按应用程序 VPN 排除的网域列表” 来允许你的云防火墙流量 直接从设备转到防火墙 以充分利用负载平衡和区域实例 当应用程序需要同时访问 受信任的云和本地资源时 这会非常有用 排除列表对于设备是全局的 每应用 VPN 专属网域 以前 要连接到云资源 SSO 扩展或应用程序必须 通过每应用 VPN 将流量发送到本地网络 然后再路由到网络 这可能效率不高 并且可能降低 全局 CDN 或网络资源区域 负载平衡的优势 现在 你可以使用排除的网域直接连接到 受信任的网络资源 因此 在这里 你可以看到 SSO 扩展 通过每应用 VPN 向本地网络发送了一些流量 但是现在 该扩展程序 可以使用排除的网域列表 将流量直接发送到 你指定网域的受信任云资源中 今年的另一项新功能 我们还将针对仅认证的请求 例如登录事件或密码更改 触发每应用 VPN 它不再需要单独的超文本传输协议 或类似请求来触发 VPN 这适用于所有平台 快速回顾一下相关网域 我们在去年引入了这些网域 以及 SSO 扩展 关联域名概括 关联域名通过管理应用配置 重装在 iOS 上 与提供 SSO 扩展的应用一起配置 而在 macOS 上 则是 通过 MDM 的单独管理关联域 有效负载安装的 与SSO扩展一起使用时 它们允许每个租户 具有不同主机名的身份提供者 以通过 MDM 为客户指定主机 而不是在将应用提交到应用商店之前 尝试将每个客户添加到 应用的嵌入式 URL 集中 为了使应用程序能够与关联域一起使用 它需要一项权利 该权利允许 MDM 补充 应用程序随附的相关域 今年的新功能是 com.apple.developer. associated-domains.mdm 管理权限现已公开 不再需要开发人员技术支持的批准

应用程序内部包含的关联域 必须与相关网站上的 Apple 应用网站协会文件配对 APPLE 内容分发网络 此文件包含 app ID 和 app 密钥 用于指定可在网站上使用 且具有给定服务类型的应用程序的 应用程序标识符 今年的新功能是 默认情况下 设备本身不再直接访问 Apple 应用网站协会文件

而是由专用于关联域的 Apple 运营的 内容交付网络访问文件 这样可以减少服务器上的负载 并将设备路由到已知良好、快速的连接

对于应用程序可能具有公共网络上 不可供 Apple CDN 访问的 关联域管理设备 可以在应用程序内部的网域 添加一个附加参数 以指定它是管理设备上 管理应用程序的网域 如果想了解更多信息 请参见今年全球开发者大会的相关会议 今年 我们将提供有关 尝试使用 SSO 扩展的 app 的更多信息 调用应用程序附加信息 具体来说 我们添加了 本地化的调用应用程序名称 调用 app 标识符 和 IsCallerManaged 标志 SSO 扩展可以使用此信息 通过为用户提供 一个更加用户友好型的应用程序名称 来改善用户体验 并且还可以使用团队标识符 和“受管理”标志 来对调用应用程序做出 更明智的安全决策 现在 开始运作 概要文件删除操作 去年 我们对该扩展程序的典型用途 进行了一些标准操作 包括登录、刷新和注销 开发人员应该已经在扩展中采用了这些

今年 我们添加了 一个新的配置-删除操作 从设备中 删除配置 SSO 扩展的配置文件时 将调用此操作 这将使扩展开发人员在短时间内 可以注销、清理文件 或钥匙串条目、撤销令牌 或根据需要执行其他清理操作 要使用此功能 需要使用 iOS 14 或 macOS Big Sur SDK 构建 SSO 扩展

嵌入通配符匹配 我们已经为 SSO 扩展开发人员 添加一项新功能 该功能可以将嵌入式通配符包括在 使用其扩展名的匹配 URL 列表中 这为大型身份提供者 提供了一种更为轻松的设置 这些提供者使用 具有稍微不同的 URL 的通用 URL 方案 来标识特定的客户或租户 因此 例如 如果身份提供者登录 URL 为 auth.pretendco.com/客户名称/登录 则他们可以在 其嵌入式 URL 列表中包括 auth.pretendco.com/开始/登录 这不同于关联域 其中整个域都可能不同 这些嵌入式通配符 URL 与关联域一起使用 而不是要替换它们 这项改进的重点是扩展开发人员 当 URL 相似且主机名本身通常相同时 它们可以更轻松地匹配大量客户 今年的新增功能是 对内置 Kerberos 扩展的多项改进 首先 macOS 上的额外菜单 现在可以更准确地表示扩展的状态 该扩展需要凭据、活跃的网络连接 有效的 DNS 和未过期的 Kerberos 票证 才能正常工作 如果所有这些都到位 则 Extra 菜单将显示为稳定 而现在 如果缺少某些内容 它将向用户指示问题所在 我们意识到并非所有组织 都使用相同的名称来表示身份 有人将其称为“关联 ID” 有人将其称为“ AD 帐户” 甚至称其为 PretendCo ID 其中 PretendCo 是组织的名称 今年 我们将在 自定义 Kerberos 扩展中 添加显示标签的功能 以便它可以与组织中 你的标识名称进行匹配 现在 你还可以添加帮助文本 以让你的用户知道 如果登录有问题可以从何处获得帮助 此文本会显示在登录窗口的底部 因此这有个在自定义帮助文本下 自定义身份名称的例子

这有几个向用户展示其他不同状态的 功能菜单示例 例如左边是 用户未登录且无可用网络 中间是用户已登录但无可用网络 右边是用户已登录 并且有可用网络和凭证 请注意菜单栏中的密匙图标是实心

该扩展现在将在 iOS、iPadOS 和 macOS 上触发每应用的 VPN 以实现仅用于身份验证的请求 这让你无需进行 单独网络请求或手动触发 VPN 即可进行登录 Kerberos 扩展 现在也完全支持 macOS 中应用到每应用程序的 VPN 你需要将 AppSSOAgent 和 KerberosMenuExtra 添加到 应用到每应用程序的 VPN 有效负载中 我们前面讨论了所有 SSO 扩展都支持 用户通道配置文件传递 其中包括内置 Kerberos 扩展 开发此功能的主要原因是 希望能够更容易地引用通过 MDM 传递的 用户级证书身份 并将它们用于基于证书 的 Kerberos 或 PKINIT

值得一提的是 在配置 Kerberos 扩展时 一直支持在系统级范围配置文件中 引用用户级证书身份 但这一改进会使 MDM 厂商更容易 将配置和证书捆绑在一起 当用户在 macOS 上 第一次登录扩展程序时 我们还会给管理员提供 更多的控制权 例如 以前 app SSO 代理 会侦听网络状态更改 并出现凭证提示 在使用此新选项时 首次登录提示会有所延迟 直到管理员运行命令以启用该命令 或收到第一次身份验证质询为止 我们还在 iOS 上添加了 可选的受管理 app 访问控制 在设置该选项后 如果 尝试访问凭证的源 app 不受管理 那么它将无法实现这点 因此 这就是对单点登录扩展 和内置 Kerberos 扩展的概述 现在我把画面交给 Sudhakar 听他谈谈如何管理 Apple ID 谢谢 Mike 您好 我是 Sudhakar Mambakkam Apple 身份管理团队的高级工程经理 今天我将谈谈 Managed Apple ID 和联合身份验证 我今天介绍的功能 适用于 Apple 商务管理 和 Apple 校园教务管理 简单起见 我可能 只会偶尔提到 Apple 商务管理 如存在实际的功能差异 我会对其进行特别说明

我们先来了解一下什么是 Managed Apple ID 它们由是组织所拥有 并管理的 Apple 用户帐户

如创建、删除和密码管理等帐户管理任务 都由这些帐户的 IT 管理员或自动化系统完成 Managed Apple ID 可用于个性化设备 以及访问 Apple 应用程序和服务 某些应用程序可以 根据使用需要进行定制 而其他应用程序 仅适用于Managed Apple ID

IT 团队通过它们登录到 Apple 商务管理中 为其组织执行设备管理 和应用程序购买等任务 用户注册和共享 iPad 之类的功能 仅可用于 Managed Apple ID

教育版的 Managed Apple ID 支持如 Schoolwork 之类的功能 并配有 200GB 免费 iCloud 存储空间

最重要的是 Managed Apple ID 可进行 联合身份验证 让我们来看看这项功能 并了解下其对企业身份很重要的原因

联合身份验证是一种跨组织边界的 简单而安全的身份管理架构体系 它允许 Apple 商务管理中的组织连接到 基于 Microsoft Azure Active Directory 的 现有身份系统中 这将自动设置 用户访问 Apple 服务的权限

无需创建新的登录凭证 并可以使用用户 在组织中常用于其他应用程序 同一凭证访问 Apple Service 这就是联合身份验证功能的核心目标 组织可以在其中为 其用户确定身份验证政策

当用户首次使用联合身份验证 登录到 Apple 设备时 将自动创建访问 Apple 服务所需的 Managed Apple ID 联合身份验证为 IT 团队和终端用户 减少了与帐户相关的开销 它确保在组织内使用的 所有应用程序和服务之间 执行一致的标识政策

下面让我们来看看 联合身份验证的工作原理 首先需要在 Azure Active Directory 和 Apple 之间建立联合验证 这个可以使用 Apple 商务管理 或 Apple 校园教务管理进行设置 设置联合身份验证后 组织中的用户就可以使用其组织登录凭证 访问 Apple 的所有应用程序

为每个域分别配置联合身份 验证 在此例中已为域名 acme.com 设置联合身份验证

此后 当 acme.com 域名中的用户 尝试访问 Apple 服务时 Apple 将识别该用户为联盟用户 并将其设备重新定向到 Azure AD 进行身份验证

用户在 Azure AD 中进行身份验证之后 该设备将使用 身份验证令牌重定向回 Apple

此处使用的联合协议是 SAML 验证令牌是 由 Azure AD 签名的 SAML 回应 Apple 会使用设置过程中交换的信息 来验证令牌签名 并允许用户访问该服务

即使身份系统 不是位于 Azure AD 本机上 而是位于另一个系统上 例如本地 ADFS 或另一个身份提供商 也可以进行联合身份验证 Azure AD 与其他身份提供商的集成 对 Apple 服务是公开透明的 Apple 服务仍通过 Azure AD 接收身份验证令牌

让我们详细了解下设置过程 用户只有在 Apple 商务管理 和 Azure Active Directory 中 都具有管理功能才能建立联合 假设你是贵组织 在这两个系统中的管理员 并逐步完成了该过程

由于联合是按域名建立 如果你的组织有多个域名 你需要选择其中一个域名进行联合

如果你将所有含用户访问 Apple 服务的域名联合起来 那么你会获得最大利益

域验证是今年在 Apple 商务管理 和 Apple 校园教务管理中引进的新功能 用于创建 Apple ID 的域 需要进行所有权验证 让我们从这个步骤开始 输入要联合的域并选择 “continue”

域名将保存为未验证状态 你可以立即开始验证过程 域名验证功能 使用基于 DNS TXT 记录的标准验证方法 使用 “verify” 按钮生成验证码

然后 使用此验证码 在你的域名中创建 TXT 此验证码自生成之日起有效期为14天 你需要在此期间内完成该过程 更新 DNS 记录后 你可以手动触发 DNS 检查 也可以让预定的过程自动检查 无论哪种方式 请记住 更新后 DNS 的记录传递 可能需要几个小时之久

如果 TXT 记录在 Apple 商务管理中可见 它将与该域最初生成的验证码进行核对 如果匹配 则该域名被标记为已验证 并可立即用于联合

使用 "联合身份验证 " 下的 "connect" 按钮 启动联合进程

以管理员身份登录 Azure AD 登录者可以是以下角色之一的用户： 全局管理员、应用程序管理员 或云应用程序管理员

同意 Azure AD 和 Apple 商务管理 之间进行整合 这可以让你的用户使用其 Azure AD 凭证 登录到 Apple 服务 它还允许 Azure AD 与 Apple 共享用户信息 如员工的电子邮件地址和姓名 此步骤一个组织只需要一次 阅读协议并接受

授予权限后 就会以你正联合域名的用户身份登录 这是一个测试性的登录 以验证权限授予是否成功 并确认用户现在可以 使用他们的 Azure AD 凭证 登录到 Apple Service

如以后联合第二个域名 你就可以直接进入这一步 因为已经授予了整合权限

接下来 Apple 将对其数据库 进行扫描以查找是否有用户名冲突 这些是你的域名中现有帐户的用户名称 你将不能使用 Apple ID 数据库中已存在的用户名 创建新的 Managed Apple ID

因此 这里有个解决过程以消除这些冲突 Apple 会通知用户 在其他域名中选择新的用户名 60 天后 Apple 会自动 将其余所有用户名 更新为临时域名 完成此操作后 你可以使用要联合域名中 任何用户名创建 Managed Apple ID

即使存在冲突 你也不用等 60 天 后再启用联合功能 扫描完成后会出现冲突结果 你可以随时前往启用联合功能 没有出现用户名冲突的用户 可以立即使用 带有组织凭证的 Apple Service

我们来快速回顾一下 启用联合功能所需的步骤

首先 验证域名 然后以管理员身份登录并提交同意意见

再以用户身份登录此域名

检查用户名是否冲突 并根据需要启动解决步骤

然后启动联合 联合身份验证可消除 很多账户管理上的难题 尤其是最难的凭证管理 但仍有几个重要的问题需要解决

用户离开组织时会出现什么情况？ 必须及时撤销其访问权限 以满足安全性和监管需求 当然 在联合条件下 用户离开后将无法登录 但是对于他们已经登录的设备和应用程序 我们如何确保终止了这些会话呢？

在帐户的整个生命周期中 诸如用户所在部门 或甚至用户姓名之类的信息 都可能发生变化 要确保所有服务中 用户的个人资料信息一致 最佳方法是什么？

在登录时自动创建 Managed Apple ID 这对大多数用户都有效 但如果用户需要某些 特定服务的权限呢？ 我们如何避免在预先 创建账户时需要手动工作 以便在前期授予权限？ 跨域身份管理系统 SCIM 提供了所有问题的标准解决方案 很高兴与大家分享一个消息 即我们将在今年晚些时候引入 SCIM 与 Azure Active Directory 集成 这个集成在 Apple 商务管理 和 Apple 校园教务管理中都适用

让我们看看 SCIM 是什么 以及它能提供什么帮助

SCIM 是身份提供商和服务提供商之间 交换信息的自动化过程 它允许 Azure AD 和 Apple 同步账户数据

这是一个基于标准的数据交换过程 覆盖账户的整个生命周期 因此 账户的创建、修改和删除 都可以同步进行 它适用于 Apple 商务管理 和 Apple 校园教务管理中 的所有联盟组织 对于已通过 SIS 或 SFTP 程序 将账户信息导入 Apple 校园教务管理的教育机构 现在还可以选择 SCIM 让我们来看看 SCIM 过程的概述 SCIM 数据同步过程 如果你的组织建立了 SCIM 连接 Azure AD 就会监控你的用户目录变化 并自动将这些变化 发布给 Apple 商务管理

在一段时间内 可能会新增用户 某些用户的个人资料可能会更新 并且另外有些用户可能会被删除 Azure AD 会监视这些更改 并使用 SCIM 界面标识 对发至 Apple 商务管理的更改进行识别

Apple 商务管理会 使用 此数据并将其应用于其数据库 并将其与 Azure AD 同步

通过两个存储库保持同步 SCIM 增强了 联合体系结构的 安全性和可用性

现在让我们来看一下 SCIM 的设置过程 和联合身份验证相似 SCIM 配置也要求你 是 Apple 商务管理 和 Azure AD 的管理员

Apple 商务管理现在将 有一个新的数据源选项来配置 SCIM Apple 校园教务管理已经支持 SIS 和 SFTP 的数据源配置 现在 SCIM 将成为其另一种选择

选择 "connect" 以启动配置进程

这会生成一个 SCIM 令牌 你需要将其上载 到 Azure Active Directory 复制此令牌以供之后使用 令牌生成后 SCIM令牌必须在四天内使用 之后它将过期

生成令牌后 租户 URL 也将显示在用户界面中 请注意此租户 URL 因为 Azure AD 配置 既需要令牌也需要 URL

以管理员身份登录 Azure AD 导航到 “Enterprise Applications” 部分 然后找到 Apple 商务管理应用程序 转到此应用程序的 Provisioning 部分 并输入从 Apple 商务管理中获得的信息 你还可以选择 为目录中的所有用户同步数据 也可以选择 只为你分配的 Apple 商务管理的用户子集同步数据

选择并点击 “save” Azure AD 将自动测试此连接 并开始同步数据

你可以在 Apple 商务管理中 使用 任务侧栏验证 SCIM 状态 你可以看到 连接状态和通过 SCIM 导入的账户个数 你也可以在经 SCIM 接口同步的账户上 看到作为标签数据源的 SCIM 从现在开始 账户信息会自动 在 Azure AD 和 Apple 商务管理间同步 与此同时 联合以及SCIM 会最大程度地简化你的账户管理流程 并且我们很兴奋 你能使用 SCIM 集成 Managed Apple ID 允许你 根据自己的需求使用 Apple Service 联合身份验证和SCIM 可以 自动化并简化身份管理流程 为用户提供无缝体验 并帮助你从 Apple Services 中 获得最大价值 现在我将它交还给 Mike

谢谢 Sudhakar 我想简要地介绍一下联合和 SSO 这些是我们生态系统中的补充技术 身份提供商支持 SSO 扩展 正如我在会议开始时提到的那样 我们看到 像 Microsoft 和 Okta 这几个大型提供商 已经将 SSO 扩展推向市场 SSO 扩展允许 非 Apple 应用程序和网站使用它们 直接与身份提供商集成 以获得 SSO 体验 另一方面 Apple 的应用程序和服务 只能和 Managed Apple ID 一起使用 这意味着它们不使用 SSO 扩展 来与你的身份提供商直接整合 相反 它们与 Apple 集成以进行身份验证 这之后可用于与微软 Azure Active Directory 进行联合 微软 Azure Active Directory 是否是实际的后盾身份提供商 这个由你来决定 正如 Sudhakar 前面提到的那样 Azure Active Directory 也支持联合其他身份供应商 因此 虽然 Apple 商务管理需要 与 Azure Active Directory 进行对话 但身份的支持源可能是另一个身份提供商 最后 我想总结 我们讨论的内容并呼吁大家采取行动 总结 尽可能在 macOS 上 使用本地账户进行 1:1 部署 并通过内置 Kerberos 扩展 其他 SSO 扩展 或 MDM 供应商常提供的 其他第三方增值功能启用目录连接 macOS 中支持移动账户 但不建议用于1:1部署 共享的实验室环境 通常适合使用移动账户 如果需要的话 甚至可以将其设定为一定时间后失效 今年我们为 SSO 扩展 和内置的系统 Kerberos 扩展 进行了许多新的改进 我们鼓励大家充分利用这些改进之处 从而为你的用户提供更好的单点登录体验 在你的机构中使用 Managed Apple ID 因为它是专门为企业和教育目的而设计的 它们由你的组织创建和管理 旨在实现数据隐私 并提供对 Apple Services 的访问渠道 验证 Apple 校园教务管理 和 Apple 商务管理中的域 以启用联合身份验证 通过现有 Microsoft Azure Active Directory 凭证来支持轻松创建帐户 SCIM 支持是全新的 并且将于今年晚些时候在 Apple 校园教务管理和商务管理中推出 它直接从 Microsoft Azure Active Directory 向 Apple 提供数据 以帮助创建、修改和删除账户 请务必浏览所有 其他专门针对 IT 专业人士的 2020 全球开发者大会的企业级会议 另外 请在本次会议的资源中查找去年 深入探讨了可扩展 SSO 的技术讲座 谢谢大家 我们希望你喜欢 2020 全球开发者大会 提供的所有精彩内容