Používání federovaného ověřování s vaším poskytovatelem identit v Apple Business Manageru
Apple Business Manager můžete pomocí federovaného ověřování propojit se svým poskytovatelem identit (IdP) a umožnit tak uživatelům, aby se k zařízením Apple přihlašovali svými uživatelskými jmény (zpravidla e‑mailovou adresou) a hesly od poskytovatele identit.
Uživatelé pak můžou používat svoje uživatelská jména a hesla od poskytovatele identit jako spravovaná Apple ID. Potom se k přiřazenému iPhonu, iPadu, Macu, a dokonce i k iCloudu na webu přihlásí těmito přihlašovacími údaji.
Než začnete
Před připojením poskytovatele identit zvažte pár věcí:
Při federovaném ověřování by se jako uživatelská jména měly používat e‑mailové adresy. Aliasy nejsou podporovány.
U existujících uživatelů, kteří mají ve federované doméně e‑mailovou adresu, se jejich spravované Apple ID automaticky změní tak, aby se shodovalo s e‑mailovou adresou.
Nakonfigurovat a ověřit doménu, kterou chcete použít. Viz Odkazování na nové domény.
Uživatelské účty s funkcí administrátora nebo správce osob se nemůžou přihlašovat pomocí federovaného ověřování – můžou jenom spravovat proces federování.
Když připojení k poskytovateli identit vyprší, federování i synchronizace uživatelských účtů s poskytovatelem identit se ukončí. Pokud chcete federování a synchronizaci obnovit, musíte se k poskytovateli identit znovu připojit.
Pro federované ověřování budete potřebovat následující informace:
Způsob přihlášení: Použijte OIDC (Open ID Connect).
Přístup k rozsahu: Přístup musí být udělen pro
ssf.manage
assf.read
.Konfigurační URL frameworku SSF (Shared Signals Framework): Viz dokumentace k vašemu IdP.
Konfigurační URL OpenID: Viz dokumentace k vašemu IdP.
Proces federovaného ověřování
Tento proces obnáší čtyři hlavní kroky:
Přidejte a ověřte doménu.
Vytvořte novou OIDC aplikaci nebo připojení.
Nakonfigurujte federované ověřování a otestuje ho na jednom účtu od poskytovatele identit.
Zapnutí federovaného ověřování.
Krok 1: Ověření domény
Abyste v Apple Business Manageru viděli uživatelské účty od poskytovatele identit, musíte přidat a ověřit doménu, kterou chcete používat.
Viz Odkazování na nové domény.
Ověřovací proces prověří, jestli vaše organizace skutečně má oprávnění upravovat DNS (Domain Name Service) záznamy vaší domény. Například když chcete jako doménu použít betterbag.com, musíte do 14 kalendářních dnů od začátku ověřovacího procesu (který začíná výběrem tlačítka Ověřit) přidat do zónového souboru vašeho DNS serveru příslušný TXT záznam.
Poznámka: Pokud se pokoušíte federovat doménu, kterou jste už ověřili, ale už identickou doménu federovala jiná organizace, musíte tuto organizaci kontaktovat a určit, kdo je oprávněn tuto doménu federovat. Víc se dočtete v části Konflikty domén.
Krok 2: Vytvořte novou OIDC aplikaci nebo připojení
Na připojení k Apple Business Manageru musí váš IdP obsahovat aplikaci s příslušnými nastaveními pro připojení k Apple Business Manageru. Případně takovou aplikaci musíte vytvořit. Vzhledem k tomu, že každý IdP používá jiný způsob vytvoření aplikace a v každém se příslušná nastavení nacházejí jinde, dokončete tento proces podle dokumentace k vašemu IdP.
Přihlaste se ke svému IdP jako správce a proveďte jednu z následujících akcí:
Vyhledejte aplikaci vytvořenou vaším IdP. Možná budete moct přeskočit několik kroků v tomto úkolu.
Přejděte do části, kde můžete vytvořit aplikaci nebo připojení.
Při vytváření aplikace nebo připojení použijte následující údaje:
Apple Business Manager: AppleBusinessManagerOIDC.
Způsob přihlášení: OIDC (Open ID Connect).
Typ aplikace: Webová aplikace.
Typ udělení: Obnovovací token.
URI přesměrování pro přihlášení: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Přístup: Povolení konkrétních uživatelských účtů.
Přístup k rozsahu: Přístup musí být udělen pro
ssf.manage
assf.read
.
Uložte změny.
Dále na této stránce musíte do Apple Business Manageru vložit určité informace. Další krok proto spočívá ve zkopírování těchto informací do textového nebo tabulkového souboru.
Otevřete nový textový soubor nebo tabulku a zadejte následující hodnoty z IdP:
Do příslušného pole vložte ID klienta OIDC.
Do příslušného pole vložte tajný klíč klienta OIDC.
Uložte soubor na bezpečné místo.
Krok 3: Nakonfigurujte federované ověřování a otestuje ho na jednom účtu od poskytovatele identit
Tento krok umožní poskytovateli identit důvěřovat Apple Business Manageru.
Poznámka: Po dokončení tohoto kroku už uživatelé nebudou moct v nakonfigurované doméně vytvářet nová osobní Apple ID. Může to mít vliv na ostatní služby Apple, které používáte. Další informace najdete v části Převod služeb Apple při zapnutém federování.
V Apple Business Manageru se přihlaste jako uživatel s funkcí administrátora nebo správce osob.
Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby a zvolte Účty .
Vedle volby Ověření federované totožnosti vyberte Upravit, vyberte Vlastní poskytovatel identity a zvolte Připojit.
Zadejte název připojení pro federované ověřování.
Můžete použít až 128 znaků.
Z textového souboru nebo tabulky uložené v předchozí části zkopírujte do Apple Business Manageru hodnoty ID klienta a tajného klíče klienta.
Získejte ze svého IdP adresy URL pro následující dvě konfigurace:
SSF (Shared Signals Framework)
OpenID
Vyberte Pokračovat.
Pokud byly všechny zadané hodnoty platné, zobrazí se přihlašovací stránka vašeho IdP. Pokračujte krokem 8.
Přihlaste se uživatelským jménem a heslem od poskytovatele identit.
Vyberte Hotovo.
Krok 4: Zapnutí federovaného ověřování
V Apple Business Manageru se přihlaste jako uživatel s funkcí administrátora nebo správce osob.
Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby a zvolte Účty .
V sekci Domény vyberte Upravit, vyberte Federovat, počkejte na dokončení procesu federování a potom u domény, kterou jste právě do Apple Business Manageru přidali, vyberte Zapnout.
Vyberte Hotovo.
Pokud je to potřeba, můžete teď s Apple Business Managerem synchronizovat uživatelské účty. Víc se dočtete v části Synchronizace uživatelských účtů od poskytovatele identit.