Sincronizarea conturilor de utilizatori de la furnizorul dvs. de identități în Apple Business Manager
În Apple Business Manager, puteți utiliza OpenID Connect (OIDC) sau Sistemul pentru gestionarea identității între domenii (SCIM) pentru a sincroniza conturile de utilizatori de la furnizorul dvs. de identități (IdP). Utilizând acest sistem, combinați proprietățile Apple Business Manager (precum rolurile) cu datele contului de utilizator importat din IdP-ul dvs. Când utilizați SCIM pentru a sincroniza utilizatorii, informațiile contului sunt adăugate ca needitabile până când vă deconectați. Atunci conturile devin conturi manuale, iar atributele din aceste conturi (cum ar fi numele de utilizatori) pot fi apoi editate. Sincronizarea inițială durează mai mult decât ciclurile ulterioare. Consultați documentația IdP-ului dvs. pentru a afla cât de des sincronizează utilizatorii cu Apple Business Manager.
Important: Aveți numai 4 zile calendaristice pentru a finaliza transferul identificatorului la IdP-ul dvs. și pentru a stabili cu succes o conexiune, în caz contrar trebuie să reîncepeți procesul.
Înainte de a începe
Înainte de a sincroniza la IdP-ul dvs. folosind o conexiune OIDC, trebuie să efectuați următoarele acțiuni:
Configurați și confirmați domeniul pe care doriți să îl utilizați. Consultați Asocierea cu domenii noi.
Configurați, asociați și activați un domeniu. Consultați Utilizarea autentificării federative cu furnizorul dvs. de identități
Asigurați-vă că aveți la dispoziție un administrator IdP cu permisiuni de editare a configurărilor.
Asigurați-vă că aveți următoarele informații, apoi contactați-vă IdP-ul:
Câmp de identificare unic pentru utilizatori: valoarea acestui atribut este în mod normal adresa de e-mail a utilizatorului. Acesta este folosit pentru a crea ID-ul Apple gestionat al utilizatorului. De exemplu, poate fi nume de utilizator.
Metoda de autentificare: SAML 2.0.
Modul de autentificare: OAuth 2.
Adresa URL de conectare unică: consultați documentația IdP-ului dvs.
Adresa URL de returnare a autorizării: consultați documentația IdP-ului dvs.
Conturile de utilizatori IdP și Apple Business Manager
Atunci când un utilizator este copiat din idP-ul dvs. folosind SCIM în Apple Business Manager, rolul implicit este cel de membru de personal.
Notă: Grupurile de utilizatori de la IdP-ul dvs. nu sunt sincronizate cu Apple Business Manager. Dacă doriți aceleași grupuri, puteți crea grupuri noi în Apple Business Manager și adăuga utilizatori la acestea.
Atribut de autentificare
Apple Business Manager solicită ca atributul utilizat pentru ID-ul Apple gestionat să fie unic. De obicei, acesta este adresa de e-mail a utilizatorului. Dacă un utilizator are un atribut care este identic cu un utilizator existent în Apple Business Manager cu rolul de administrator, nu se va realiza nicio sincronizare, iar câmpul sursă rămâne neschimbat.
ID persoană
Când un cont de utilizator IdP este sincronizat la Apple Business Manager, se creează un ID Persoană pentru contul de utilizator Apple Business Manager. ID-ul Persoană este folosit pentru a identifica conturi de utilizator aflate în conflict.
Considerații importante dacă modificați ID-ul personal:
Dacă modificați ID-ul Persoană pentru un cont de utilizator importat anterior de la IdP-ul dvs., contul de utilizator respectiv nu va mai fi asociat cu IdP-ul.
Dacă modificați ID-ul Persoană pentru un cont de utilizator importat anterior de la IdP-ul dvs. și doriți să reconectați contul de utilizator, trebuie să rezolvați conflictul.
Autentificarea la IdP-ul dvs.
Autentificați-vă la IdP în calitate de administrator, apoi efectuați una dintre următoarele acțiuni:
Găsiți aplicația creată de IdP-ul dvs. Este posibil să puteți omite mai multe etape în această sarcină.
Navigați către etapa unde puteți crea o aplicație sau o conexiune.
Creați aplicația cu următoarele informații:
Important: Rețineți numele aplicației SCIM, deoarece este posibil să aveți nevoie de acesta pentru URL-ul de returnare a autorizării.
Apple Business Manager: utilizați AppleBusinessManagerSCIM.
Tipul aplicației: utilizați SCIM.
Metoda de autentificare: utilizați SAML 2.0.
Adresă URL de autentificare unică utilizată pentru destinatar și destinație: consultați documentația IdP-ului dvs.
URI public țintă: utilizați ID-ul entității.
Salvați modificările.
Configurați setările de asigurare a accesului aplicației SCIM
Localizați secțiunea de asigurare a accesului a aplicației SCIM în furnizorul dvs. de identități (IdP), apoi introduceți următoarele valori:
URL de bază al conectorului SCIM: https://federation.apple.com/feeds/business/scim
URI pentru token de acces: https://appleid.apple.com/auth/oauth2/v2/token
URI pentru autorizare: https://appleid.apple.com/auth/oauth2/v2/authorize
ID client : 123
Secret client: 123
Important: Deoarece încă nu știți ID-ul real al clientului SCIM și secretul clientului, se folosește 123 ca substituent. Veți înlocui aceste valori într-o sarcină ulterioară.
Modul de autentificare: OAuth 2.
Câmp de identificare unic pentru utilizatori: consultați documentația furnizorului dvs. de identități (IdP).
Important: Asigurați-vă că majusculele și minusculele corespund cu cele ale identificatorului.
Acțiuni de acordare a accesului acceptate:
Importați utilizatori noi și actualizări ale profilului.
Trimiteți utilizatori noi.
Trimiteți actualizări ale profilului.
Salvați modificările.
Creați URL-ul de returnare a autorizării
Trebuie să creați un URL de returnare a autorizării pentru ca Apple Business Manager să obțină înregistrările utilizatorilor de la furnizorul dvs. de identități (IdP) folosind SCIM. Acest URL de callback se bazează pe numele aplicației SCIM pe care ați creat-o în furnizorul dvs. de identități (IdP).
Rețineți numele aplicației dvs. SCIM. De exemplu:
Apple Business Manager: AppleBusinessManagerSCIM
Lipiți numele aplicației în interiorul următorului URL. De exemplu:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Salvați URL-ul de returnare a autorizării.
Îl lipiți în Apple Business Manager în sarcina următoare.
Creați și copiați informațiile despre clientul SCIM în furnizorul dvs. de identități (IdP)
În Apple Business Manager , autentificați‑vă cu un utilizator care are rolul de administrator sau coordonator de persoane.
Selectați-vă numele în partea de jos a barei laterale, selectați Preferințe , apoi selectați ID-uri Apple gestionate .
Selectați Activați lângă Sincronizare personalizată.
Lipiți URL-ul de returnare a autorizării din sarcina anterioară, apoi selectați Creați.
Selectați Aplicație SCIM, apoi selectați Creați.
Deschideți un nou fișier text sau foaie de calcul, apoi introduceți următoarele valori din Apple Business Manager:
Pentru ID-ul clientului OIDC, lipiți ID-ul clientului SCIM.
Pentru secretul clientului OIDC, lipiți secretul clientului SCIM.
Selectați Copiați lângă ID client, apoi lipiți ID-ul clientului în fișier.
Selectați Secret client, alegeți cât timp ar trebui să fie activ secretul înainte de a expira (6, 9 sau 12 luni), apoi lipiți secretul clientului în fișier.
Important: Dacă ștergeți sau uitați secretul clientului înainte de a-l lipi în aplicația SCIM a IdP-ului dvs., trebuie să creați un nou secret pentru client.
Selectați OK.
Lipiți ID-ul clientului și secretul clientului în aplicația SCIM a IdP-ului dvs. și confirmați conexiunea
Reveniți la secțiunea de asigurare a accesului a aplicației SCIM în furnizorul dvs. de identități (IdP), apoi lipiți următoarele valori:
ID-ul clientului SCIM din Apple Business Manager
Secretul clientului SCIM din Apple Business Manager
Salvați modificările.
Dacă furnizorul dvs. de identități (IdP) vă permite să testați autentificarea folosind un cont de administrator IdP, puteți face acest lucru acum. De exemplu, poate exista un buton „Autentificați-vă cu [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM]” sau oricum ați numit aplicația SCIM.
Introduceți numele și parola administratorului IdP, apoi introduceți valoarea de autentificare cu doi factori.
Citii cu atenție orice informație despre autorizare. Dacă sunteți de acord, selectați Continuați.
Dacă este necesar, puteți activa acum autentificarea federativă pentru acest domeniu.
IdP-ul dvs. și Apple Business Manager sunt acum configurați pentru a sincroniza modificările specifice ale atributelor utilizatorului de la IdP la Apple Business Manager.