Úvod do synchronizace adresáře v Apple Business Manager
Přes OpenID Connect (OIDC) můžete v Apple Business Manageru synchronizovat uživatelské účty z následujících služeb:
Google Workspace
Microsoft Entra ID
Váš poskytovatel identit (IdP)
Někteří poskytovatelé identit umožňují používat taky SCIM (System for Cross-domain Identity Management)
Poznámka: Můžete nastavit synchronizaci s Google Workspace, Microsoft Entra ID nebo vaším poskytovatelem identit, ale vždy jen s jednou z těchto služeb.
Než začnete
Než začnete používat synchronizaci s Google Workspace, Microsoft Entra ID nebo svým poskytovatelem identit (IdP), počítejte s následujícím:
Synchronizace skupin uživatelů není podporovaná.
Požadavky
V případě potřeby ručně ověřte doménu. Víc se dočtete v části Přidání a ověření domény.
Musíte zapnout federované ověřování. Podrobné informace naleznete v části Úvod do ověření federované totožnosti.
Buďte ve spojení se správcem, který má oprávnění měnit nastavení Google Workspace, Microsoft Entra ID nebo jiného poskytovatele identit.
Apple Business Manager vyžaduje, aby atribut použitý pro spravovaný účet Apple byl jedinečný. Obvykle se jedná o e-mailovou adresu uživatele. Pokud se atribut uživatele přesně shoduje s existujícím uživatelem v Apple Business Manageru, který má funkci administrátora, synchronizace neproběhne a zdrojové pole se nezmění.
Při konfiguraci prvotního připojení byste měli použít e‑mailovou adresu uživatele, který má funkci administrátora nebo správce osob, aby mu mohla chodit oznámení z Google Workspace, Microsoft Entra ID nebo jiného poskytovatele identit, se kterým synchronizujete.
Požadavky jednotlivých IdP
Při propojení s Microsoft Entra ID:
Abyste mohli v Apple Business Manageru používat OIDC, nesmí vaše organizace používat stejného tenanta Microsoft Entra ID jako jiná organizace v Apple Business Manageru. Pokud chcete ve svojí organizaci používat OIDC, kontaktujte svého globálního administrátora Microsoft Entra ID a ujistěte se, že stejný tenant Microsoft Entra ID jako vy nepoužívá pro OIDC žádná jiná organizace.
Pokud se hlavní název uživatele (UPN) shoduje s nějakým existujícím uživatelským účtem, který má funkci administrátora nebo správce osob, synchronizace neproběhne a zdrojové pole se nezmění.
Při propojení s jiným IdP než Google Workspace nebo Microsoft Entra ID musíte mít následující informace:
Pole jedinečného identifikátoru uživatele: Hodnotou tohoto atributu je obvykle e-mailová adresa uživatele. Používá se k vytvoření uživatelova spravovaného účtu Apple. Může to být například userName.
Způsob ověřování: SAML 2.0.
Režim ověřování: OAuth 2.
URL jednotného přihlašování: Viz dokumentace k vašemu IdP.
URL zpětného volání pro autorizaci: Viz dokumentace k vašemu IdP.
Automatické změny
Sleduje změny uživatelských účtů a automaticky je synchronizuje do Apple Business Manageru.
Automaticky maže spravované účty Apple při smazání odpovídajícího uživatelského účtu z Google Workspace, Microsoft Entra ID nebo poskytovatele identit.
Výchozí funkcí uživatelského účtu synchronizovaného do Apple Business Manageru je zaměstnanec. Po dokončení synchronizace můžete u uživatelského účtu upravovat jenom atribut Funkce. Tento atribut se uloží u uživatelského účtu v Apple School Manageru a nezapíše se zpátky do Google Workspace, Microsoft Entra ID nebo vašeho IdP.
Synchronizované informace o účtech se přidávají jen ke čtení, dokud synchronizaci nevypnete. V tu chvíli se z účtů stanou ručně spravované účty a vy budete moct upravovat jejich atributy (například uživatelská jména).
Poznámka: Prvotní synchronizace trvá déle než následné cykly. Informace o tom, jak často se uživatelé synchronizují, najdete v dokumentaci k používanému IdP.
O ID osoby
Za účelem identifikace konfliktních účtů při prvotní synchronizaci uživatelského účtu přes OIDC s Apple Business Managerem se pro uživatelský účet automaticky generuje ID osoby.
Když u některého dříve synchronizovaného uživatelského účtu v Apple Business Manageru upravíte ID osoby, nebude už tento účet spárovaný s Google Workspace, Microsoft Entra ID nebo vaším IdP. Pokud budete chtít tento uživatelský účet znovu připojit, musíte vyřešit konflikt ID osoby.