Requisitos de sincronización de Azure AD con Apple Business Manager
Puedes usar SCIM (Sistema para la gestión de identidades entre dominios) para importar usuarios en Apple Business Manager. Este sistema permite fusionar propiedades de Apple Business Manager (como las funciones) con datos de la cuenta del usuario importados de Microsoft Azure Active Directory (Azure AD). Si utilizas SCIM para importar usuarios, la información de la cuenta se añadirá como información de solo lectura hasta que interrumpas la conexión con SCIM. En ese momento, las cuentas pasarán a ser manuales y sus atributos se podrán editar. La sincronización inicial es más lenta que los ciclos posteriores, que tienen lugar aproximadamente cada 40 minutos (siempre que el servicio de aprovisionamiento de Azure AD esté activo). Consulta Sugerencias de aprovisionamiento en el sitio web de la documentación de Microsoft Azure.
Privilegios de Azure AD
Las siguientes funciones de Azure AD pueden usar SCIM para sincronizar cuentas en Apple Business Manager:
Administrador de aplicaciones
Administrador de aplicaciones en la nube
Propietario de la aplicación
Administrador global
Consulta Roles integrados de Azure AD en el sitio web de Microsoft Azure AD.
Inquilinos de Azure AD
Para usar SCIM con Apple Business Manager, tu organización no puede tener el mismo inquilino de Azure AD que otra organización de Apple Business Manager. Si quieres usar SCIM para tu organización, contacta con tu administrador de Azure AD para asegurarte de que ninguna otra organización utiliza tu inquilino de Azure AD para SCIM.
Grupos de Azure AD
En Azure AD, ambos métodos de sincronización utilizan la palabra Grupos, pero solo se sincronizan cuentas de usuario. Puedes añadir grupos de Azure AD a la app Apple Business Manager Azure AD. Por ejemplo, si tienes grupos en Azure AD llamados Ingeniería, Marketing y Ventas, puedes añadirlos a la app Apple Business Manager Azure AD. Cuando te conectes mediante SCIM, solo las cuentas de esos grupos se sincronizarán en Apple Business Manager.
Nota: La app Apple Business Manager Azure AD no admite subgrupos.
Ámbito de aprovisionamiento
Las cuentas de Azure AD se pueden sincronizar en Apple Business Manager de dos formas.
Sincronizar solo los usuarios y grupos asignados: esta opción solo sincroniza en Apple Business Manager las cuentas que aparecen en la app Apple Business Manager Azure AD. Si se utiliza este método de sincronización, las cuentas de Azure AD deben tener la función de usuario para sincronizarse con Apple Business Manager.
Sincronizar todos los usuarios y grupos: esta opción sincroniza en Apple Business Manager todas las cuentas (la sincronización de grupos no es compatible) que aparecen en la pestaña de usuario de Azure AD y crea ID de Apple gestionados para todas las cuentas de Azure AD vinculadas, aunque solo vayas a usar un número de cuentas específico.
Consulta los artículos de soporte técnico de Microsoft ¿Qué es el aprovisionamiento de aplicaciones en Azure Active Directory? y Aprovisionamiento de aplicaciones basado en atributos con filtros de ámbito.
Notificaciones de aprovisionamiento
Cuando configures el aprovisionamiento, utiliza la dirección de correo electrónico de un usuario que tenga la función de administrador o gestor de personas para que pueda recibir notificaciones de Azure AD.
SCIM y autenticación vinculada
Si la vinculación ya está activada cuando las cuentas de Azure AD se envíen a Apple Business Manager, no verás una actividad, pero las cuentas del dominio vinculado se sincronizarán.
Azure AD es el proveedor de identidad (IdP) que autentica al usuario en Apple Business Manager y emite los identificadores de autenticación. Como Apple Business Manager es compatible con Azure AD, otros IdP que se conecten a Azure AD, como los Servicios de federación de Active Directory (ADFS), también funcionarán. La autenticación vinculada usa el Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) para conectar Apple Business Manager con Azure AD.
Cuentas de usuario de Azure AD y Apple Business Manager
Cuando se copia un usuario de Azure AD en Apple Business Manager mediante SCIM, la función predeterminada es la de miembro del personal. Una vez que la sincronización haya finalizado, solo se podrá editar el atributo de usuario “Funciones”. Este atributo se almacena con la cuenta de usuario en Apple Business Manager y no se copia otra vez en Azure AD.
Asignación de atributos de usuario de SCIM
Cuando se copia una cuenta de Azure AD en Apple Business Manager mediante SCIM, los siguientes atributos de usuario se guardan como de solo lectura. La tabla también especifica si el atributo de usuario es obligatorio.
Importante: Si se añaden atributos que no constan en la tabla, la conexión SCIM se desactivará.
Atributo de usuario de Azure AD | Atributo de usuario en Apple Business Manager | Obligatorio |
---|---|---|
Nombre | Nombre | |
Apellidos | Apellidos | |
Nombre principal de usuario | ID de Apple gestionado y dirección de correo electrónico | |
ID de objeto | (No se muestra en Apple Business Manager. Este atributo se utiliza para identificar cuentas en conflicto). | |
Departamento | Departamento | |
ID de empleado | Número personal | |
Atributo personalizado (debe crearse en la app Apple Business Manager Azure AD) | Centro de costes | |
Atributo personalizado (debe crearse en la app Apple Business Manager Azure AD) | División |
Nombre principal de usuario
Si un usuario tiene un nombre principal de usuario (UPN) que coincide exactamente con un usuario existente que tiene el rol de administrador, no se lleva a cabo la sincronización y se conserva el campo de origen.
ID personal
Al sincronizar una cuenta de usuario de Azure AD en Apple Business Manager, se crea un ID personal para la cuenta de usuario de Apple Business Manager. El ID personal y el ID de objeto se usan para identificar cuentas en conflicto.
Si modificas el ID personal de una cuenta importada previamente desde SCIM, esa cuenta dejará de estar enlazada con Azure AD. Si has modificado el ID personal de una cuenta importada previamente desde SCIM y quieres volver a conectar la cuenta con SCIM, consulta Resolver los conflictos de cuentas de usuario de SCIM.
Recomendaciones
Deberías utilizar solo la app Apple Business Manager Azure AD cuando te conectes a SCIM.
Si tienes un dominio verificado, pero no has activado la autenticación vinculada, no deberías activar la vinculación hasta haber verificado que se han enviado las cuentas de Azure AD a Apple Business Manager. Para comprobarlo, consulta los registros de aprovisionamiento de Azure AD. Tras verificar que se han enviado los usuarios de Azure AD, al activar la vinculación, una actividad te notificará cuando los usuarios de Azure AD completen el aprovisionamiento. Si la vinculación ya está activada cuando se envíen las cuentas de Azure AD, no verás una actividad, pero las cuentas se sincronizarán.
Si tienes un grupo configurado en Azure AD, puedes añadirlo a la app Apple Business Manager Azure AD, en lugar de añadir los usuarios de forma individual.
Importante: No reutilices un nombre de usuario en un periodo de 30 días en la app Apple Business Manager Azure AD.
Antes de empezar
Antes de empezar, debes hacer lo siguiente:
Configura y verifica el dominio que quieras utilizar. Consulta Enlazar a nuevos dominios.
Configura la autenticación vinculada (pero no la actives). Consulta Activar y probar la autenticación vinculada.
Nota: Si la autenticación vinculada ya está activada, puedes proceder igualmente. Consulta las recomendaciones de la sección anterior.
Determina el tipo de sincronización en Azure AD y, si es necesario, crea grupos para sincronizar solo las cuentas asignadas en la app Apple Business Manager Azure AD:
Sincronizar solo los usuarios asignados.
Sincronizar todos los usuarios.
Ten localizable un administrador de Azure AD que tenga permisos para modificar aplicaciones empresariales. Cuando ambas partes estéis preparadas, consulta Usar SCIM para importar usuarios.