Einführung in die Verzeichnissynchronisierung mit Apple Business
Übersicht
Die Verzeichnissynchronisierung sorgt dafür, dass die Daten in Apple Business und die Daten bei deinem Identitätsprovider (IdP) immer synchron gehalten werden. Über die Verzeichnissynchronisierung wird Apple Business automatisch von deinem IdP informiert und kann seine Informationen aktualisieren, wann immer Folgendes geschieht:
Ein neuer Benutzer-Account wird erstellt.
Die Informationen in einem Benutzer-Account werden geändert.
Ein Benutzer-Account wird gelöscht.
Du kannst OpenID Connect (OIDC) mit Apple Business verwenden, um Benutzeraccounts aus folgenden Lösungen zu synchronisieren (jeweils immer nur einen Account gleichzeitig):
Google Workspace
Microsoft Entra ID
Deinem IdP
Einige IdPs können auch das System für Domain-übergreifendes Identitätsmanagement (SCIM) verwenden
Erste Schritte
Bevor du mit Google Workspace, Microsoft Entra ID oder deinem IdP synchronisierst, solltest du Folgendes beachten:
Die Synchronisierung von Benutzergruppen wird nicht unterstützt.
Die erste Synchronisierung dauert länger als nachfolgende Zyklen. Sieh in der Dokumentation deines IdPs nach, um zu erfahren, wie oft Benutzer:innen synchronisiert werden.
Voraussetzungen
Falls erforderlich, bestätige eine Domain manuell. Siehe Eine Domain hinzufügen und bestätigen.
Du musst die verknüpfte Authentifizierung aktivieren. Siehe Einführung in die verknüpfte Authentifizierung.
Wende dich telefonisch an eine:n Administrator:in mit der Berechtigung, Einstellungen für Google Workspace, Microsoft Entra ID oder einen anderen IdP zu bearbeiten.
Apple Business erfordert, dass das Attribut für den verwalteten Apple Account eindeutig ist. Hierbei handelt es sich in der Regel um die E‑Mail-Adresse des:der Benutzer:in. Wenn ein Benutzeraccount ein Attribut hat, das exakt mit dem eines bestehenden Benutzeracccounts von Apple Business übereinstimmt, der die Rolle „Administrator:in der Organisation“ innehat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert.
Wenn du die Erstverbindung konfigurierst, musst du die E‑Mail-Adresse eines Benutzeraccounts verwenden, dessen Rolle über Zugriffsrechte zum Einrichten und Konfigurieren einer Verknüpfung sowie zum Herstellen einer Verbindung zu einem IdP verfügt, damit du Benachrichtigungen von Google Workspace, Microsoft Entra ID oder einem anderen Identitätsprovider erhalten kannst, mit dem du die Synchronisierung durchführst.
IdP-spezifische Voraussetzungen
Bei der Verknüpfung mit Microsoft Entra ID:
Um OIDC mit Apple Business nutzen zu können, muss deine Organisation einen anderen Microsoft Entra ID-Mandanten haben als andere Apple Business-Organisationen. Wenn du OIDC in deiner Organisation verwenden möchtest, wende dich an deine:n globale:n Microsoft Entra ID-Administrator:in, um sicherzustellen, dass keine andere Organisation deinen Entra ID-Mandanten für OIDC nutzt.
Wenn ein Benutzeraccount einen Benutzerprinzipalnamen (User Principal Name, UPN) hat, der exakt mit dem eines bestehenden Benutzeraccounts übereinstimmt, dessen Rolle über Zugriffsrechte zum Einrichten und Konfigurieren der Verknüpfung und dem Herstellen einer Verbindung mit einem IdP verfügt, wird keine Synchronisierung durchgeführt und das Quellenfeld bleibt unverändert.
Bei der Verknüpfung mi einem anderen IdP als Google Workspace oder Microsoft Entra ID musst du über die folgenden Informationen verfügen:
Eindeutiges ID-Feld für Benutzer:innen: Der Wert für dieses Attribut ist in der Regel die E‑Mail-Adresse der Benutzer:innen. Er wird verwendet, um den verwalteten Apple Account des:der Benutzer:in zu erstellen. Er kann beispielsweise userName lauten.
Authentifizierungsmethode: SAML 2.0
Authentifizierungsmodus: OAuth 2.
URL für Single Sign-On: Beziehe dich auf die Dokumentation deines IdP.
Rückruf-URL für die Autorisierung: Beziehe dich auf die Dokumentation deines IdP.
Automatische Änderungen
Account-Erstellung
Sobald die Verzeichnissynchronisierung konfiguriert ist, werden Benutzeraccounts mit Apple Business synchronisiert und ihnen wird die Rolle „Mitarbeiter:in“ zugewiesen. Die synchronisierten Account-Informationen werden schreibgeschützt hinzugefügt, die Rollen des Benutzeraccounts können jedoch bearbeitet werden. Dieses Attribut wird im Benutzeraccount in Apple Business gespeichert und nicht an Google Workspace, Microsoft Entra ID oder deinen IdP zurückgesendet.
Sobald die verknüpfte Authentifizierung deaktiviert wird, werden Accounts zu manuellen Accounts. Attribute in diesen Accounts (etwa Benutzernamen) können dann bearbeitet werden.
Account-Änderung
Die Verzeichnissynchronisierung überwacht Änderungen an den synchronisierten Attributen und aktualisiert geänderte Attribute automatisch in Apple Business. Das Intervall für die Synchronisierung der Änderungen hängt vom IdP ab.
Account-Entfernung
Sobald ein Benutzeraccount in Google Workspace, Microsoft Entra ID oder deinem IdP entfernt wird, wird der entsprechende Account in Apple Business deaktiviert und zur Löschung markiert. Ein deaktivierter Account wird von allen Geräten abgemeldet und kann nicht wieder angemeldet werden. Wenn der Account nicht innerhalb der nächsten 30 Tage erneut synchronisiert wird, wird er automatisch entfernt.
Mehr zum Thema Personen-ID
Um in Konflikt stehende Accounts zu erkennen, wird bei der ersten Synchronisierung eines Benutzeraccounts mittels OIDC mit Apple Business automatisch eine Personen-ID für diesen Benutzeraccount erstellt.
Wenn du die Personen-ID in Apple Business für einen Benutzeraccount änderst, der zuvor synchronisiert wurde, wird dieser Benutzeraccount nicht mehr mit Google Workspace, Microsoft Entra ID oder deinem IdP gekoppelt. Wenn du diesen Benutzeraccount wieder verbinden möchtest, musst du den Konflikt bei der Personen-ID lösen.