Die verknüpfte Authentifizierung mit deinem Identitätsprovider in Apple Business verwenden
Übersicht
In Apple Business kannst du mittels verknüpfter Authentifizierung eine Verbindung zu deinem Identitätsprovider (IdP) herstellen, damit sich die Benutzer:innen mit ihrem IdP-Benutzernamen (in der Regel ihre E‑Mail-Adresse) und -Passwort auf Apple-Geräten anmelden können.
Anschließend können deine Benutzer:innen ihre IdP-Anmeldedaten als verwalteten Apple Account verwenden. Mit diesen Anmeldedaten können sie sich dann auf dem ihnen zugewiesenen iPhone, iPad, Mac, Apple Vision Pro und auf einem geteilten iPad anmelden. Nachdem sie sich auf einem dieser Geräte angemeldet haben, können sie sich auch bei iCloud im Internet anmelden.
Vorgang der verknüpften Authentifizierung
Dieser Prozess umfasst vier Hauptschritte:
Eine Domain hinzufügen und bestätigen.
Eine neue OIDC (OpenID Connect)-App oder -Verbindung erstellen.
Die verknüpfte Authentifizierung und konfigurieren und die Authentifizierung mit einem einzigen IdP-Benutzeraccount testen.
Verknüpfte Authentifizierung aktivieren.
Wichtig: Beachte Folgendes, bevor du die verknüpfte Authentifizierung konfigurierst.
Schritt 1: Domain bestätigen
Bevor du deine IdP-Benutzeraccounts mit Apple Business anzeigen kannst, musst du die gewünschte Domain hinzufügen und bestätigen.
Siehe Eine Domain hinzufügen und bestätigen.
Mit dem Bestätigungsvorgang wird sichergestellt, dass deine Organisation befugt ist, die DNS (Domain Name Service)-Einträge für deine Domain zu ändern. Um beispielsweise melardclothing.com als deine Domain zu verwenden, fügst du deinem DNS-Server innerhalb von 14 Kalendertagen nach Beginn des Bestätigungsvorgang (der startet, sobald du „Bestätigen“ auswählst) einen bestimmten TXT-Eintrag hinzu.
Hinweis: Wenn du versuchst, eine Domain zu verknüpfen, die du bereits bestätigt hast, aber eine andere Organisation dieselbe Domain bereits verknüpft hat, musst du dich an diese Organisation wenden, um zu klären, wer zur Verknüpfung der Domain berechtigt ist. Siehe Was sind Domainkonflikte?.
Schritt 2: Neue OIDC-App oder -Verbindung erstellen
Um eine Verbindung mit Apple Business herzustellen, muss dein IdP über eine App verfügen, die bestimmte Einstellungen für die Verknüpfung mit Apple Business umfasst, oder eine solche App erstellen. Da jeder IdP eine andere Methode zum Erstellen von Apps und zum Speichern von Einstellungen verwendet, findest du in der Dokumentation deines IdPs die nötigen Informationen.
Melde dich als Administrator:in bei deinem IdP an, und führe dann einen dieser Schritte aus:
Suche die App, die dein IdP erstellt hat. Unter Umständen kannst du mehrere Schritte dieser Aufgabe überspringen.
Navigiere zum Bildschirm, in dem du eine App oder Verbindung erstellen kannst.
Erstelle die App oder Verbindung mit den folgenden Informationen:
Apple Business: AppleBusinessOIDC
Anmeldemethode: OIDC
Art der App: Web-App
Grant-Typ: Aktualisierungstoken
Redirect-URI: https://gsa-ws.apple.com/grandslam/GsService2/acs
Zugang: Bestimmte Benutzeraccounts zulassen
Scope-Zugriff: Zugriff benötigt für
ssf.manageundssf.read
Sichere die Änderungen.
Auf dieser Seite musst du später bestimmte Informationen in Apple Business einfügen. Die nächste Aufgabe besteht darin, diese Informationen in eine Text- oder Tabellendatei zu kopieren.
Öffne eine neue Text- oder Tabellendatei und gib die folgenden Werte vom IdP ein:
Füge als OIDC-Client-ID die OIDC-Client-ID ein.
Füge als OIDC-Client-Secret das OIDC-Client-Secret ein.
Sichere die Datei an einem sicheren Speicherort.
Schritt 3: Verknüpfte Authentifizierung konfigurieren und Authentifizierung mit einem einzigen IdP-Benutzeraccount testen
Dieser Schritt dient dazu, eine Vertrauensbeziehung zwischen deinem IdP und Apple Business herzustellen.
Hinweis: Nachdem du diesen Schritt abgeschlossen hast, können Benutzer:innen keine neuen nicht verwalteten (persönlichen) Apple Accounts in der von dir konfigurierten Domain erstellen. Dies könnte andere Apple-Dienste beeinträchtigen, auf die Benutzer:innen zugreifen. Siehe Apple-Dienste übertragen.
Melde dich in Apple Business mit einem Benutzeraccount an, dessen Rolle über Zugriffsrechte zum Einrichten und Konfigurieren einer Verknüpfung und zum Herstellen einer Verbindung mit einem Identitätsprovider (IdP) verfügt.
Informationen zu Rollen und Zugriffsrechten findest du unter Einführung in Rollen und Zugriffsrechte.
Wähle „Eigener Identitätsprovider“ und dann „Weiter“ aus.
Gib einen Namen für die verknüpfte Authentifizierungsverbindung ein.
Der Name kann bis zu 128 Zeichen lang sein.
Kopiere die Werte der Client-ID und des Client-Secrets aus der Text- oder Tabellendatei, die du im vorherigen Abschnitt gesichert hast, in Apple Business.
Wende dich an deinen IdP, um URLs für die folgenden beiden Konfigurationen zu erhalten:
Shared Signals Framework (SSF)
OpenID
Wähle „Weiter“ aus.
Wenn die angegebenen Werte gültig sind, wird die Anmeldeseite deines IdPs angezeigt. Fahre mit Schritt 8 fort.
Melde dich mit dem Benutzernamen und Passwort eines:r IdP-Administrator:in an.
Wähle „Fertig“ aus.
Schritt 4: Verknüpfte Authentifizierung aktivieren
Hinweis: Benutzer:innen, deren Rolle über Zugriffsrechte zum Einrichten und Konfigurieren der Verknüpfung zu einem Identitätsprovider verfügt, können sich nicht mit der verknüpften Authentifizierung anmelden. Sie können nur den Vorgang der Verknüpfung verwalten.
Melde dich in Apple Business mit einem Benutzeraccount an, dessen Rolle über Zugriffsrechte zum Einrichten und Konfigurieren einer Verknüpfung und zum Herstellen einer Verbindung mit einem Identitätsprovider (IdP) verfügt.
Informationen zu Rollen und Zugriffsrechten findest du unter Einführung in Rollen und Zugriffsrechte.
Wähle im Bereich „Domains“ neben der Domain, die du verknüpfen möchtest, die Option „Verwalten“ aus, und wähle dann die Option „Anmeldung mit deinem Identitätsprovider aktivieren“ aus.
Aktiviere die Option „Mit deinem Identitätsprovider anmelden“.
Bei Bedarf kannst du jetzt Benutzeraccounts mit Apple Business synchronisieren. Siehe Benutzeraccounts aus deinem Identitätsprovider synchronisieren.