Sincronizar usuarios del proveedor de identidad en Apple Business Manager
En Apple Business Manager, puedes usar el Sistema de administración de identidades entre dominios (SCIM) para sincronizar los usuarios del proveedor de identidad (PI). Cuando usas SCIM para sincronizar usuarios, la información de la cuenta se agrega como de solo lectura hasta que te desconectas. En ese momento, las cuentas se vuelven cuentas manuales y se pueden editar sus atributos (como los nombres de usuario). La sincronización inicial tarda más en realizarse que los ciclos posteriores. Consulta la documentación de tu PI para obtener información sobre la frecuencia con la que sincronizan usuarios con Apple Business Manager.
Antes de empezar
Antes de comenzar a crear una conexión SCIM, ya deberías haberte conectado correctamente mediante la autenticación vinculada. Consulta Usar la autenticación vinculada con tu proveedor de identidad. Luego, comunícate con tu PI y asegúrate de tener la siguiente información:
Campo de identificador único para usuarios: el valor de este atributo normalmente es la dirección de correo electrónico del usuario. Esta se usa para crear el Apple ID administrado del usuario. Por ejemplo, podría ser userName.
Método de autenticación: SAML 2.0.
Modo de autenticación: OAuth 2.
URL de inicio de sesión único: consulta la documentación de tu PI.
URL de retrollamada de autorización: consulta la documentación de tu PI.
SCIM y autenticación vinculada
La autenticación vinculada está activada y es posible que ya esté activada. Si ya está activada, cuando las cuentas de PI se envían a Apple Business Manager, no verás ninguna actividad, aunque las cuentas se siguen sincronizando desde el dominio vinculado.
Cuentas de usuario de PI y Apple Business Manager
Cuando se copia un usuario de tu PI a Apple Business Manager a través de SCIM, la función por defecto es personal.
Nota: Los grupos de usuarios de tu PI no están sincronizados con Apple Business Manager. Si deseas los mismos grupos, puedes crear nuevos grupos en Apple Business Manager y agregarles usuarios.
Atributo de inicio de sesión
Apple Business Manager requiere que el atributo que se use para el Apple ID administrado sea único. Este suele ser la dirección de correo electrónico. Si un usuario tiene un atributo que es exactamente el mismo que el de un usuario existente de Apple Business Manager con la función de administrador, no se realiza ninguna sincronización, y el campo de origen permanece sin cambios.
ID personal
Cuando un usuario de PI se sincroniza con Apple Business Manager, se crea un ID personal para la cuenta de usuario de Apple Business Manager. El ID personal se usa para identificar las cuentas de usuario en conflicto.
Consideraciones importantes si modificas el ID personal:
Si modificas el ID personal de una cuenta que se importó anteriormente desde SCIM, esa cuenta ya no estará enlazada con el PI.
Si modificas el ID personal de una cuenta que se importó anteriormente desde SCIM y deseas volver a conectar la cuenta, debes resolver el conflicto del usuario.
Inicia sesión con tu PI
Inicia sesión con tu PI como administrador y luego realiza una de las siguientes acciones:
Ubica la app que creó tu PI. Es posible que puedas omitir varios pasos en esta tarea.
Ve hasta donde puedes crear una app o conexión.
Crea la app con la siguiente información:
Importante: Recuerda el nombre de la app de SCIM porque es posible que lo necesites para la URL de retrollamada de autorización.
Apple Business Manager: usa AppleBusinessManagerSCIM.
Tipo de app: usa SCIM.
Método de autenticación: usa SAML 2.0.
URL de inicio de sesión único usada para el destinatario y el destino: consulta la documentación de tu PI.
URI de audiencia: usa el ID de entidad.
Guarda los cambios.
Configurar las opciones de aprovisionamiento de la app de SCIM
Ubica la sección de aprovisionamiento de la app de SCIM de tu PI y luego ingresa los siguientes valores:
URL base del conector SCIM: https://federation.apple.com/feeds/business/scim
URI del identificador de acceso: https://appleid.apple.com/auth/oauth2/v2/token
URI de autorización: https://appleid.apple.com/auth/oauth2/v2/authorize
ID de cliente: 123
Secreto de cliente: 123
Importante: Como aún no sabes el ID de cliente de SCIM ni el secreto de cliente, se usa 123 como marcador de posición. Reemplazarás estos valores en una tarea posterior.
Modo de autenticación: OAuth 2.
Campo de identificador único para usuarios: consulta la documentación de tu PI.
Importante: Asegúrate de que coincida con el caso del identificador.
Acciones de aprovisionamiento admitidas:
Importa nuevos usuarios y actualizaciones de perfiles.
Envía nuevos usuarios.
Envía actualizaciones de perfiles.
Guarda los cambios.
Crear la URL de la retrollamada de autorización
Debes crear una URL de retrollamada autorizada para que Apple Business Manager obtenga registros de usuario de tu PI a través de SCIM. Esta URL de retrollamada se basa en el nombre de la app de SCIM que creaste en tu PI.
Recuerda el nombre de tu app de SCIM. Por ejemplo:
Apple Business Manager: AppleBusinessManagerSCIM
Pega el nombre de la app dentro de la siguiente URL. Por ejemplo:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Guarda la URL de la retrollamada de autorización.
La pegarás en Apple Business Manager en la siguiente tarea.
Crear y copiar la información de cliente de SCIM a tu PI
En Apple Business Manager , inicia sesión con un usuario que tenga la función de administrador o gestor de personas.
Selecciona tu nombre en la parte inferior de la barra lateral, selecciona Preferencias y, luego, selecciona Sincronización del directorio .
Selecciona Activar junto a Sync personalizado.
Pega la URL de la retrollamada de autorización de la tarea anterior y luego selecciona Crear.
Selecciona Aplicación de SCIM y luego selecciona Crear.
Abre un nuevo archivo de texto u hoja de cálculo e ingresa los siguientes valores de Apple Business Manager:
Para el ID de cliente de OIDC, pega el ID de cliente de SCIM.
Para el secreto de cliente de OIDC, pega el secreto de cliente de SCIM.
Selecciona Copiar junto al ID de cliente y luego pega el ID de cliente en el archivo.
Selecciona Secreto de cliente, elige cuánto tiempo debe estar activo el secreto antes de que se venza (6, 9 o 12 meses) y luego pega el secreto de cliente en el archivo.
Importante: Si eliminas u olvidas el secreto de cliente antes de pegarlo en la app de SCIM de tu PI, debes crear un nuevo secreto de cliente.
Selecciona Listo.
Pegar el ID de cliente y el secreto de cliente en la app de SCIM de tu PI y verificar la conexión
Regresa a la sección de aprovisionamiento de la app de SCIM de tu PI y luego pega los siguientes valores:
ID de cliente de SCIM de Apple Business Manager
Secreto de cliente de SCIM de Apple Business Manager
Guarda los cambios.
Si tu PI te permite probar la autenticación con una cuenta de administrador de PI, puedes probarla ahora. Por ejemplo, podría haber un botón en el que se indique “Autenticar con [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM],” o sea cual sea el nombre de tu app de SCIM.
Ingresa el nombre y la contraseña de tu administrador de PI y luego ingresa el valor de la autenticación de dos factores.
Lee la información de autorización en detalle. Si estás de acuerdo, selecciona Continuar.
Si es necesario, ahora puedes activar la autenticación vinculada para este dominio.
Tu PI y Apple Business Manager ahora están configurados para sincronizar cambios de atributos de usuarios específicos de tu PI a Apple Business Manager.