Úvod k federovanému ověřování v Apple Business Manager
ověření federované totožnosti můžete využít k propojení Apple Business Manageru s těmito službami:
Google Workspace
Microsoft Entra ID
Váš poskytovatel identit (IdP)
Poznámka: Můžete nastavit propojení s Google Workspace, Microsoft Entra ID nebo vaším poskytovatelem identit, ale vždy jen s jednou z těchto služeb.
Uživatelé se tak budou moct svým stávajícím uživatelským jménem (zpravidla e‑mailovou adresou) a heslem přihlásit ke svému přiřazenému iPhonu, iPadu, Macu, Apple Vision Pro a sdílenému iPadu. Po přihlášení k některému z těchto zařízení se pak na Macu můžou přihlásit i k iCloudu na webu (iCloud pro Windows nepodporuje spravované účty Apple).
Důležité: Když připojení ke vyprší, federování i synchronizace uživatelských účtů se ukončí. Pokud chcete federování a synchronizaci obnovit, musíte připojení znovu navázat.
Existují konkrétní případy, kdy můžete federované ověřování používat:
Pouze ověření federované totožnosti
Když propojíte Apple Business Manager s Google Workspace, Microsoft Entra ID nebo poskytovatelem identit, uživatelům se automaticky vytvoří spravované účty Apple. Pak se můžou přihlašovat svým existujícím uživatelským jménem (zpravidla e‑mailovou adresou) a heslem.
Přečtěte si následující články:
Federované ověřování se synchronizací adresáře
Do Apple Business Manageru můžete taky synchronizovat uživatelské účty z Google Workspace, Microsoft Entra ID nebo od poskytovatele identit. Jakmile nastavíte připojení pro synchronizaci adresáře, můžete k informacím o uživatelských účtech importovaných z jedné z těchto služeb přidat vlastnosti specifické pro Apple Business Manager (například ročník nebo funkce). Informace o účtech přidané z druhé služby budou jen ke čtení, dokud synchronizaci nevypnete. V tu chvíli se z účtů stanou ručně spravované účty a vy budete moct upravovat jejich atributy. Když z některé z těchto služeb odeberete uživatelský účet, můžete jej pak odebrat i z Apple Business Manageru. Přečtěte si následující články:
Federované ověřování se sdíleným iPadem
Při používání federovaného ověřování se sdílenými iPady se proces přihlašování liší v závislosti na tom, jestli už uživatelský účet v Apple Business Manageru existuje. Na různé scénáře přihlašování se můžete podívat v části Přihlášení ke sdílenému iPadu.
Když uživatel zapomene svůj kód, musíte obnovit kód ke sdílenému iPadu.
Než začnete
Než začnete používat federované ověřování s Google Workspace, Microsoft Entra ID nebo svým poskytovatelem identit (IdP), počítejte s následujícím:
Požadavky
Zařízení Apple musí splňovat následující minimální požadavky na operační systém:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Musíte svoji doménu zamknout a přivlastnit si ji. Víc se dočtete v části Zamknutí domény.
Neexistují žádné konflikty spravovaných účtů Apple. Další informace najdete v části Konflikty spravovaných účtů Apple.
Uživatelské účty s funkcí administrátora nebo správce osob se nemůžou přihlašovat pomocí federovaného ověřování – můžou jenom spravovat proces federování.
Při používání federovaného ověřování se výchozí nastavení formátu spravovaných účtů Apple nepoužije.
Požadavky jednotlivých IdP
Při propojení s Google Workspace:
Při federovaném ověřování by se jako uživatelská jména měly používat e‑mailové adresy. Aliasy nejsou podporovány.
Při propojení s Microsoft Entra ID:
Aby bylo možné dokončit akci Schválení federovaného ověřování, jak je popsáno dále, musíte použít uživatelský účet s funkcí globálního administrátora Entra ID. Po úspěšném navázání připojení můžete funkci uživatele změnit z globálního správce na jinou funkci, která má oprávnění potřebná k udržení připojení. Další informace najdete v části Výchozí uživatelské funkce Microsoftu, které podporují domény, synchronizaci adresáře a čtení domén.
Federované ověřování pomocí Microsoft Entra ID vyžaduje, aby se hlavní jméno uživatele (userPrincipalName, UPN) shodovalo s uživatelovou e‑mailovou adresou. Aliasy k userPrincipalName ani alternativní ID nejsou podporovány.
Při propojení s IdP musíte mít následující informace:
Ověřenou doménu, kterou chcete použít. Víc se dočtete v části Přidání a ověření domény.
Způsob přihlášení: Použijte OIDC (Open ID Connect).
Přístup k rozsahu: Přístup musí být udělen pro
ssf.manageassf.read.Konfigurační URL frameworku SSF (Shared Signals Framework): Viz dokumentace k vašemu IdP.
Konfigurační URL OpenID: Viz dokumentace k vašemu IdP.
Automatické změny
Existujícím uživatelům Apple Business Manageru, kteří mají ve federované doméně e‑mailovou adresu, se spravovaný účet Apple automaticky změní tak, aby se shodoval s e‑mailovou adresou.