Introducción a la autenticación vinculada con Apple Business
Información general
Puedes usar la autenticación vinculada para enlazar Apple Business con lo siguiente:
Google Workspace
Servicio global de Microsoft Entra ID Open ID Connect (OIDC) (login.microsoftonline.com).
Actualmente no se admite la integración con nubes nacionales.
Proveedores de identidad mediante OIDC o el sistema para la gestión de identidades entre dominios (SCIM)
Nota: Puedes enlazar Google Workspace, Microsoft Entra ID o tu proveedor de identidad, pero solo uno de ellos a la vez.
Esto permite que los usuarios inicien sesión en su iPhone, iPad, Mac o Apple Vision Pro asignado, y en un iPad compartido, con su nombre de usuario (normalmente, su dirección de correo) y contraseña existentes. Después de iniciar sesión en alguno de estos dispositivos, podrán iniciar sesión también en iCloud en la web desde un Mac (iCloud para Windows no admite el uso de Cuentas de Apple gestionadas).
Importante: Cuando la conexión caduca, se detiene la vinculación y la sincronización de cuentas de usuarios. Para seguir utilizando estas funciones, deberás volver a conectarte.
Hay situaciones específicas en las que podría interesarte usar la autenticación vinculada:
Solo autenticación vinculada
Cuando Apple Business y Google Workspace, Microsoft Entra ID o tu proveedor de identidad están vinculados, se crean automáticamente las Cuentas de Apple gestionadas para los usuarios. Dichos usuarios pueden iniciar sesión con su nombre de usuario (normalmente es su dirección de correo electrónico) y contraseña actuales.
Consulta la siguiente información:
Autenticación vinculada con sincronización de directorios
También puedes sincronizar cuentas de usuario desde Google Workspace, Microsoft Entra ID o tu IdP con Apple Business. Si configuras una conexión de sincronización de directorio, puedes añadir propiedades de Apple Business (como las funciones) a los datos de la cuenta del usuario importados desde uno de esos servicios. La información de la cuenta del usuario de los servicios se añade como de solo lectura hasta que desactivas la sincronización. En ese momento, las cuentas pasarán a ser manuales y sus atributos se podrán editar. Si se elimina la cuenta de un usuario de uno de los servicios, esa cuenta puede eliminarse también de Apple Business. Consulta lo siguiente:
Autenticación vinculada con iPad compartido
Si utilizas la autenticación vinculada con un iPad compartido, el proceso de inicio de sesión es diferente, dependiendo de si la cuenta de usuario ya existe en Apple Business. Para ver los casos de inicio de sesión, consulta Iniciar sesión en iPad compartido.
Si el usuario olvida su código, debes restablecer el código del iPad compartido.
Antes de empezar
Para poder usar la autenticación vinculada con Google Workspace, Microsoft Entra ID o tu proveedor de identidad, ten en cuenta lo siguiente:
Requisitos
Esta prestación requiere iOS 15.5, iPadOS 15.5, macOS 12.4, visionOS 1.1 o una versión posterior.
Debes bloquear y activar el proceso de captura de dominios. Consulta Bloquear un dominio.
No existen conflictos con Cuentas de Apple gestionadas. Consulta Información general.
Los usuarios cuya función tenga permisos para configurar la vinculación y conectarse a un proveedor de identidad (IdP) no pueden iniciar sesión mediante autenticación vinculada; solo pueden gestionar el proceso de vinculación.
Si utilizas la autenticación vinculada, no se aplica el ajuste predeterminado para el formato de la Cuenta de Apple gestionada.
Requisitos específicos del proveedor de identidad
Si conectas tu cuenta de Google Workspace:
La autenticación vinculada debe usar la dirección de correo electrónico del usuario a modo de nombre de usuario. No se admiten alias.
Si conectas tu cuenta de Microsoft Entra ID:
Debes utilizar una cuenta de Microsoft con la función de Administrador global de Entra ID para completar la tarea Aprobar autenticación vinculada. Una vez que la conexión se haya realizado correctamente, puedes cambiar la función de la cuenta de Microsoft de administrador global a otra función con los privilegios necesarios para mantener la conexión. Consulta ¿Qué funciones predeterminadas de Microsoft son compatibles con los dominios, la sincronización del directorio y la lectura de dominios?
La autenticación vinculada con Microsoft Entra ID requiere que el atributo userPrincipalName (UPN) del usuario coincida con su dirección de correo electrónico. No se admiten alias de userPrincipalName ni ID alternativos.
Si conectas tu cuenta de un proveedor de identidad, debes contar con la siguiente información:
Un dominio verificado que quieras usar. Consulta Añadir y verificar un dominio.
Método de inicio de sesión: utiliza Open ID Connect (OIDC).
Acceso de alcance: debes conceder acceso a
ssf.manageyssf.read.URL de configuración de Shared Signals Framework (SSF): consulta la documentación del proveedor de identidad.
URL de configuración de OpenID: consulta la documentación del proveedor de identidad.
Cambios automáticos
En el caso de los usuarios existentes de Apple Business que tienen una dirección de correo electrónico en el dominio vinculado, su Cuenta de Apple gestionada cambia automáticamente para coincidir con dicha dirección de correo electrónico.