Sincronizar contas de utilizador a partir do fornecedor de identidade no Apple Business Manager
No Apple Business Manager, pode utilizar o OpenID Connect (OIDC) ou o Sistema de gestão de identidade entre domínios (SCIM) para sincronizar contas de utilizador a partir do seu fornecedor de identidade (IdP). Ao utilizar este sistema, combina as propriedades do Apple Business Manager (tais como funções) com os dados de contas de utilizador importados do seu IdP. Quando utiliza o SCIM para sincronizar utilizadores, as informações de conta são adicionadas como só de leitura até desligar. Nesse momento, as contas tornam-se contas manuais, sendo possível editar os respetivos atributos (tais como nomes de utilizador). A sincronização inicial é mais demorada do que os ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência são sincronizados os utilizadores com o Apple Business Manager.
Importante: Tem apenas 4 dias para concluir a transferência de token para o seu IdP e estabelecer uma ligação com êxito, caso contrário, terá de iniciar novamente o processo.
Antes de começar
Antes de sincronizar com o seu IdP através de uma ligação OIDC, é necessário efetuar o seguinte:
Configure e confirme o domínio que pretende utilizar. Consulte Adicionar e confirmar um domínio.
Configure, vincule e ative um domínio. Consulte Utilizar a autenticação vinculada com o seu fornecedor de identidade.
Entre em contacto com uma pessoa com a função de Administração do IdP com permissões para editar definições.
Certifique-se de que dispõe das seguintes informações e, em seguida, contacte o seu IdP:
Campo do identificador único para utilizadores: o valor deste atributo é, normalmente, o endereço de e-mail do(a) utilizador(a). Este campo é utilizado para criar a Conta Apple gerida do(a) utilizador(a). Por exemplo, pode ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de Início de sessão único: consulte a documentação do seu IdP.
URL da chamada de retorno de autorização: consulte a documentação do seu IdP.
Contas de utilizador do IdP e Apple Business Manager
Quando uma conta é copiada do IdP através do SCIM para o Apple Business Manager, a função predefinida é Funcionário(a).
Nota: Os grupos de utilizadores do IdP não são sincronizados com o Apple Business Manager. Se pretender os mesmos grupos, pode criar novos grupos no Apple Business Manager e adicione utilizadores aos mesmos.
Atributo de início de sessão
O Apple Business Manager requer que o atributo utilizado para a Conta Apple gerida seja único. Normalmente, é o endereço de e-mail do(a) utilizador(a). Se um(a) utilizador(a) tiver um atributo que seja exatamente igual ao de um(a) utilizador(a) do Apple Business Manager existente que tenha a função de Administração, não é realizada a sincronização e o campo de origem permanece inalterado.
ID da pessoa
Quando uma conta de utilizador do IdP é sincronizada com o Apple Business Manager, é criado um ID de pessoa para a conta de utilizador do Apple Business Manager. O ID de pessoa é utilizado para identificar contas de utilizador em conflito.
Considerações importantes se modificar o ID da pessoa:
Se alterar o ID de pessoa de uma conta de utilizador importada anteriormente a partir do seu IdP, esta deixará de ser emparelhada com o IdP.
Se alterar o ID de pessoa de uma conta de utilizador importada anteriormente a partir do seu IdP e pretender restabelecer ligação à conta de utilizador, tem de resolver o conflito.
Iniciar sessão no seu IdP
Inicie sessão no seu IdP como administração e, em seguida, proceda de uma das seguintes formas:
Localize a app criada pelo seu IdP. Talvez possa ignorar vários passos nesta tarefa.
Navegue para o local onde pode criar uma app ou associação.
Crie a app com as seguintes informações:
Importante: Não se esqueça do nome da aplicação SCIM porque irá ser necessário para o URL de retorno de autorização.
Apple Business Manager: utilize AppleBusinessManagerSCIM.
Tipo de aplicação: utilize SCIM.
Método de autenticação: utilize SAML 2.0.
URL de início de sessão único para o destinatário e destino: consulte a documentação do seu IdP.
URI de público: utilize o ID da entidade.
Guarde as alterações.
Configurar as definições de aprovisionamento da aplicação SCIM
Localize a secção de aprovisionamento da sua aplicação SCIM do IdP e, em seguida, introduza os seguintes valores:
URL de base do conector SCIM: https://federation.apple.com/feeds/business/scim
URI do token de acesso: https://appleaccount.apple.com/auth/oauth2/v2/token
URI de autorização: https://appleaccount.apple.com/auth/oauth2/v2/authorize
ID do cliente: 123
Segredo do cliente: 123
Importante: Uma vez que ainda não sabe qual é o ID do cliente SCIM e o segredo do cliente, 123 é utilizado como marcador de posição. Numa tarefa posterior irá substituir estes valores.
Modo de autenticação: OAuth 2.
Campo do identificador único para utilizadores: consulte a documentação do seu IdP.
Importante: Certifique-se de que utiliza corretamente as maiúsculas e minúsculas do identificador.
Ações de aprovisionamento suportadas:
Importar novos utilizadores e atualizações de perfis.
Executar novos utilizadores.
Executar atualizações de perfis.
Guarde as alterações.
Criar o URL de retorno de autorização
Tem de criar um URL de retorno autorizado para que o Apple Business Manager obtenha registos de utilizadores do seu IdP utilizando SCIM. Este URL de retorno baseia-se no nome da aplicação SCIM criada no seu IdP.
Não se esqueça do nome da sua aplicação SCIM. Por exemplo:
Apple Business Manager: AppleBusinessManagerSCIM
Cole o nome da app dentro do seguinte URL. Por exemplo:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Guarde o URL de retorno de autorização.
Na tarefa seguinte, cole-o no Apple Business Manager.
Criar e copiar informações do cliente SCIM para o IdP
No Apple Business Manager
, inicie sessão com a conta de uma pessoa que tenha a função de Administração ou Gestão de pessoas.Selecione o seu nome na parte inferior da barra lateral, selecione Preferências
e, em seguida, selecione Contas Apple geridas 
.Selecione Ativar junto a Sincronização personalizada.
Cole o URL de retorno de autorização da tarefa anterior e, em seguida, selecione Criar.
Selecione Aplicação SCIM e, em seguida, selecione Criar.
Abra um novo ficheiro de texto ou folha de cálculo e introduza os seguintes valores do Apple Business Manager:
Para o ID do cliente OIDC, cole o ID do cliente SCIM.
Para o segredo do cliente do OIDC, cole o segredo do cliente SCIM.
Selecione Copiar junto ao ID do cliente e, em seguida, cole o ID do cliente no ficheiro.
Selecione Segredo do cliente, escolha a validade do segredo (6, 9 ou 12 meses) e, em seguida, cole o segredo do cliente no ficheiro.
Importante: Se eliminar ou se esquecer do segredo do cliente antes de o colar na aplicação SCIM do IdP, tem de criar um novo segredo do cliente.
Selecione Terminado.
Colar o ID e o segredo do cliente na aplicação SCIM do IdP e verificar a ligação
Volte à secção de aprovisionamento da aplicação SCIM do seu IdP e, em seguida, cole os seguintes valores:
ID do cliente SCIM do Apple Business Manager
Segredo do cliente SCIM do Apple Business Manager
Guarde as alterações.
Se o seu IdP permitir testar a autenticação utilizando uma conta de administração do IdP, pode testá-la agora. Por exemplo, pode ser apresentado um botão "Autenticar com [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]" ou o nome que atribuiu à aplicação SCIM.
Introduza o nome e a palavra-passe de administração do IdP e, em seguida, introduza o valor da autenticação de dois fatores.
Leia atentamente todas as informações da autorização. Se concordar, selecione Continuar.
Se necessário, pode agora ativar a autenticação vinculada para este domínio.
O seu IdP e o Apple Business Manager estão agora configurados para sincronizar alterações aos atributos do utilizador específicos do IdP para o Apple Business Manager.