Úvod do synchronizace adresáře v Apple Business Manageru
Synchronizací adresářů zajistíte, aby poskytovatel identit udržoval data v Apple Business Manageru aktuální. Na základě synchronizace adresářů je Apple Business Manager automaticky informován poskytovatelem identit a může aktualizovat vlastní informace v těchto případech:
Vytvoří se nový uživatelský účet
Informace o uživatelském účtu se změnily
Uživatelský účet byl smazán
Přes OpenID Connect (OIDC) můžete v Apple Business Manageru synchronizovat uživatelské účty z následujících služeb (ale pouze po jednom):
Google Workspace
Microsoft Entra ID
Váš poskytovatel identit
Někteří poskytovatelé identit umožňují používat taky SCIM (System for Cross-domain Identity Management)
Než začnete
Než začnete používat synchronizaci s Google Workspace, Microsoft Entra ID nebo svým poskytovatelem identit (IdP), počítejte s následujícím:
Synchronizace skupin uživatelů není podporovaná.
Prvotní synchronizace trvá déle než následné cykly. Informace o tom, jak často se uživatelé synchronizují, najdete v dokumentaci k používanému IdP.
Požadavky
V případě potřeby ručně ověřte doménu. Víc se dočtete v části Přidání a ověření domény.
Musíte zapnout federované ověřování. Podrobné informace naleznete v části Úvod do ověření federované totožnosti.
Buďte ve spojení se správcem, který má oprávnění měnit nastavení Google Workspace, Microsoft Entra ID nebo jiného poskytovatele identit.
Apple Business Manager vyžaduje, aby atribut použitý pro spravovaný účet Apple byl jedinečný. Obvykle se jedná o e-mailovou adresu uživatele. Pokud se atribut uživatele přesně shoduje s existujícím uživatelem v Apple Business Manageru, který má funkci administrátora, synchronizace neproběhne a zdrojové pole se nezmění.
Při konfiguraci prvotního připojení musíte použít e‑mailovou adresu uživatele, který má funkci administrátora nebo správce osob, aby mu mohla chodit oznámení z Google Workspace, Microsoft Entra ID nebo jiného poskytovatele identit, se kterým synchronizujete.
Požadavky jednotlivých IdP
Při propojení s Microsoft Entra ID:
Abyste mohli v aplikaci Apple Business Manager používat OIDC, nesmí vaše organizace používat stejného tenanta Microsoft Entra ID jako jiná organizace v aplikaci Apple Business Manager. Pokud chcete ve své organizaci používat OIDC, kontaktujte svého globálního administrátora Microsoft Entra ID a ujistěte se, že stejný tenant Microsoft Entra ID jako vy nepoužívá pro OIDC žádná jiná organizace.
Pokud se hlavní název uživatele (UPN) shoduje s nějakým existujícím uživatelským účtem, který má funkci administrátora nebo správce osob, synchronizace neproběhne a zdrojové pole se nezmění.
Při propojení s jiným IdP než Google Workspace nebo Microsoft Entra ID musíte mít následující informace:
Pole jedinečného identifikátoru uživatele: Hodnotou tohoto atributu je obvykle e-mailová adresa uživatele. Používá se k vytvoření uživatelova spravovaného účtu Apple. Může to být například userName.
Způsob ověřování: SAML 2.0.
Režim ověřování: OAuth 2.
URL jednotného přihlašování: Viz dokumentace k vašemu IdP.
URL zpětného volání pro autorizaci: Viz dokumentace k vašemu IdP.
Automatické změny
Vytvoření účtu
Po nakonfigurování synchronizace adresářů se uživatelské účty synchronizují do Apple Business Manageru a je jim přiřazena funkce zaměstnance. Synchronizované informace o účtu jsou přidány jen pro čtení, ale atribut Funkce u uživatelského účtu lze upravovat. Tento atribut se uloží u uživatelského účtu v Apple Business Manageru a nezapíše se zpátky do Google Workspace, Microsoft Entra ID nebo vašeho poskytovatele identit.
Pokud je ověření federované totožnosti vypnuté, z účtů se stanou ručně spravované účty a bude možné upravovat jejich atributy (například uživatelská jména).
Úprava účtu
Synchronizace adresářů sleduje změny synchronizovaných atributů a automaticky je aktualizuje v Apple Business Manageru. Interval, ve kterém se tyto změny synchronizují, závisí na poskytovateli identit.
Smazání účtu
Když v Google Workspace, Microsoft Entra ID nebo poskytovateli identit dojde ke smazání uživatelského účtu, bude odpovídající účet deaktivován a označen ke smazání v Apple Business Manageru. Deaktivovaný účet bude odhlášen ze zařízení a nebude možné se k němu znovu přihlásit. Pokud účet nebude znovu synchronizován během následujících 30 dnů, bude automaticky smazán.
O ID osoby
Za účelem identifikace konfliktních účtů při prvotní synchronizaci uživatelského účtu přes OIDC s Apple Business Managerem se pro uživatelský účet automaticky generuje ID osoby.
Když u některého dříve synchronizovaného uživatelského účtu v aplikaci Apple Business Manager upravíte ID osoby, nebude už tento účet spárovaný s Google Workspace, Microsoft Entra ID nebo vaším IdP. Pokud budete chtít tento uživatelský účet znovu připojit, musíte vyřešit konflikt ID osoby.