Benutzeraccounts aus deinem IdP in Apple Business Manager synchronisieren
Du kannst OpenID Connect (OIDC) oder das System für Domain-übergreifende Identitätsverwaltung (SCIM) in Apple Business Manager verwenden, um Benutzeraccounts aus deinem Identitätsprovider (IdP) zu synchronisieren. Mithilfe dieses Systems werden Eigenschaften von Apple Business Manager (z. B. Funktionen) mit importierten Benutzeraccountdaten aus deinem IdP zusammengefügt. Wenn du Benutzer:innen per SCIM synchronisierst, werden die Accountinformationen schreibgeschützt hinzugefügt, bis du die Verbindung trennst. Die Accounts werden dann zu manuellen Accounts, und Attribute darin (wie Benutzernamen) können bearbeitet werden. Die erste Synchronisierung dauert länger als nachfolgende Zyklen. Beziehe dich auf die Dokumentation deines IdPs, um zu erfahren, wie oft Benutzer:innen mit Apple Business Manager synchronisiert werden.
Wichtig: Du hast nur 4 Kalendertage Zeit, um den Token an deinen IdP zu übertragen und eine Verbindung herzustellen. Anderenfalls musst du den Vorgang erneut starten.
Erste Schritte
Führe folgende Schritte aus, bevor du eine Synchronisierung mit deinem IdP über eine OIDC-Verbindung durchführst:
Konfiguriere und bestätige die gewünschte Domain. Siehe Eine Domain hinzufügen und bestätigen.
Konfigurieren, Verknüpfen und Aktivieren einer Domain. Siehe Verknüpfte Authentifizierung mit deinem Identitätsprovider verwenden.
Wende dich telefonisch an eine:n IdP-Administrator:in mit der Befugnis, Einstellungen zu bearbeiten.
Stelle sicher, dass du über die folgenden Informationen verfügst und kontaktiere dann deinen IdP:
Eindeutiges ID-Feld für Benutzer:innen: Der Wert für dieses Attribut ist in der Regel die E-Mail-Adresse der Benutzer:innen. Er wird verwendet, um den verwalteten Apple Account des:der Benutzer:in zu erstellen. Er kann beispielsweise userName lauten.
Authentifizierungsmethode: SAML 2.0
Authentifizierungsmodus: OAuth 2
URL für Single Sign-On: Beziehe dich auf die Dokumentation deines IdP.
Rückruf-URL für die Autorisierung: Beziehe dich auf die Dokumentation deines IdP.
IdP-Benutzeraccounts und Apple Business Manager
Wenn ein:e Benutzer:in mithilfe von SCIM vom IdP in Apple Business Manager kopiert wird, hat er:sie standardmäßig die Funktion „Mitarbeiter:in“.
Hinweis: Benutzergruppen vom IdP werden nicht mit Apple Business Manager synchronisiert. Wenn du die gleichen Gruppen nutzen möchtest, kannst du neue Gruppen in Apple Business Manager erstellen und ihnen Benutzer:innen hinzufügen.
Anmeldeattribut
Apple Business Manager erfordert, dass das Attribut für den verwalteten Apple Account eindeutig ist. Hierbei handelt es sich in der Regel um die E-Mail-Adresse des:der Benutzer:in. Wenn ein:e Benutzer:in ein Attribut hat, das exakt mit dem eines:einer bestehenden Benutzer:in von Apple Business Manager übereinstimmt, der:die die Funktion „Administrator:in“ inne hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert.
Personen-ID
Wenn ein IdP-Benutzeraccount mit Apple Business Manager synchronisiert wird, wird eine Personen-ID für den Apple Business Manager-Account erstellt. Die Personen-ID wird zur Ermittlung von in Konflikt stehenden Benutzeraccounts verwendet.
Wichtige Aspekte, die bei Änderung der Personen-ID berücksichtigt werden müssen:
Wenn du die Personen-ID eines Benutzeraccounts änderst, der zuvor aus deinem IdP importiert wurde, ist dieser Benutzeraccount nicht mehr mit dem IdP gekoppelt.
Wenn du die Personen-ID eines Benutzeraccounts änderst, der zuvor aus deinem IdP importiert wurde, und diesen Benutzeraccount wieder verbinden möchtest, musst du den Konflikt lösen.
Bei deinem IdP anmelden
Melde dich als Administrator:in bei deinem IdP an, und führe dann einen dieser Schritte aus:
Suche die App, die dein IdP erstellt hat. Unter Umständen kannst du mehrere Schritte dieser Aufgabe überspringen.
Navigiere zum Bildschirm, in dem du eine App oder Verbindung erstellen kannst.
Erstelle die App mit den folgenden Informationen:
Wichtig: Notiere den Namen der SCIM-App, da du ihn möglicherweise für die Rückruf-URL für die Autorisierung benötigst.
Apple Business Manager: Verwende AppleBusinessManagerSCIM.
App-Typ: Verwende SCIM.
Authentifizierungsmethode: Verwende SAML 2.0.
URL für Single Sign-On für Empfänger und Ziel: Beziehe dich auf die Dokumentation deines IdP.
Zielgruppen-URI: Verwende die Entitäts-ID.
Sichere die Änderungen.
Bereitstellungseinstellungen der SCIM-App konfigurieren
Suche den Bereitstellungsabschnitt der IdP-SCIM-App, und gib die folgenden Werte ein:
Basis-URL des SCIM-Connectors: https://federation.apple.com/feeds/business/scim
Zugriffstoken-URI: https://appleaccount.apple.com/auth/oauth2/v2/token
Autorisierungs-URI: https://appleaccount.apple.com/auth/oauth2/v2/authorize
Client-ID: 123
Client-Secret: 123
Wichtig: Da dir die eigentliche SCIM-Client-ID und das Client-Secret noch nicht bekannt sind, wird 123 als Platzhalter verwendet. Du ersetzt diese Werte im Rahmen einer späteren Aufgabe.
Authentifizierungsmodus: OAuth 2.
Eindeutiges ID-Feld für Benutzer:innen: Beziehe dich auf die Dokumentation deines IdP.
Wichtig: Beachte unbedingt die Groß-/Kleinschreibung bei der ID.
Unterstützte Bereitstellungsaktionen:
Importieren neuer Benutzer:innen und Profilaktualisierungen
Push-Vorgänge für neue Benutzer:innen
Push-Vorgänge für Profilaktualisierungen
Sichere die Änderungen.
Erstellen der Rückruf-URL für die Autorisierung
Du musst eine autorisierte Callback-URL für Apple Business Manager erstellen, um mit SCIM Benutzerdatensätze von deinem IdP abzurufen. Diese Callback-URL basiert auf dem Namen der SCIM-App, die du in deinem IdP erstellt hast.
Notiere den Namen der SCIM-App. Zum Beispiel:
Apple Business Manager: AppleBusinessManagerSCIM
Füge den Namen der App in die folgende URL ein. Zum Beispiel:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Sichere die Rückruf-URL für die Autorisierung.
Du fügst sie in der nächsten Aufgabe in Apple Business Manager ein.
SCIM-Client-Informationen erstellen und in deinen IdP kopieren
Melde dich bei Apple Business Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann Verwaltete Apple Accounts aus.
Wähle neben „Eigene Synchronisierung“ die Option „Aktivieren“ aus.
Füge die Rückruf-URL für die Autorisierung aus der vorherigen Aufgabe ein, und wähle dann „Erstellen“ aus.
Wählen „SCIM-App“ aus, und wähle dann „Erstellen“ aus.
Öffne eine neue Textdatei oder Tabellenkalkulation, und gib die folgenden Werte von Apple Business Manager ein:
Füge als OIDC-Client-ID die SCIM-Client-ID ein.
Füge als OIDC-Client-Secret das SCIM-Client-Secret ein.
Wähle neben der Client-ID die Option „Kopieren“ aus, und füge dann die Client-ID in die Datei ein.
Wähle „Client-Secret“ aus, wähle aus, wie lange das Secret aktiv sein soll, bevor es abläuft (6, 9 oder 12 Monate), und füge dann das Client-Secret in die Datei ein.
Wichtig: Falls du das Client-Secret löschst oder vergisst, bevor du es in die IdP-SCIM-App eingefügt hast, musst du ein neues Client-Secret erstellen.
Wähle „Fertig“ aus.
Die Client-ID und das Client-Secret in die IdP-SCIM-App einfügen und die Verbindung prüfen
Kehre zum Bereitstellungsabschnitt der IdP-SCIM-App zurück, und füge die folgenden Werte ein:
Apple Business Manager SCIM-Client-ID
Apple Business Manager SCIM-Client-Secret
Sichere die Änderungen.
Wenn dein IdP das Testen der Authentifizierung anhand eines IdP-Administratoraccounts ermöglicht, kannst du dies nun testen. Es gibt zum Beispiel möglicherweise eine Taste „Authentifizieren mit [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]“ oder ähnlich, abhängig vom Namen der SCIM-App.
Gib den IdP-Administratornamen und das -Passwort ein, und gib dann den Wert für die Zwei-Faktor-Authentifizierung ein.
Lies die angezeigten Autorisierungsinformationen sorgfältig durch, falls vorhanden. Wenn du einverstanden bist, wähle „Weiter“ aus.
Falls notwendig, kannst du nun die verknüpfte Authentifizierung für diese Domain aktivieren.
Der IdP und Apple Business Manager sind nun für das Synchronisieren bestimmter Benutzerattributänderungen vom IdP nach Apple Business Manager konfiguriert.