Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule pokazano, jak skonfigurować usługę aplikacji Azure lub Azure Functions do korzystania z logowania przy użyciu Apple jako dostawcy uwierzytelniania.
Aby wykonać procedurę opisaną w tym artykule, musisz zarejestrować się w programie dla deweloperów firmy Apple. Aby zarejestrować się w programie dla deweloperów firmy Apple, przejdź do developer.apple.com/programs/enroll.
Uwaga
Włączenie logowania przy użyciu firmy Apple spowoduje wyłączenie zarządzania funkcją uwierzytelniania/autoryzacji usługi App Service dla aplikacji za pośrednictwem niektórych klientów, takich jak witryna Azure Portal, interfejs wiersza polecenia platformy Azure i program Azure PowerShell. Funkcja opiera się na nowej powierzchni interfejsu API, która w wersji zapoznawczej nie jest jeszcze uwzględniana we wszystkich środowiskach zarządzania.
Tworzenie aplikacji w portalu dla deweloperów firmy Apple
Musisz utworzyć identyfikator aplikacji i identyfikator usługi w portalu dla deweloperów firmy Apple.
- W portalu dla deweloperów firmy Apple przejdź do pozycji Certyfikaty, Identyfikatory i profile.
- Na karcie Identyfikatory wybierz przycisk (+).
-
Na stronie Rejestrowanie nowego identyfikatora wybierz pozycję Identyfikatory aplikacji i wybierz pozycję Kontynuuj. (Identyfikatory aplikacji obejmują co najmniej jeden identyfikator usługi).
-
Na stronie Rejestrowanie identyfikatora aplikacji podaj opis i identyfikator pakietu, a następnie wybierz pozycję Zaloguj się przy użyciu firmy Apple z listy możliwości. Następnie wybierz pozycję Kontynuuj. Zanotuj prefiks identyfikatora aplikacji (identyfikator zespołu) z tego kroku. Będzie on potrzebny później.
- Przejrzyj informacje o rejestracji aplikacji i wybierz pozycję Zarejestruj.
- Ponownie na karcie Identyfikatory wybierz przycisk (+).
-
Na stronie Rejestrowanie nowego identyfikatora wybierz pozycję Identyfikatory usług i wybierz pozycję Kontynuuj.
-
Na stronie Rejestrowanie identyfikatora usług podaj opis i identyfikator. Opis będzie wyświetlany użytkownikowi na ekranie zgody. Identyfikator będzie identyfikatorem klienta używanym podczas konfigurowania dostawcy firmy Apple w usłudze aplikacji. Następnie wybierz pozycję Konfiguruj.
- W oknie podręcznym ustaw Identyfikator głównej aplikacji na Identyfikator aplikacji, który utworzyłeś wcześniej. Określ domenę aplikacji w sekcji domeny. W przypadku zwracanego adresu URL użyj adresu URL
<app-url>/.auth/login/apple/callback. Na przykładhttps://contoso.azurewebsites.net/.auth/login/apple/callback. Następnie wybierz pozycję Dodaj i Zapisz.
- Przejrzyj informacje o rejestracji usługi i wybierz pozycję Zapisz.
Generowanie tajemnicy klienta
Firma Apple wymaga od deweloperów aplikacji utworzenia i podpisania pliku JWT jako wartości wpisu tajnego klienta. Aby wygenerować ten wpis tajny, najpierw wygeneruj i pobierz klucz prywatny krzywej eliptycznej z portalu Apple Developer Portal. Następnie użyj tego klucza, aby podpisać JWT za pomocą określonego ładunku.
Tworzenie i pobieranie klucza prywatnego
- Na karcie Klucze w portalu dla deweloperów firmy Apple wybierz pozycję Utwórz klucz lub wybierz przycisk (+).
- Na stronie Rejestrowanie nowego klucza podaj nazwę klucza, zaznacz pole wyboru obok pozycji Zaloguj się przy użyciu firmy Apple i wybierz pozycję Konfiguruj.
- Na stronie Konfigurowanie klucza połącz klucz z utworzonym wcześniej identyfikatorem aplikacji podstawowej i wybierz pozycję Zapisz.
- Zakończ tworzenie klucza, potwierdzając informacje i wybierając pozycję Kontynuuj, a następnie przeglądając informacje i wybierając pozycję Zarejestruj.
-
Na stronie Pobierz klucz pobierz klucz. Zostanie pobrany jako
.p8plik (PKCS#8) — użyjesz zawartości pliku do podpisania klucza tajnego klienta JWT.
Ustrukturyzuj tajny klucz klienta JWT
Firma Apple wymaga, aby klucz tajny klienta był kodowaniem base64 JWT. Zdekodowany zestaw JWT powinien mieć ładunek ze strukturą podobną do poniższego przykładu:
{
"alg": "ES256",
"kid": "URKEYID001",
}.{
"sub": "com.yourcompany.app1",
"nbf": 1560203207,
"exp": 1560289607,
"iss": "ABC123DEFG",
"aud": "https://appleid.apple.com"
}.[Signature]
- sub: Identyfikator klienta firmy Apple (również identyfikator usługi)
- iss: Identyfikator zespołu deweloperów firmy Apple
- aud: Firma Apple otrzymuje token, więc są więc odbiorcami
- exp: Nie więcej niż sześć miesięcy po nbf
Wersja zakodowana w formacie base64 powyższego ładunku wygląda następująco: eyJhbGciOiJFUzI1NiIsImtpZCI6IlVSS0VZSUQwMDEifQ.eyJzdWIiOiJjb20ueW91cmNvbXBhbnkuYXBwMSIsIm5iZiI6MTU2MDIwMzIwNywiZXhwIjoxNTYwMjg5NjA3LCJpc3MiOiJBQkMxMjNERUZHIiwiYXVkIjoiaHR0cHM6Ly9hcHBsZWlkLmFwcGxlLmNvbSJ9.ABSXELWuTbgqfrIUz7bLi6nXvkXAz5O8vt0jB2dSHTQTib1x1DSP4__4UrlKI-pdzNg1sgeocolPNTmDKazO8-BHAZCsdeeTNlgFEzBytIpMKFfVEQbEtGRkam5IeclUK7S9oOva4EK4jV4VmgDrr-LGWWO3TaAxAvy3_ZoKohvFFkVG
Uwaga: Apple nie akceptuje tajnych kluczy JWT klienta z datą wygaśnięcia dłuższą niż sześć miesięcy po dacie utworzenia (lub nbf). Oznacza to, że musisz zmieniać tajny klucz klienta co najmniej co sześć miesięcy.
Więcej informacji na temat generowania i weryfikowania tokenów można znaleźć w dokumentacji dla deweloperów firmy Apple.
Podpisz tajny klucz klienta JWT
Użyjesz pliku, który pobrałeś wcześniej, aby podpisać tajemnicę klienta JWT. Ten plik jest plikiem PCKS#8 zawierającym prywatny klucz podpisywania w formacie PEM. Istnieje wiele bibliotek, które mogą podpisać i wygenerować token JWT dla ciebie.
Istnieją różne rodzaje bibliotek open-source dostępnych online do tworzenia i podpisywania tokenów JWT. Aby uzyskać więcej informacji na temat generowania zestawów JWTs, zobacz JSON Web Token (JWT). Na przykład jednym ze sposobów generowania tajnego klucza klienta jest zaimportowanie pakietu NuGet Microsoft.IdentityModel.Tokens i uruchomienie niewielkiej ilości kodu w języku C# pokazanego poniżej.
using Microsoft.IdentityModel.Tokens;
public static string GetAppleClientSecret(string teamId, string clientId, string keyId, string p8key)
{
string audience = "https://appleid.apple.com";
string issuer = teamId;
string subject = clientId;
string kid = keyId;
IList<Claim> claims = new List<Claim> {
new Claim ("sub", subject)
};
CngKey cngKey = CngKey.Import(Convert.FromBase64String(p8key), CngKeyBlobFormat.Pkcs8PrivateBlob);
SigningCredentials signingCred = new SigningCredentials(
new ECDsaSecurityKey(new ECDsaCng(cngKey)),
SecurityAlgorithms.EcdsaSha256
);
JwtSecurityToken token = new JwtSecurityToken(
issuer,
audience,
claims,
DateTime.Now,
DateTime.Now.AddDays(180),
signingCred
);
token.Header.Add("kid", kid);
token.Header.Remove("typ");
JwtSecurityTokenHandler tokenHandler = new JwtSecurityTokenHandler();
return tokenHandler.WriteToken(token);
}
- teamId: Identyfikator zespołu deweloperów firmy Apple
- clientId: identyfikator klienta firmy Apple (również identyfikator usługi)
-
p8key: klucz formatu PEM — klucz można uzyskać, otwierając plik
.p8w edytorze tekstowym, i kopiując wszystko między-----BEGIN PRIVATE KEY-----i-----END PRIVATE KEY-----bez podziałów linii - keyId: identyfikator pobranego klucza
Zwrócony token to wartość tajemnicy klienta, której użyjesz do skonfigurowania dostawcy Apple.
Ważne
Tajemnica klienta jest ważnym poświadczeniem zabezpieczeń. Nie udostępniaj tego wpisu tajnego nikomu ani nie rozpowszechniaj go w aplikacji klienckiej.
Dodaj sekret klienta jako ustawienie aplikacji, używając wybranej nazwy ustawienia. Zanotuj tę nazwę później.
Dodawanie informacji o dostawcy do aplikacji
Uwaga
Wymagana konfiguracja jest w nowym formacie interfejsu API, obecnie obsługiwana tylko przez konfigurację opartą na plikach (wersja zapoznawcza). Należy wykonać poniższe kroki przy użyciu takiego pliku.
Ta sekcja przeprowadzi Cię przez proces aktualizacji konfiguracji, aby uwzględnić nowego dostawcę tożsamości (IdP). Poniżej przedstawiono przykładową konfigurację.
W obiekcie
identityProvidersdodaj obiektapplejeśli ten jeszcze nie istnieje.Przypisz obiekt do tego klucza, zawierający obiekt
registrationi opcjonalnie obiektlogin:"apple" : { "registration" : { "clientId": "<client ID>", "clientSecretSettingName": "APP_SETTING_CONTAINING_APPLE_CLIENT_SECRET" }, "login": { "scopes": [] } }a. W obiekcie
registrationustawclientIdna identyfikator klienta, który zebrałeś.b. W obiekcie
registration, ustawclientSecretSettingNamena nazwę ustawienia aplikacji, w którym przechowywany jest tajny klucz klienta.c. W obiekcie
loginmożna ustawić tablicęscopes, aby zawierała listę zakresów używanych podczas uwierzytelniania za pomocą Apple, na przykład "name" i "email". Jeśli zakresy są skonfigurowane, będą one jawnie żądane na ekranie zgody, gdy użytkownicy logują się po raz pierwszy.
Po ustawieniu tej konfiguracji możesz używać dostawcy firmy Apple do uwierzytelniania w aplikacji.
Kompletna konfiguracja może wyglądać podobnie do poniższego przykładu (gdzie ustawienie APPLE_GENERATED_CLIENT_SECRET wskazuje ustawienie aplikacji zawierające wygenerowane JWT):
{
"platform": {
"enabled": true
},
"globalValidation": {
"redirectToProvider": "apple",
"unauthenticatedClientAction": "RedirectToLoginPage"
},
"identityProviders": {
"apple": {
"registration": {
"clientId": "com.contoso.example.client",
"clientSecretSettingName": "APPLE_GENERATED_CLIENT_SECRET"
},
"login": {
"scopes": []
}
}
},
"login": {
"tokenStore": {
"enabled": true
}
}
}