聯合驗證什麼鬼，蘋果又出幺蛾子了！

蘋果後臺：您的賬戶即將須要遷移爲聯合驗證。您能夠當即開始流程，或等待賬戶於2020年8月28日自動遷移。瞭解更多web

1、事發

今天（8月20日）下午，各個iOS羣都炸了，你們都在曬下面這個截圖（以下）安全

蘋果後臺出現了一個醒目的紅色橫幅——「您的賬戶即將須要遷移爲聯合驗證。您能夠當即開始流程，或等待賬戶於2020年8月28日自動遷移。」markdown

剛看到這個消息的時候，我覺得這個網友的網頁被劫持了，本身登陸進去看了一眼發現個人帳號也「中招」了，上午我登陸過蘋果後臺都沒看到，看來是下午剛發生的事情。app

google了一下發現網上也討論開了。截止到下午15:49蘋果社區已經有125（圖牀掛了，8月26日從新補的圖是172人）人遇到一樣的問題，並且這個數字還在增長，看來此次事件影響範圍很廣。ide

V2EX論壇有網友提到「多是蘋果發錯通知了，瞭解更多的連接是蘋果員工內部文檔平臺的地址。」這卻是個思路。
oop

2、線索

1. 什麼是Quip

蘋果後臺點擊通知上面的連接「瞭解更多」，進入了一個歷來沒見過的網站——Quip（域名quip-apple.com）。網站要求登陸，上面寫着「Apple uses your network username and password to login to Quip」。測試

點擊「Continue with AppleConnect」，沒法訪問。網站

返回登陸頁面，點擊下方的「Sign in with Email」，提示輸入工做郵件。 ui

我嘗試輸入了QQ郵箱，提示「你肯定這是你的工做郵箱？」，勾選確認時還有行提示，「我確認使用qq.com，別拿有色眼鏡看我。」，外國人真有趣。
google

點擊「登陸或註冊」後，一個熟悉的東西出現了——黑色菊花！忽然有點興奮，以前還懷疑蘋果的網站是否被劫持了，這下放心了，這是蘋果的風格...

接下里出現的東西讓我更加堅信了這一點。菊花轉了一會後，彈框提示「請輸入 apple.com 電子郵件地址」。

退出Quip網站，在google上搜了一下Quip，從維基百科上能夠看出，Quip是一款在線協同辦公軟件，用於處理文檔和表格，最先是由谷歌地圖創始人創辦。

2. 什麼是聯合驗證

我在蘋果的商務管理手冊和校園教務管理手冊中找到了「聯合驗證」的解釋。

您能夠經過聯合驗證將 Apple 商務管理與 Microsoft Azure Active Directory (AD) 實例相關聯。關聯後，您的用戶即可以將他們的 MS Azure AD 用戶名和密碼用做管理式 Apple ID。用戶只需使用與 MS Azure AD 服務相同的用戶名和密碼登陸便可。

【重要事項】聯合驗證要求用戶的「用戶主體名稱」與他們的電子郵件地址相匹配。「用戶主體名稱」別名不受支持。

蘋果爲學校和企業分別開發了兩套系統：Apple校園教務管理、Apple商務管理，這兩套系統的做用是批量管理Apple設備（Mac、iPad等），好比批量安裝App、還原系統、下發圖書等。在國內用的人少，知道的人少。

MS Azure AD，能夠理解爲微軟的一套用戶體系。

聯合驗證，至關於第三方登陸，用微軟的帳號和密碼登陸蘋果設備，蘋果爲你生成一個Apple ID。

3、總結

1. 這頗有多是蘋果的一次烏龍事件，原本應該發給內部人員的通知，結果發給了蘋果開發者。
2. 目前，做爲開發者，咱們什麼都不用作，看看後續蘋果會如何反應。

能夠從如下幾個方面猜想：

首先，Quip是一款在線辦公協做軟件，經過上文中出現的種種細節來看，這個網站大機率是蘋果本身的，並且是工做人員使用的。
其次，蘋果在安全方面不至於這麼不堪一擊，被劫持的機率不大。
再次，蘋果也不是沒有這種「重大失誤」的先例，例如去年蘋果就把人民幣當作美圓結算給中國開發者，致使發給中國開發者的收入翻了6倍。因此，這種人爲失誤的機率比蘋果系統安全問題的機率要大得多。
而後，通常有重大通知蘋果都會提早幾個月通知。此次"News and Updates裏沒有通知，蘋果後臺通知的又這麼忽然，不太合常理。
最後，根據我在Apple 商務管理系統中找到的「聯合認證」的概念猜想。蘋果須要批量管理審覈人員的帳號或設備，應該有一套相似「Apple商務管理系統」的系統，最近這套系統在作帳號遷移（「聯合認證」），可能蘋果工程師誤把測試環境的代碼發到了線上，又或者把本該發到內部的通知對外發送了，才致使了此次事件的發生。

最後，我給蘋果發了封郵件詢問這件事情，準備逼着蘋果認可這是本身的bug。[狗頭]

4、後續

次日早上蘋果客服給我回郵件了，讓我提供更詳細的信息，如截圖啥的，看來蘋果客服那邊是不知道這件事的。
剛剛我又登陸蘋果後臺看了一眼，這個通知已經消失了，看來確實是蘋果內部誤操做致使的。

另外，文章開頭在蘋果社區提問的帖子得了「官方」的回覆（下圖）。看來版主8月25日回覆的時候，彷佛並不知道發生過什麼，由於蘋果已經「悄摸地」在8月21日早上刪掉了這條通知。[狗頭]

若是以爲這篇文章對你有幫助，請點個贊吧。若是有疑問能夠關注個人公衆號我留言。
轉載請註明出處，謝謝！