Benutzer:innen aus deinem IdP in Apple Business Manager synchronisieren
Du kannst das System für domainübergreifende Identitätsverwaltung (SCIM) in Apple Business Manager verwenden, um Benutzer:innen aus deinem Identitätsprovider (IdP) zu synchronisieren. Wenn du Benutzer:innen per SCIM synchronisierst, werden die Accountinformationen schreibgeschützt hinzugefügt, bis du die Verbindung trennst. Die Accounts werden dann zu manuellen Accounts, und Attribute darin (wie Benutzernamen) können bearbeitet werden. Die erste Synchronisierung dauert länger als nachfolgende Zyklen. Beziehe dich auf die Dokumentation deines IdPs, um zu erfahren, wie oft Benutzer:innen mit Apple Business Manager synchronisiert werden.
Erste Schritte
Bevor du mit dem Erstellen einer SCIM-Verbindung beginnst, solltest du bereits erfolgreich eine Verbindung anhand von verknüpfter Authentifizierung hergestellt haben. Siehe Verknüpfte Authentifizierung mit deinem Identitätsprovider verwenden. Kontaktiere dann deinen IdP und stelle sicher, dass du über die folgenden Informationen verfügst:
Eindeutiges ID-Feld für Benutzer:innen: Der Wert für dieses Attribut ist in der Regel die E-Mail-Adresse der Benutzer:innen. Er wird verwendet, um die verwaltete Apple-ID des:der Benutzer:in zu erstellen. Er kann beispielsweise userName lauten.
Authentifizierungsmethode: SAML 2.0
Authentifizierungsmodus: OAuth 2
URL für Single Sign-On: Beziehe dich auf die Dokumentation deines IdP.
Rückruf-URL für die Autorisierung: Beziehe dich auf die Dokumentation deines IdP.
SCIM und verknüpfte Authentifizierung
Die verknüpfte Authentifizierung ist aktiviert und möglicherweise bereits eingeschaltet. Wenn sie beim Senden der IdP-Accounts an Apple Business Manager bereits eingeschaltet ist, kannst du keine Aktivität sehen, aber die Accounts werden trotzdem mit den verknüpften Domains synchronisiert.
IdP-Benutzeraccounts und Apple Business Manager
Wenn ein:e Benutzer:in mithilfe von SCIM vom IdP in Apple Business Manager kopiert wird, hat er:sie standardmäßig die Funktion „Mitarbeiter:in“.
Hinweis: Benutzergruppen vom IdP werden nicht mit Apple Business Manager synchronisiert. Wenn du die gleichen Gruppen nutzen möchtest, kannst du neue Gruppen in Apple Business Manager erstellen und ihnen Benutzer:innen hinzufügen.
Anmeldeattribut
Apple Business Manager erfordert, dass das Attribut für die verwaltete Apple-ID eindeutig ist. Hierbei handelt es sich in der Regel um die E-Mail-Adresse des:der Benutzer:in. Wenn ein:e Benutzer:in ein Attribut hat, das exakt mit dem eines:einer bestehenden Benutzer:in von Apple Business Manager übereinstimmt, der:die die Funktion „Administrator:in“ inne hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert.
Personen-ID
Wenn ein:e IdP-Benutzer:in mit Apple Business Manager synchronisiert wird, wird eine Personen-ID für den Apple Business Manager-Account erstellt. Die Personen-ID wird zur Ermittlung von in Konflikt stehenden Benutzeraccounts verwendet.
Wichtige Aspekte, die bei Änderung der Personen-ID berücksichtigt werden müssen:
Wenn du die Personen-ID eines Accounts änderst, der zuvor aus SCIM importiert wurde, ist dieser nicht mehr mit dem IdP gekoppelt.
Wenn du die Personen-ID eines Accounts änderst, der zuvor aus SCIM importiert wurde, und ihn wieder mit dem Account verbinden möchtest, musst du den Benutzerkonflikt lösen.
Bei deinem IdP anmelden
Melde dich als Administrator bei deinem IdP an, und führe dann einen dieser Schritte aus:
Suche die App, die dein IdP erstellt hat. Unter Umständen kannst du mehrere Schritte dieser Aufgabe überspringen.
Navigiere zum Bildschirm, in dem du eine App oder Verbindung erstellen kannst.
Erstelle die App mit den folgenden Informationen:
Wichtig: Notiere den Namen der SCIM-App, da du ihn möglicherweise für die Rückruf-URL für die Autorisierung benötigst.
Apple Business Manager: Verwende AppleBusinessManagerSCIM.
App-Typ: Verwende SCIM.
Authentifizierungsmethode: Verwende SAML 2.0.
URL für Single Sign-On für Empfänger und Ziel: Beziehe dich auf die Dokumentation deines IdP.
Zielgruppen-URI: Verwende die Entitäts-ID.
Sichere die Änderungen.
Bereitstellungseinstellungen der SCIM-App konfigurieren
Suche den Bereitstellungsabschnitt der IdP-SCIM-App, und gib die folgenden Werte ein:
Basis-URL des SCIM-Connectors: https://federation.apple.com/feeds/business/scim
Zugriffstoken-URI: https://appleid.apple.com/auth/oauth2/v2/token
Autorisierungs-URI: https://appleid.apple.com/auth/oauth2/v2/authorize
Client-ID: 123
Client-Secret: 123
Wichtig: Da dir die eigentliche SCIM-Client-ID und das Client-Secret noch nicht bekannt sind, wird 123 als Platzhalter verwendet. Du ersetzt diese Werte im Rahmen einer späteren Aufgabe.
Authentifizierungsmodus: OAuth 2.
Eindeutiges ID-Feld für Benutzer:innen: Beziehe dich auf die Dokumentation deines IdP.
Wichtig: Beachte unbedingt die Groß-/Kleinschreibung bei der ID.
Unterstützte Bereitstellungsaktionen:
Importieren neuer Benutzer:innen und Profilaktualisierungen
Push-Vorgänge für neue Benutzer:innen
Push-Vorgänge für Profilaktualisierungen
Sichere die Änderungen.
Erstellen der Rückruf-URL für die Autorisierung
Du musst eine autorisierte Callback-URL für Apple Business Manager erstellen, um mit SCIM Benutzerdatensätze von deinem IdP abzurufen. Diese Callback-URL basiert auf dem Namen der SCIM-App, die du in deinem IdP erstellt hast.
Notiere den Namen der SCIM-App. Zum Beispiel:
Apple Business Manager: AppleBusinessManagerSCIM
Füge den Namen der App in die folgende URL ein. Zum Beispiel:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Sichere die Rückruf-URL für die Autorisierung.
Du fügst sie in der nächsten Aufgabe in Apple Business Manager ein.
SCIM-Client-Informationen erstellen und in deinen IdP kopieren
Melde dich bei Apple Business Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann „Verzeichnissynchronisierung“ aus.
Wähle neben „Eigene Synchronisierung“ die Option „Aktivieren“ aus.
Füge die Rückruf-URL für die Autorisierung aus der vorherigen Aufgabe ein, und wähle dann „Erstellen“ aus.
Wählen „SCIM-App“ aus, und wähle dann „Erstellen“ aus.
Öffne eine neue Textdatei oder Tabellenkalkulation, und gib die folgenden Werte von Apple Business Manager ein:
Füge als OIDC-Client-ID die SCIM-Client-ID ein.
Füge als OIDC-Client-Secret das SCIM-Client-Secret ein.
Wähle neben der Client-ID die Option „Kopieren“ aus, und füge dann die Client-ID in die Datei ein.
Wähle „Client-Secret“ aus, wähle aus, wie lange das Secret aktiv sein soll, bevor es abläuft (6, 9 oder 12 Monate), und füge dann das Client-Secret in die Datei ein.
Wichtig: Falls du das Client-Secret löschst oder vergisst, bevor du es in die IdP-SCIM-App eingefügt hast, musst du ein neues Client-Secret erstellen.
Wähle „Fertig“ aus.
Die Client-ID und das Client-Secret in die IdP-SCIM-App einfügen und die Verbindung prüfen
Kehre zum Bereitstellungsabschnitt der IdP-SCIM-App zurück, und füge die folgenden Werte ein:
Apple Business Manager SCIM-Client-ID
Apple Business Manager SCIM-Client-Secret
Sichere die Änderungen.
Wenn dein IdP das Testen der Authentifizierung anhand eines IdP-Administratoraccounts ermöglicht, kannst du dies nun testen. Es gibt zum Beispiel möglicherweise eine Taste „Authentifizieren mit [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]“ oder ähnlich, abhängig vom Namen der SCIM-App.
Gib den IdP-Administratornamen und das -Passwort ein, und gib dann den Wert für die Zwei-Faktor-Authentifizierung ein.
Lies die angezeigten Autorisierungsinformationen sorgfältig durch, falls vorhanden. Wenn du einverstanden bist, wähle „Weiter“ aus.
Falls notwendig, kannst du nun die verknüpfte Authentifizierung für diese Domain aktivieren.
Der IdP und Apple Business Manager sind nun für das Synchronisieren bestimmter Benutzerattributänderungen vom IdP nach Apple Business Manager konfiguriert.