Apple 身份服务介绍

Apple 为你的组织提供了多种身份服务，以帮助你在工作场所和云端安全管理密码和用户名。Apple 使用认证、授权和身份联合等安全性措施，确保单个用户在访问其喜爱的 App 和其他资源时，无需额外为每项内容设置单独的用户名和密码或者进行其他费时费力的过程。

以下是关键身份服务方法（认证、授权和身份联合）概览，以及 Apple 如何在身份服务中使用它们的示例。

认证和关联 Apple 服务

安全保护过程中的第一步是认证。认证会验证用户的身份，以确保身份合法。

Apple 使用多种认证方式。使用单点登录和个人 Apple 账户、管理式 Apple 账户、iCloud、iMessage 信息和 FaceTime 通话等 Apple 服务时，用户可以安全通信、在线创建文稿以及备份个人数据，而不会破坏组织的数据。每一种服务都采用自己的安全架构。这样，Apple 就可确保安全地处理数据（无论数据是在 Apple 设备上还是通过无线网络正在进行传输），保护用户的个人信息，以及防范对信息和服务进行恶意或未经授权的访问。另外，Apple 还内建了移动设备管理 (MDM) 解决方案框架，支持使用 MDM 解决方案限制和管理对 Apple 设备上特定服务的访问。

授权和关联 Apple 服务

认证证明了你是谁，而授权定义了允许用户做什么。若要使用授权，你需要向身份提供商 (IdP) 提供用户名和密码。用概念术语来说，IdP 是“机构”，用户名和密码是“断言”（因为用户“断言”了其身份），用户成功登录后收到的数据是“令牌”。

Apple 使用多种类型的令牌和断言。可用的部分断言包括证书、智能卡和其他多重认证设备。

身份联合

身份联合是在 IdP 之间跨安全域建立信任的过程，然后用户就可以在系统之间自由行动，同时保证安全。若要使用身份联合，管理员必须设置互相信任的域，并且这些域必须同意同一个识别用户身份的方法。

身份联合的一个常见例子是使用企业账户登录 IdP。例如，若要为组织精简管理式 Apple 账户的创建过程，Apple 已在身份提供商 (IdP)、Google Workspace 和 Microsoft Entra ID 以及“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”之间启用联合。用户之后可使用其现有身份提供商 (IdP)、Google Workspace 或 Microsoft Entra ID 账户登录 iCloud，或者登录关联到“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”的 Apple 设备。如果用户未被要求再次证明其身份，则联合将使用单点登录或 Kerberos 单点登录扩展执行。

另请参阅适用于 Apple 平台部署的 iCloud 在 Apple 设备上使用单点登录介绍在 Apple 设备上使用 Kerberos 单点登录扩展

有帮助?