Introducción a la sincronización de directorios con Apple Business Manager
La sincronización de directorios ayuda a mantener los datos de Apple Business Manager actualizados con tu proveedor de identidad. Mediante esta sincronización, tu proveedor de identidad informa automáticamente a Apple Business Manager y puede actualizar su información cuando se produce alguna de las siguientes situaciones:
Se crea una nueva cuenta de usuario.
Se modifica la información de una cuenta de usuario.
Se elimina una cuenta de usuario.
Puedes usar OpenID Connect (OIDC) con Apple Business Manager para sincronizar cuentas de usuarios de los siguientes proveedores (pero solo uno a la vez):
Google Workspace
Microsoft Entra ID
Tu proveedor de identidad
Algunos proveedores de identidad también pueden usar SCIM (Sistema para la gestión de identidades entre dominios)
Antes de empezar
Para poder sincronizar con Google Workspace, Microsoft Entra ID o tu proveedor de identidad, ten en cuenta lo siguiente:
No se pueden sincronizar grupos de usuarios.
La primera sincronización tarda más tiempo en completarse que las siguientes. Consulta la documentación de tu proveedor de identidad para saber con cuánta frecuencia se sincronizan los usuarios.
Requisitos
Si es necesario, verifica manualmente un dominio. Consulta Añadir y verificar un dominio.
Debes activar la autenticación vinculada. Consulta Introducción a la autenticación vinculada.
Avisa a un administrador que tenga permisos para editar los ajustes de Google Workspace, Microsoft Entra ID u otro proveedor de identidad.
Apple Business Manager exige que el atributo utilizado para la Cuenta de Apple gestionada sea único. Suele ser la dirección de correo electrónico del usuario. Si un usuario tiene un atributo exactamente igual que un usuario existente de Apple Business Manager con la función de administrador, no se completa la sincronización y el campo de origen no se modifica.
Cuando configures la conexión inicial, utiliza la dirección de correo electrónico de un usuario que tenga la función de Administrador o Gestor de personas para que pueda recibir notificaciones de Google Workspace, Microsoft Entra ID u otro proveedor de identidad con el que uses la sincronización.
Requisitos específicos del proveedor de identidad
Si conectas tu cuenta de Microsoft Entra ID:
Para usar OIDC con Apple Business Manager, tu organización no puede tener el mismo inquilino de Microsoft Entra ID que otra organización de Apple Business Manager. Si quieres usar OIDC en la organización, ponte en contacto con tu administrador global de Microsoft Entra ID para asegurarte de que ninguna otra organización esté usando tu inquilino de Entra ID para OIDC.
Si una cuenta de usuario tiene un nombre principal de usuario (UPN) que coincide exactamente con una cuenta de usuario existente que tiene la función de administrador o gestor de personas, no se lleva a cabo la sincronización y se conserva el campo de origen.
Si vas a enlazar un proveedor de identidad que no sea Google Workspace o Microsoft Entra ID, ten a mano la siguiente información:
Campo de identificador único para los usuarios: el valor de este atributo suele ser la dirección de correo electrónico del usuario. Se utiliza para crear la Cuenta de Apple gestionada del usuario. Por ejemplo, NombreUsuario.
Método de autenticación: SAML 2.0.
Modo de autenticación: OAuth 2.
URL de inicio de sesión único: consulta la documentación del proveedor de identidad.
URL de devolución de llamada de autorización: consulta la documentación del proveedor de identidad.
Cambios automáticos
Creación de una cuenta
Cuando se configura la sincronización de directorios, las cuentas de usuario se sincronizan con Apple Business Manager y se les asigna la función de Miembro del personal. La información de la cuenta sincronizada se añade como de solo lectura, pero el atributo Funciones de una cuenta de usuario se puede editar. Este atributo se almacena con la cuenta de usuario en Apple Business Manager y no se copia otra vez en Google Workspace, Microsoft Entra ID o tu proveedor de identidad.
Cuando la autenticación vinculada está desactivada, las cuentas se convierten en cuentas manuales y sus atributos (como los nombres de usuario) se pueden editar.
Modificación de la cuenta
La sincronización de directorios supervisa los cambios en los atributos sincronizados y los actualiza automáticamente en Apple Business Manager. El intervalo en el que se sincronizan esos cambios depende del proveedor de identidad.
Eliminación de la cuenta
Cuando se elimina una cuenta de usuario en Google Workspace, Microsoft Entra ID o tu proveedor de identidad, la cuenta correspondiente en Apple Business Manager se desactiva y se marca para su eliminación. Una cuenta desactivada se cierra en todos los dispositivos y no se puede volver a iniciar sesión. Esta cuenta se eliminará automáticamente, a menos que se sincronice nuevamente en los próximos 30 días.
Acerca del ID personal
A fin de identificar cuentas en conflicto, cuando una cuenta de usuario se sincroniza por primera vez mediante OIDC en Apple Business Manager, se genera automáticamente un ID personal para esa cuenta de usuario.
Si modificas el ID personal en Apple Business Manager para una cuenta de usuario ya sincronizada, la cuenta de usuario dejará de estar enlazada a Google Workspace, Microsoft Entra ID o el proveedor de identidad. Si quieres volver a conectar la cuenta de usuario, tendrás que resolver el conflicto con el ID personal.