Requisitos de sincronización de Azure AD en Apple Business Manager
Puedes usar SCIM (Sistema de administración de identidades entre dominios) para importar usuarios en Apple Business Manager. Con este sistema, puedes fusionar propiedades de Apple Business Manager (como funciones) con los datos de las cuentas de usuario importadas de Microsoft Azure Active Directory (Azure AD). Cuando utilizas SCIM para importar usuarios, la información de cuenta se agrega como de solo lectura hasta que te desconectas de SCIM. En ese momento, las cuentas se vuelven cuentas manuales y se pueden editar los atributos de estas. La sincronización inicial tarda más en realizarse que los ciclos posteriores, que se producen aproximadamente cada 40 minutos siempre que se esté ejecutando el servicio de aprovisionamiento de Azure AD. Consulta Sugerencias para el aprovisionamiento en el sitio web de documentación de Microsoft Azure.
Privilegios de Azure AD
Las siguientes funciones de Azure AD pueden utilizar SCIM para sincronizar cuentas con Apple Business Manager:
Administrador de la aplicación
Administrador de la aplicación en la nube
Propietario de la aplicación
Administrador global
Consulta Funciones incorporadas de Azure AD en el sitio web de Microsoft Azure AD.
Inquilinos de Azure AD
Para usar SCIM con Apple Business Manager, tu organización no debe tener el mismo inquilino de Azure AD que cualquier otra organización de Apple Business Manager. Si quieres usar SCIM para tu organización, ponte en contacto con el administrador de Azure AD para asegurarte de que ninguna otra organización de utilice tu inquilino de Azure AD para SCIM.
Grupos de Azure AD
En Azure AD, la palabra Grupos se utiliza en ambos métodos de sincronización, pero solo se sincronizan las cuentas de usuario. Puedes agregar grupos de Azure AD a la app Apple Business Manager Azure AD. Por ejemplo, si tienes grupos en Azure AD con los nombres Ingeniería, Marketing y Ventas, puedes agregar estos tres grupos a la app Apple Business Manager Azure AD. Al conectarte mediante SCIM, sólo las cuentas de estos grupos se sincronizarán en Apple Business Manager.
Nota: No se pueden crear subgrupos en la app Apple Business Manager Azure AD.
Alcance de aprovisionamiento
Hay dos maneras de sincronizar las cuentas de Azure AD en Apple Business Manager.
Sincronizar sólo usuarios y grupos asignados: esta opción sincroniza únicamente las cuentas que aparecen en la app Apple Business Manager Azure AD en Apple Business Manager. Cuando utilizas este método de sincronización, las cuentas de Azure AD deben tener la función de usuario para poder sincronizarse con Apple Business Manager.
Sincronizar todos los usuarios y grupos: esta opción sincroniza todas las cuentas (no se pueden sincronizar grupos) que aparecen en la pestaña Usuario de Azure AD en Apple Business Manager y crea Apple ID administrados para todas las cuentas de Azure AD vinculadas, incluso si tienes la intención de usar sólo un número específico de cuentas.
Consulta los artículos del Soporte técnico de Microsoft ¿Qué es el aprovisionamiento automatizado de usuarios de aplicaciones SaaS en Azure AD? y Attribute-based application provisioning with scoping filters (Aprovisionamiento de aplicaciones basado en atributos con filtros de ámbito.
Notificaciones de aprovisionamiento
Cuando configures el aprovisionamiento, debes usar la dirección de correo electrónico de un usuario con la función de administración o administración de personas para que puedan recibir notificaciones de Azure AD.
SCIM y autenticación vinculada
Si la vinculación ya está activada cuando las cuentas de Azure AD se envían a Apple Business Manager, no verás ninguna actividad, aunque las cuentas se seguirán sincronizando desde el dominio vinculado.
Azure AD es el Proveedor de identidad (PI), que autentica al usuario para Apple Business Manager y emite identificadores de autenticación. Debido a que Apple Business Manager es compatible con Azure AD, otros PI que se conecten a Azure AD, como los servicios de vinculación de Active Directory (ADFS), también funcionarán. La autenticación vinculada usa el Lenguaje de Marcado para Confirmaciones de Seguridad (SAML, por sus siglas en inglés) para conectar Apple Business Manager con Azure AD.
Cuentas de usuario de Azure AD y de Apple Business Manager
Cuando se copia un usuario de Azure AD a Apple Business Manager mediante SCIM, la función por defecto es Personal. Una vez finalizada la sincronización, solo se puede editar el atributo de usuario de las funciones. Este atributo se almacena con la cuenta de usuario en Apple Business Manager y no se vuelve a escribir en Azure AD.
Asignación de atributos de usuario de SCIM
Cuando se copia una cuenta de Azure AD a Apple Business Manager mediante SCIM, los siguientes atributos de usuario se almacenan como de sólo lectura. La tabla también indica si se necesita un atributo.
Importante: Si se agregan atributos que no aparecen en la tabla, la conexión SCIM se interrumpe.
Atributo de usuario de Azure AD | Atributo de usuario de Apple Business Manager | Requerido |
---|---|---|
Nombre | Nombre | |
Apellido | Apellido | |
Nombre principal de usuario | Apple ID administrado y dirección de correo electrónico | |
ID de objeto | (No se muestra en Apple Business Manager. Este atributo se utiliza para identificar las cuentas en conflicto). | |
Departamento | Departamento | |
ID de empleado | Número personal | |
Atributo personalizado (se debe crear en la app Apple Business Manager Azure AD) | Centro de costo | |
Atributo personalizado (se debe crear en la app Apple Business Manager Azure AD) | División |
Nombre principal de usuario
Si un usuario tiene un nombre principal de usuario (UPN) que es exactamente el mismo que un usuario existente que tiene la función de administrador, no se realiza ninguna sincronización y el campo de fuente permanece sin cambios.
ID personal
Cuando un usuario de Azure AD se sincroniza en Apple Business Manager, se crea un ID personal para la cuenta de usuario de Apple Business Manager. El ID personal y el ID de objeto se usan para identificar las cuentas en conflicto.
Si modificas el ID personal de una cuenta que se importó anteriormente desde SCIM, esa cuenta ya no estará enlazada con Azure AD. Si modificaste el ID personal de una cuenta que se importó anteriormente desde SCIM y deseas volver a conectar la cuenta a SCIM, consulta Resolver los conflictos de cuentas de usuario de SCIM.
Recomendaciones
Sólo debes usar la app Apple Business Manager Azure AD cuando te conectes con SCIM.
Si tienes un dominio verificado, pero no activaste la autenticación vinculada, antes de activar la vinculación, debes asegurarte de que los usuarios de Azure AD se hayan enviado a Apple Business Manager. Para ello, tienes que ver los registros de aprovisionamiento de Azure AD. Después de verificar que los usuarios de Azure AD se hayan enviado, se te notificará mediante una actividad el momento en que los usuarios de Azure AD se aprovisionen. Si la vinculación ya está activada cuando los usuarios de Azure AD se envían, no verás ninguna actividad, pero las cuentas seguirán sincronizadas.
Si tienes un grupo configurado en Azure AD, puedes agregarlo a la app Apple Business Manager Azure AD en lugar de agregar a los usuarios uno por uno.
Importante: No vuelvas a utilizar un nombre de usuario durante 30 días en la app Apple Business Manager Azure AD.
Antes de empezar
Antes de empezar, debes hacer lo siguiente:
Configura y verifica el dominio que quieras usar. Consulta Vincular con dominios nuevos.
Configura (pero no actives) la autenticación vinculada. Consulta Activar y probar la autenticación vinculada.
Nota: Si la autenticación vinculada ya está activada, aún puedes continuar. Consulta las recomendaciones de la sección anterior.
Determina el tipo de sincronización en Azure AD y de ser necesario, crea grupos para sincronizar sólo las cuentas asignadas a la app Apple Business Manager Azure AD:
Sincronizar sólo usuarios asignados.
Sincronizar todos los usuarios.
Ten a disposición a un administrador de Azure ID con permisos para editar apps empresariales. Cuando ambos estén listos, consulta Usar SCIM para importar usuarios.