Benutzeraccounts aus deinem Identitätsprovider mit Apple Business synchronisieren
Du kannst OpenID Connect (OIDC) oder das System für Domain-übergreifende Identitätsverwaltung (SCIM) in Apple Business verwenden, um Benutzeraccounts aus deinem Identitätsprovider (IdP) zu synchronisieren. Mithilfe dieses Systems werden Eigenschaften von Apple Business (z. B. Rollen) mit importierten Benutzeraccountdaten aus deinem IdP zusammengeführt. Wenn du Benutzer:innen per SCIM synchronisierst, werden die Accountinformationen schreibgeschützt hinzugefügt, bis du die Verbindung trennst. Die Accounts werden dann zu manuellen Accounts, und Attribute darin (wie Benutzernamen) können bearbeitet werden. Die erste Synchronisierung dauert länger als nachfolgende Zyklen. In der Dokumentation deines IdPs erfährst du, wie oft Benutzer:innen mit Apple Business synchronisiert werden.
Wichtig: Du hast nur vier Kalendertage Zeit, um den Token an deinen IdP zu übertragen und eine Verbindung herzustellen. Andernfalls musst du den Vorgang erneut starten. Diese Token laufen aus Sicherheitsgründen ab, um zu verhindern, dass nicht verwendete Anmeldedaten auf unbestimmte Zeit beibehalten werden.
Bei deinem IdP anmelden
Melde dich als Administrator:in bei deinem IdP an, und führe dann einen dieser Schritte aus:
Suche die App, die dein IdP erstellt hat. Unter Umständen kannst du mehrere Schritte dieser Aufgabe überspringen.
Navigiere zum Bildschirm, in dem du eine App oder Verbindung erstellen kannst.
Erstelle die App mit den folgenden Informationen:
Wichtig: Notiere den Namen der SCIM-App, da du ihn möglicherweise für die Rückruf-URL für die Autorisierung benötigst.
Apple Business: Verwende AppleBusinessManagerSCIM.
App-Typ: SCIM
Authentifizierungsmethode: SAML 2.0
URL für Single Sign-On für Empfänger und Ziel: Beziehe dich auf die Dokumentation deines IdP.
Zielgruppen-URI: Entitäts-ID
Sichere die Änderungen.
Bereitstellungseinstellungen der SCIM-App konfigurieren
Suche den Bereitstellungsabschnitt der IdP-SCIM-App, und gib die folgenden Werte ein:
Basis-URL des SCIM-Connectors: https://federation.apple.com/feeds/business/scim
Zugriffstoken-URI: https://appleaccount.apple.com/auth/oauth2/v2/token
Autorisierungs-URI: https://appleaccount.apple.com/auth/oauth2/v2/authorize
Client-ID: 123
Client-Secret: 123
Wichtig: Da dir die eigentliche SCIM-Client-ID und das Client-Secret noch nicht bekannt sind, wird 123 als Platzhalter verwendet. Du ersetzt diese Werte im Rahmen einer späteren Aufgabe.
Authentifizierungsmodus: OAuth 2.
Eindeutiges ID-Feld für Benutzer:innen: Beziehe dich auf die Dokumentation deines IdP.
Wichtig: Beachte unbedingt die Groß-/Kleinschreibung bei der ID.
Unterstützte Bereitstellungsaktionen:
Importieren neuer Benutzer:innen und Profilaktualisierungen
Push-Vorgänge für neue Benutzer:innen
Push-Vorgänge für Profilaktualisierungen
Sichere die Änderungen.
Erstellen der Rückruf-URL für die Autorisierung
Du musst eine autorisierte Rückruf-URL für Apple Business erstellen, um mit SCIM Benutzerdatensätze von deinem IdP abzurufen. Diese Rückruf-URL basiert auf dem Namen der SCIM‑App, die du in deinem IdP erstellt hast.
Notiere den Namen der SCIM-App. Zum Beispiel:
Apple Business: AppleBusinessSCIM
Füge den Namen der App in die folgende URL ein. Zum Beispiel:
https://identity-provider.com/admin/app/AppleBusinessSCIM/oauth/callback
Sichere die Rückruf-URL für die Autorisierung.
Du fügst sie in der nächsten Aufgabe in Apple Business ein.
SCIM-Client-Informationen erstellen und in deinen IdP kopieren
Melde dich in Apple Business mit einem Benutzeraccount an, dessen Rolle über Zugriffsrechte zum Einrichten und Konfigurieren einer Verknüpfung und zum Herstellen einer Verbindung mit einem Identitätsprovider (IdP) verfügt.
Informationen zu Rollen und Zugriffsrechten findest du unter Einführung in Rollen und Zugriffsrechte.
Wähle unter „Verzeichnissynchronisierung“ die Option „Einrichten“ neben der mit Apple Business zu synchronisierenden Domain aus.
Wähle neben „Eigene Synchronisierung“ die Option „Aktivieren“ aus.
Füge die Rückruf-URL für die Autorisierung aus der vorherigen Aufgabe ein, und wähle dann „Erstellen“ aus.
Wähle „SCIM-App“ aus, und wähle dann „Erstellen“ aus.
Öffne eine neue Text- oder Tabellendatei und gib die folgenden Werte von Apple Business ein:
Füge als OIDC-Client-ID die SCIM-Client-ID ein.
Füge als OIDC-Client-Secret das SCIM-Client-Secret ein.
Wähle neben der Client-ID die Option „Kopieren“ aus, und füge dann die Client-ID in die Datei ein.
Wähle „Client-Secret“ aus, wähle aus, wie lange das Secret aktiv sein muss, bevor es abläuft (6, 9 oder 12 Monate), und füge dann das Client-Secret in die Datei ein.
Wichtig: Falls du das Client-Secret löschst oder vergisst, bevor du es in die IdP-SCIM-App eingefügt hast, musst du ein neues Client-Secret erstellen.
Wähle „Fertig“ aus.
Die Client-ID und das Client-Secret in die IdP-SCIM-App einfügen und die Verbindung prüfen
Kehre zum Bereitstellungsabschnitt der IdP-SCIM-App zurück, und füge die folgenden Werte ein:
Apple Business SCIM-Client-ID
Apple Business SCIM-Client-Secret
Sichere die Änderungen.
Wenn dein IdP das Testen der Authentifizierung anhand eines IdP-Administratoraccounts ermöglicht, kannst du dies nun testen.
Zum Beispiel könnte es, je nachdem, wie du deine SCIM‑App genannt hast, eine Schaltfläche namens „Authentifizierung mit [AppleBusinessSCIM]“ geben.
Gib den IdP-Administratornamen und das -Passwort ein, und gib dann den Wert für die Zwei-Faktor-Authentifizierung ein.
Lies die angezeigten Autorisierungsinformationen sorgfältig durch, falls vorhanden. Wenn du einverstanden bist, wähle „Weiter“ aus.
Falls notwendig, kannst du nun die verknüpfte Authentifizierung für diese Domain aktivieren.
Dein IdP und Apple Business sind nun für das Synchronisieren bestimmter Benutzerattributänderungen vom IdP nach Apple Business konfiguriert.