Introducción a la sincronización de directorios con Apple Business Manager
La sincronización de directorios ayuda a mantener los datos en Apple Business Manager actualizados con tu proveedor de identidad (IdP). Al utilizar la sincronización de directorios, Apple Business Manager recibe información automática de tu proveedor de identidad y puede actualizar la información cuando ocurre lo siguiente:
Se crea una nueva cuenta de usuario
La información de la cuenta de usuario cambia
Se elimina una cuenta de usuario
Puedes usar OpenID Connect (OIDC) con Apple Business Manager para sincronizar las cuentas de usuario con lo siguiente (pero solo una por vez):
Google Workspace
Microsoft Entra ID
Tu proveedor de identidad
Algunos PI también pueden usar el Sistema de administración de identidades entre dominios (System for Cross-domain Identity Management, SCIM).
Antes de empezar
Antes de sincronizar Google Workspace, Microsoft Entra ID o tu PI, considera lo siguiente:
No se admite la sincronización de grupos de usuarios.
La sincronización inicial tarda más en realizarse que los ciclos posteriores. Consulta la documentación de tu PI para obtener información sobre la frecuencia con la que sincronizan usuarios.
Requisitos
Si es necesario, verifica manualmente un dominio. Consulta Agrega y verifica un dominio.
Debes activar la autenticación vinculada. Consulta Introducción a la autenticación vinculada.
Ten a tu disposición un administrador con permisos para editar Google Workspace, Microsoft Entra ID u otra configuración de PI.
Apple Business Manager requiere que el atributo que se use para la cuenta administrada de Apple sea único. Este suele ser la dirección de correo electrónico. Si un usuario tiene un atributo que es exactamente el mismo que el de un usuario existente de Apple Business Manager con la función de administrador, no se realiza ninguna sincronización, y el campo de origen permanece sin cambios.
Cuando configures la conexión inicial, debes usar la dirección de correo electrónico de un usuario con la función de Administrador o Gestor de personas para que pueda recibir notificaciones de Google Workspace, Microsoft Entra ID u otro proveedor de identidad con el que estés sincronizando.
Requisitos específicos de IdP
Cuando enlaces con Microsoft Entra ID:
Para usar OIDC con Apple Business Manager, tu organización no debe tener el mismo inquilino de Microsoft Entra ID que ninguna otra organización de Apple Business Manager. Si quieres usar OIDC para tu organización, ponte en contacto con el administrador global de Microsoft Entra ID para asegurarte de que ninguna otra organización esté usando tu inquilino de Entra ID para OIDC.
Si una cuenta de usuario tiene un nombre principal de usuario (UPN) que es exactamente igual que el de una cuenta de usuario existente que tiene la función de administrador o administrador de personas, no se realiza ninguna sincronización y el campo de fuente permanece sin cambios.
Cuando enlaces con un PI que no sea de Google Workspace ni de Microsoft Entra ID, debes tener la siguiente información:
Campo de identificador único para usuarios: el valor de este atributo normalmente es la dirección de correo electrónico del usuario. Esta se usa para crear la cuenta administrada de Apple del usuario. Por ejemplo, podría ser userName.
Método de autenticación: SAML 2.0.
Modo de autenticación: OAuth 2.
URL de inicio de sesión único: consulta la documentación de tu PI.
URL de retrollamada de autorización: consulta la documentación de tu PI.
Cambios automáticos
Creación de cuenta
Cuando se configura la sincronización de directorios, las cuentas de usuario se sincronizan con Apple Business Manager y reciben la asignación de la función de Personal. La información de la cuenta sincronizada se agrega como de solo lectura, pero el atributo Funciones de una cuenta de usuario se puede editar. Estos atributos se almacenan con la cuenta de usuario en Apple Business Manager y no se vuelven a escribir en Google Workspace, Microsoft Entra ID o tu proveedor de identidad.
Cuando se desactiva la autenticación vinculada, las cuentas se convierten en cuentas manuales y los atributos de estas cuentas (como los nombres de usuario) se pueden editar.
Modificación de cuenta
La sincronización de directorios supervisa los cambios en los atributos sincronizados y los actualiza automáticamente en Apple Business Manager. El intervalo en el que se sincronizan esos cambios depende del proveedor de identidad.
Eliminación de cuenta
Cuando se elimina una cuenta de usuario en Google Workspace, Microsoft Entra ID o tu proveedor de identidad, la cuenta correspondiente en Apple Business Manager se desactiva y se marca para su eliminación. La sesión de una cuenta desactivada se cierra en los dispositivos y no se puede volver a iniciar. A menos que la cuenta se sincronice nuevamente dentro de los siguientes 30 días, se elimina automáticamente.
Acerca del ID personal
Para identificar cuentas en conflicto, cuando una cuenta de usuario se sincroniza por primera vez mediante OIDC en Apple Business Manager, se genera un ID personal automáticamente para esa cuenta de usuario.
Si modificas el ID personal en Apple Business Manager de una cuenta de usuario sincronizada anteriormente, esa cuenta de usuario ya no estará enlazada con Google Workspace, Microsoft Entra ID o tu proveedor de identidad. Si quieres volver a conectar la cuenta de usuario, debes resolver el conflicto del ID personal.