Požadavky na synchronizaci s Azure AD v Apple Business Manageru
Přes SCIM (System for Cross‑domain Identity Management) můžete do Apple Business Manageru importovat uživatele. Při používání tohoto systému se sloučí vlastnosti z Apple Business Manageru (například funkce) s údaji o uživatelských účtech importovanými z Microsoft Azure Active Directory (Azure AD). Pokud uživatele importujete přes SCIM, přidají se údaje o účtech v režimu jen pro čtení a zůstanou tak, dokud se od SCIM neodpojíte. V tu chvíli se z účtů stanou ručně spravované účty a vy budete moct upravovat jejich atributy. Prvotní synchronizace trvá delší dobu než pozdější synchronizace (ty se opakují přibližně každých 40 minut, dokud běží zřizovací služba Azure AD). Další informace najdete v části Tipy pro zřizování na webu s dokumentací k Microsoft Azure.
Oprávnění v Azure AD
Synchronizovat účty přes SCIM do Apple Business Manageru můžou v Azure AD následující funkce:
Správce aplikace
Správce cloudové aplikace
Vlastník aplikace
Globální správce
Další informace najdete v části Zabudované role Azure AD na webu Microsoft Azure AD.
Tenanty Azure AD
Abyste mohli v Apple Business Manageru používat SCIM, nesmí vaše organizace používat stejný tenant Azure AD jako jiná organizace v Apple Business Manageru. Pokud chcete ve své organizaci používat SCIM, kontaktujte svého administrátora Azure AD a ujistěte se, že stejný tenant Azure AD jako vy nepoužívá pro SCIM žádná jiná organizace.
Skupiny v Azure AD
V Azure AD pracují s pojmem skupiny obě metody synchronizace, ale synchronizují se jen uživatelské účty. Skupiny z Azure AD můžete přidat do aplikace Apple Business Manager v Azure AD. Například pokud máte v Azure AD skupiny nazvané Technický personál, Marketing a Prodej, můžete je všechny tři přidat do aplikace Apple Business Manager v Azure AD. Až se připojíte přes SCIM, synchronizují se do Apple Business Manageru jen účty z těchto skupin.
Poznámka: Aplikace Apple Business Manager v Azure AD nepodporuje podskupiny.
Rozsah zřizování
Jsou dvě metody, jak synchronizovat účty z Azure AD do Apple Business Manageru.
Synchronizace jen přiřazených uživatelů a skupin: Tato volba synchronizuje do Apple Business Manageru pouze účty, které se zobrazují v aplikaci Apple Business Manager v Azure AD. Při používání této metody synchronizace se do Apple Business Manageru synchronizují jenom ty účty, které mají v Azure AD funkce uživatelů.
Synchronizace všech uživatelů a skupin: Tato volba synchronizuje do Apple Business Manageru všechny účty, které se zobrazují v Azure AD na panelu Uživatelé (synchronizace skupin není podporována), a všem federovaným účtům z Azure AD vytvoří spravované Apple ID, a to i když hodláte používat jen konkrétní počet účtů.
Přečtěte si články podpory společnosti Microsoft Co je Automatické zřizování uživatelů aplikací SaaS v Azure Active Directory? a Zřizování aplikací na základě atributů s filtry oborů.
Oznámení o zřizování
Při konfiguraci zřizování byste měli použít e‑mailovou adresu uživatele, který má funkci administrátora nebo správce osob, aby mu mohla chodit oznámení z Azure AD.
SCIM a federované ověřování
Pokud ve chvíli, kdy se do Apple Business Manageru odešlou účty z Azure AD, už máte zapnuté federování, neuvidíte žádnou aktivitu, ale účty se z federované domény přesto synchronizují.
Azure AD je poskytovatel identit (IdP), který ověřuje uživatele Apple Business Manageru a vydává jim ověřovací tokeny. Jelikož Apple Business Manager podporuje Azure AD, fungují s ním i jiní poskytovatelé identit, kteří se připojují k Azure AD – třeba Active Directory Federated Services (ADFS). Ověření federované totožnosti používá k propojení Apple Business Manageru s Azure AD Security Assertion Markup Language (SAML).
Uživatelské účty z Azure AD a Apple Business Manager
Když pomocí SCIM zkopírujete do Apple Business Manageru uživatele z Azure AD, dostane přidělenou výchozí funkci Zaměstnanec. Po dokončení synchronizace můžete upravovat jenom uživatelský atribut Funkce. Tento atribut je uložený u uživatele v Apple Business Manageru a nezapisuje se zpátky do Azure AD.
Mapování uživatelských atributů ze SCIM
Když pomocí SCIM zkopírujete do Apple Business Manageru účet z Azure AD, následující atributy se uloží v režimu jen pro čtení. Tabulka taky uvádí, jestli je daný uživatelský atribut povinný.
Důležité: Přidáním atributů, které v tabulce nejsou uvedené, se přeruší propojení přes SCIM.
Uživatelský atribut v Azure AD | Uživatelský atribut v Apple Business Manageru | Povinné |
---|---|---|
Jméno | Jméno | |
Příjmení | Příjmení | |
Hlavní název uživatele | Spravované Apple ID a e‑mailová adresa | |
ID objektu | (V Apple Business Manageru se nezobrazuje. Tento atribut se používá jen k rozpoznání konfliktů uživatelských účtů.) | |
Oddělení | Oddělení | |
Zaměstnanecké ID | Číslo osoby | |
Vlastní atribut (musíte ho vytvořit v aplikaci Apple Business Manager v Azure AD) | Nákladové středisko | |
Vlastní atribut (musíte ho vytvořit v aplikaci Apple Business Manager v Azure AD) | Divize |
Hlavní název uživatele
Pokud se hlavní název uživatele (UPN) shoduje s již vytvořeným uživatelem s funkcí administrátora, synchronizace neproběhne a zdrojové pole se nezmění.
ID osoby
Když s Apple Business Managerem synchronizujete uživatele z Azure AD, vytvoří se pro jeho účet v Apple Business Manageru ID osoby. Pomocí ID osoby a ID objektu se rozpoznávají konflikty uživatelských účtů.
Pokud u některého účtu importovaného přes SCIM upravíte ID osoby, nebude už tento účet spárovaný s Azure AD. Jestli jste u některého účtu importovaného přes SCIM upravili ID osoby a teď chcete účet znovu připojit ke SCIM, přečtěte si část Řešení konfliktů uživatelských účtů SCIM.
Doporučení
Při připojování přes SCIM byte měli používat jenom aplikaci Apple Business Manager v Azure AD.
Pokud máte ověřenou doménu, ale ještě jste nezapnuli federované ověřování, měli byste se zapnutím federovaného ověřování počkat, než se ujistíte, že uživatelé z Azure AD se skutečně odeslali do Apple Business Manageru. Zjistíte to nahlédnutím do zřizovacích protokolů Azure AD. Až se ujistíte, že uživatelé z Azure AD se skutečně odeslali, a potom zapnete federování, přijde vám upozornění na aktivitu, až budou uživatelé z Azure AD zřízení. Pokud ve chvíli, kdy se odešlou uživatelé z Azure AD, už máte zapnuté federování, neuvidíte žádnou aktivitu, ale uživatelé se přesto synchronizují.
Pokud máte v Azure AD nakonfigurovanou nějakou skupinu, můžete ji přidat do aplikace Apple Business Manager v Azure AD místo toho, abyste každého uživatele přidávali zvlášť.
Důležité: Stejné uživatelské jméno v aplikaci Apple Business Manager v Azure AD nepoužívejte opakovaně během 30 dnů.
Než začnete
Než začnete, musíte provést následující akce:
Nakonfigurovat a ověřit doménu, kterou chcete použít. Viz Odkazování na nové domény.
Nakonfigurovat (ale nezapínat) federované ověřování. Viz Zapnutí a test ověření federované totožnosti.
Poznámka: Pokud už federované ověřování máte zapnuté, můžete přesto pokračovat. Přečtěte si doporučení v předchozí části.
Určit typ synchronizace s Azure AD a podle potřeby vytvořit skupiny, pomocí kterých se do aplikace Apple Business Manager v Azure AD budou synchronizovat jen přiřazené účty:
Synchronizace jen přiřazených uživatelů
Synchronizace všech uživatelů
Mít k dispozici připraveného administrátora Azure AD, který má oprávnění k úpravě podnikových aplikací. Až budete oba připravení, přejděte k části Import uživatelů pomocí SCIM.