Verknüpfte Authentifizierung mit deinem Identitätsprovider in Apple Business Manager verwenden
In Apple Business Manager kannst du mittels verknüpfter Authentifizierung eine Verbindung zu deinem Identitätsanbieter (IdP) herstellen, damit sich die Benutzer:innen mit ihrem IdP-Benutzernamen (in der Regel ihre E-Mail-Adresse) und -Passwort auf Apple-Geräten anmelden können.
Damit können deine Benutzer:innen ihre IdP-Anmeldedaten als verwaltete Apple Accounts verwenden. Anschließend ist die Anmeldung mit diesen Anmeldedaten beim zugewiesenen iPhone, iPad oder Mac und sogar bei iCloud im Internet möglich.
Erste Schritte
Bevor du eine Verbindung zu deinem IdP herstellst, solltest du Folgendes beachten:
Du musst die Domainerfassung sperren und einschalten, bevor du eine Verknüpfung herstellen kannst. Siehe Eine Domain sperren.
Bei der verknüpften Authentifizierung sollte die E-Mail-Adresse des:der Benutzer:in als Benutzername verwendet werden. Aliasnamen werden nicht unterstützt.
Für bestehende Benutzer:innen mit einer E-Mail-Adresse in der verknüpften Domain wird ihr verwalteter Apple Account automatisch so geändert, dass er dieser E-Mail-Adresse entspricht.
Konfiguriere und verifiziere die gewünschte Domain. Siehe Eine Domain hinzufügen und bestätigen.
Benutzeraccounts mit der Funktion „Administrator:in“ oder „Personenmanager:in“ können sich nicht mithilfe der verknüpften Authentifizierung anmelden. Sie können lediglich den Verknüpfungsvorgang verwalten.
Wenn die IdP-Verbindung abgelaufen ist, werden die Verknüpfung und Synchronisation von Benutzeraccounts mit deinem IdP angehalten. Du musst dich erneut mit deinem IdP verbinden, um die Verknüpfung und Synchronisierung weiterhin nutzen zu können.
Wenn du die verknüpfte Authentifizierung verwendest, benötigst du die folgenden Informationen:
Anmeldemethode: Verwende Open ID Connect (OIDC).
Umfangszugriff: Zugriff muss gewährt werden für
ssf.manage
undssf.read
.URL für die Shared Signals Framework (SSF)-Konfiguration: Beziehe dich auf die Dokumentation deines IdP.
URL für die OpenID-Konfiguration: Beziehe dich auf die Dokumentation deines IdP.
Vorgang der verknüpften Authentifizierung
Dieser Prozess umfasst vier Hauptschritte:
Eine Domain hinzufügen und bestätigen.
Eine neue OIDC-App oder -Verbindung erstellen
Konfiguriere die verknüpfte Authentifizierung und teste die Authentifizierung mit einem einzigen IdP-Benutzeraccount.
Verknüpfte Authentifizierung aktivieren.
Schritt 1: Domain bestätigen
Bevor du deine IdP-Benutzeraccounts mit Apple Business Manager anzeigen kannst, musst du die gewünschte Domain hinzufügen und bestätigen.
Siehe Eine Domain hinzufügen und bestätigen.
Bei der Verifizierung wird sichergestellt, dass deine Organisation berechtigt ist, die DNS (Domain Name Service)-Einträge für deine Domain zu ändern. Um beispielsweise „betterbag.com“ als Domain zu verwenden, musst du der Zonendatei deines Domain-Nameservers innerhalb von 14 Kalendertagen nach Beginn des Bestätigungsvorgangs (beginnt, wenn du die Taste „Bestätigen“ auswählst) einen bestimmten TXT-Eintrag hinzufügen.
Hinweis: Wenn du versuchst, eine Domain zu verknüpfen, die du bereits bestätigt hast, aber eine andere Organisation dieselbe Domain bereits verknüpft hat, musst du dich an diese Organisation wenden, um zu klären, wer zur Verknüpfung der Domain berechtigt ist. Siehe Domainkonflikte.
Schritt 2: Neue OIDC-App oder -Verbindung erstellen
Um eine Verbindung mit Apple Business Manager herzustellen, muss dein IdP über eine App verfügen, die bestimmte Einstellungen für die Verknüpfung mit Apple Business Manager umfasst, oder eine solche App erstellen. Da jeder IdP eine verschiedene Methode zum Erstellen einer App hat und Einstellungen an einem bestimmten Ort speichert, beziehe dich auf die Dokumentation deines IdPs, um zu erfahren, wie dieser Prozess durchgeführt wird.
Melde dich als Administrator:in bei deinem IdP an, und führe dann einen dieser Schritte aus:
Suche die App, die dein IdP erstellt hat. Unter Umständen kannst du mehrere Schritte dieser Aufgabe überspringen.
Navigiere zum Bildschirm, in dem du eine App oder Verbindung erstellen kannst.
Erstelle die App oder Verbindung mit den folgenden Informationen:
Apple Business Manager: AppleBusinessManagerOIDC
Anmeldemethode: Open ID Connect (OIDC)
App-Typ: Web-App
Gewährungstyp: Aktualisierungstoken
URI für Anmelde-Umleitungen: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Zugang: Bestimmte Benutzeraccounts zulassen.
Umfangszugriff: Zugriff muss gewährt werden für
ssf.manage
undssf.read
.
Sichere die Änderungen.
Auf dieser Seite musst du später bestimmte Informationen in Apple Business Manager einfügen. Die nächste Aufgabe besteht darin, diese Informationen in eine Text- oder Tabellenkalkulationsdatei zu kopieren.
Öffne eine neue Textdatei oder Tabellenkalkulation, und gib die folgenden Werte vom IdP ein:
Füge als OIDC-Client-ID die OIDC-Client-ID ein.
Füge als OIDC-Client-Secret das OIDC-Client-Secret ein.
Sichere die Datei an einem sicheren Speicherort.
Schritt 3: Konfiguriere die verknüpfte Authentifizierung und teste die Authentifizierung mit einem einzigen IdP-Benutzeraccount.
Dieser Schritt dient dazu, eine Vertrauensbeziehung zwischen deinem IdP und Apple Business Manager herzustellen.
Hinweis: Nachdem du diesen Schritt abgeschlossen hast, können Benutzer:innen keine neuen persönlichen Apple Accounts in der von dir konfigurierten Domain erstellen. Dies könnte andere Apple Dienste beeinträchtigen, auf die Benutzer:innen zugreifen. Siehe Apple-Dienste bei Verknüpfung übertragen.
Melde dich bei Apple Business Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann „Verwaltete Apple Accounts“ und anschließend unter „Benutzeranmeldung und Verzeichnissynchronisierung“ die Option „Erste Schritte“ aus.
Wähle „Eigener Identitätsprovider“ und dann „Weiter“ aus.
Gib einen Namen für die verknüpfte Authentifizierungsverbindung ein.
Der Name kann bis zu 128 Zeichen lang sein.
Kopiere die Werte der Client-ID und des Client-Secrets aus der Textdatei oder der Tabellenkalkulation, die du im vorherigen Abschnitt gesichert hast, in Apple Business Manager.
Wende dich an deinen IdP, um URLs für die folgenden beiden Konfigurationen zu erhalten:
Shared Signals Framework (SSF)
OpenID
Wähle „Weiter“ aus.
Wenn die angegebenen Werte gültig sind, wird die Anmeldeseite deines IdPs angezeigt. Fahre mit Schritt 8 fort.
Melde dich mit dem Benutzernamen und Passwort eines:r IdP-Administrator:in an.
Wähle „Fertig“ aus.
Schritt 4: Verknüpfte Authentifizierung aktivieren
Melde dich bei Apple Business Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann Verwaltete Apple Accounts aus.
Wähle im Bereich „Domains“ neben der Domain, die du verknüpfen möchtest, die Option „Verwalten“ aus, und wähle dann die Option „Anmeldung mit deinem Identitätsprovider aktivieren“ aus.
Aktiviere die Option „Mit deinem Identitätsprovider anmelden“.
Falls erforderlich, kannst du jetzt Benutzeraccounts mit dem Apple Business Manager synchronisieren. Siehe Benutzeraccounts aus deinem IdP synchronisieren.