Používanie overenia združenej identity s poskytovateľom identity v Apple Business Manageri
V Apple Business Manageri môžete pomocou overenia združenej identity vytvoriť prepojenie s poskytovateľom identity a umožniť tak používateľom prihlasovať sa do zariadení Apple pomocou svojho používateľského mena (zvyčajne emailovej adresy) a hesla od poskytovateľa identity.
Používatelia tak budú môcť používať svoje prihlasovacie údaje od poskytovateľa identity ako spravované Apple ID. Potom sa do priradeného iPhonu, iPadu alebo Macu a dokonca aj do iCloudu na webe prihlásia týmito prihlasovacími údajmi.
Kým začnete
Pred vytvorením prepojenia s poskytovateľom identity zvážte nasledujúce informácie:
V overení združenej identity by sa ako používateľské meno mala používať emailová adresa používateľa. Aliasy nie sú podporované.
V prípade existujúcich používateľov s emailovou adresou v združenej doméne sa ich spravované Apple ID automaticky zmení tak, aby sa zhodovalo s príslušnou emailovou adresou.
Nakonfigurovať a overiť doménu, ktorú chcete používať. Pozrite si tému Prepojenie s novými doménami.
Používateľské účty s pozíciou administrátora alebo správcu osôb sa nemôžu prihlásiť pomocou overenia združenej identity – môžu len spravovať proces združenia.
Keď platnosť pripojenia k poskytovateľovi identity uplynie, združovanie a synchronizácia používateľských účtov s poskytovateľom identity sa zastavia. Ak chcete združovanie a synchronizáciu ďalej používať, musíte sa znova pripojiť k poskytovateľovi identity.
Ak plánujete používať overenie združenej identity, pripravte si nasledujúce informácie:
Spôsob prihlásenia: Môžete používať službu Open ID Connect (OIDC).
Rozsah prístupu: Je potrebné udeliť prístup k súborom
ssf.manage
assf.read
.URL adresa konfigurácie rozhrania Shared Signals Framework (SSF): Pozrite si dokumentáciu poskytovateľa identity.
URL adresa konfigurácie služby OpenID: Pozrite si dokumentácia poskytovateľa identity.
Proces overenia združenej identity
Tento proces pozostáva zo štyroch hlavných krokov:
Pridanie a overenie domény.
Vytvorenie novej aplikácie alebo pripojenia OIDC.
Konfigurácia overenia združenej identity a jeho otestovanie s jedným používateľským účtom poskytovateľa identity.
Zapnutie funkcie Overenie združenej identity.
1. krok: Overenie domény
Pred zobrazením používateľských účtov poskytovateľa identity pomocou Apple Business Managera musíte pridať a overiť doménu, ktorú chcete používať.
Pozrite si tému Prepojenie s novými doménami.
Procesom overenia sa zaistí, že vaša organizácia má právo modifikovať záznamy DNS (Domain Name Service) pre danú doménu. Ak napríklad chcete ako doménu používať betterbag.com, musíte do 14 kalendárnych dní od začiatku procesu overenia (ktorý sa začína výberom tlačidla Overiť) pridať do súboru zóny servera DNS konkrétny záznam TXT.
Poznámka: Ak sa pokúšate o združenie domény, ktorú ste už overili, ale iná organizácia už združila rovnakú doménu, musíte kontaktovať túto organizáciu a určiť, kto má oprávnenie na združenie domény. Pozrite si tému Informácie o konfliktoch domén.
2. krok: Vytvorenie novej aplikácie alebo pripojenia OIDC
Ak sa chcete pripojiť k Apple Business Manageru, váš poskytovateľ identity musí mať alebo vytvoriť aplikáciu, ktorá obsahuje špecifické nastavenia na prepojenie s Apple Business Managerom. Keďže každý poskytovateľ identity má iný spôsob vytvorenia aplikácie a umiestnenie, kde sa nachádzajú špecifické nastavenia, informácie o vykonaní tohto procesu si pozrite v dokumentácii poskytovateľa identity.
Prihláste sa k svojmu poskytovateľovi identity ako správca a vykonajte jednu z nasledujúcich akcií:
Vyhľadajte aplikáciu vytvorenú vaším poskytovateľom identity. Možno budete môcť preskočiť niekoľko krokov v tejto úlohe.
Prejdite do časti, kde môžete vytvoriť aplikáciu alebo pripojenie.
Vytvorte aplikáciu alebo pripojenie s nasledujúcimi informáciami:
Apple Business Manager: AppleBusinessManagerOIDC.
Spôsob prihlásenia: Open ID Connect (OIDC).
Typ aplikácie: Webová aplikácia.
Typ udelenia: Token obnovenia.
Identifikátor URI presmerovania prihlásenia: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Prístup: Povoľte konkrétne používateľské účty.
Rozsah prístupu: Je potrebné udeliť prístup k súborom
ssf.manage
assf.read
.
Uložte zmeny.
Neskôr bude na tejto stránke potrebné vložiť určité informácie do Apple Business Managera. Ďalšou úlohou je skopírovanie týchto informácií do textového alebo tabuľkového súboru.
Otvorte nový textový súbor alebo tabuľku a zadajte nasledujúce hodnoty od poskytovateľa identity:
Ako ID klienta OIDC vložte ID klienta OIDC.
Ako tajný kľúč klienta OIDC vložte tajný kľúč klienta OIDC.
Uložte súbor do bezpečného umiestnenia.
3. krok: Konfigurácia overenia združenej identity a jeho otestovanie s jedným používateľským účtom poskytovateľa identity
Týmto krokom umožníte, aby sa Apple Business Manager stal pre vášho poskytovateľa identity dôveryhodným.
Poznámka: Po dokončení tejto úlohy už používatelia nebudú môcť v nakonfigurovanej doméne vytvárať nové osobné Apple ID. Môže to mať vplyv na ostatné služby Apple, ktoré používate. Prečítajte si Presun služieb Apple pri používaní združovania.
V Apple Business Manageri sa prihláste ako osoba s pozíciou v administratíve alebo správe osôb.
Vyberte svoje meno v dolnej časti bočného panela, vyberte položku Nastavenia , vyberte položku Spravované účty Apple ID a potom vyberte položku Začať v časti „Prihlásenie používateľa a synchronizácia adresára“.
Vyberte možnosť Vlastný poskytovaľ identity a potom vyberte možnosť Pokračovať.
Zadajte názov pripojenia overenia združenej identity.
Môžete použiť najviac 128 znakov.
Skopírujte hodnoty ID klienta a tajného kľúča do Apple Business Managera z textového súboru alebo tabuľky, ktoré ste si uložili v predchádzajúcej časti.
Ak chcete získať URL adresy pre nasledujúce dve konfigurácie, kontaktujte svojho poskytovateľa identity:
Shared Signals Framework (SSF)
OpenID
Vyberte položku Pokračovať.
Ak boli všetky zadané hodnoty platné, zobrazí sa vám prihlasovacia stránka poskytovateľa identity. Pokračujte 8. krokom.
Prihláste sa pomocou používateľského mena a hesla správcu poskytovateľa identity.
Vyberte položku Hotovo.
4. krok: Zapnutie funkcie Overenie združenej identity
V Apple Business Manageri sa prihláste ako osoba s pozíciou v administratíve alebo správe osôb.
Vyberte svoje meno v dolnej časti bočného panela, vyberte položku Nastavenia a potom vyberte položku Spravované účty Apple ID .
V časti Domény vyberte možnosť Spravovať vedľa domény, ktorú chcete združiť, a potom vyberte možnosť Zapnúť prihlásenie pomocou poskytovateľa identity.
Zapnúť prihlásenie pomocou poskytovateľa identity.
V prípade potreby môžete teraz synchronizovať používateľské účty do Apple Business Managera. Pozrite si tému Synchronizácia používateľských účtov od poskytovateľa identity.