Sincronizar cuentas de usuario de tu proveedor de identidad en Apple Business Manager
En Apple Business Manager, puedes usar OpenID Connect (OIDC) o el Sistema de administración de identidades entre dominios (System for Cross-domain Identity Management, SCIM) para sincronizar las cuentas de usuario de tu proveedor de identidad (PI). Con este sistema, puedes fusionar propiedades de Apple Business Manager (como funciones) con los datos de las cuentas de usuario importadas de tu PI. Cuando usas SCIM para sincronizar usuarios, la información de la cuenta se agrega como de solo lectura hasta que te desconectas. En ese momento, las cuentas se vuelven cuentas manuales y se pueden editar sus atributos (como los nombres de usuario). La sincronización inicial tarda más en realizarse que los ciclos posteriores. Consulta la documentación de tu PI para obtener información sobre la frecuencia con la que sincronizan usuarios con Apple Business Manager.
Importante: Solo tienes 4 días naturales para completar la transferencia del identificador a tu PI y establecer correctamente una conexión; de lo contrario, deberás volver a iniciar el proceso.
Antes de empezar
Antes de efectuar la sincronización con tu PI mediante una conexión de OIDC, debes hacer lo siguiente:
Configura y verifica el dominio que quieras usar. Consulta Agregar y verificar un dominio.
Configura, vincula y activa un dominio. Consulta Usar la autenticación vinculada con tu proveedor de identidad.
Dispón de un administrador de PI con permisos para editar la configuración.
Asegúrate de disponer de la siguiente información y luego ponte en contacto con tu PI:
Campo de identificador único para usuarios: el valor de este atributo normalmente es la dirección de correo electrónico del usuario. Esta se usa para crear la cuenta de Apple administrada del usuario. Por ejemplo, podría ser userName.
Método de autenticación: SAML 2.0.
Modo de autenticación: OAuth 2.
URL de inicio de sesión único: consulta la documentación de tu PI.
URL de retrollamada de autorización: consulta la documentación de tu PI.
Cuentas de usuario de PI y Apple Business Manager
Cuando se copia un usuario de tu PI a Apple Business Manager a través de SCIM, la función por defecto es personal.
Nota: Los grupos de usuarios de tu PI no están sincronizados con Apple Business Manager. Si deseas los mismos grupos, puedes crear nuevos grupos en Apple Business Manager y agregarles usuarios.
Atributo de inicio de sesión
Apple Business Manager requiere que el atributo que se use para la cuenta de Apple administrada sea único. Este suele ser la dirección de correo electrónico. Si un usuario tiene un atributo que es exactamente el mismo que el de un usuario existente de Apple Business Manager con la función de administrador, no se realiza ninguna sincronización, y el campo de origen permanece sin cambios.
ID personal
Cuando una cuenta de usuario del PI se sincroniza con Apple Business Manager, se crea un ID personal para la cuenta de usuario de Apple Business Manager. El ID personal se usa para identificar las cuentas de usuario con conflictos.
Consideraciones importantes si modificas el ID personal:
Si modificas el ID personal de una cuenta de usuario que se importó anteriormente desde tu PI, esa cuenta ya no estará enlazada con el PI.
Si modificas el ID personal de una cuenta de usuario que se importó anteriormente desde tu PI y deseas volver a conectar la cuenta de usuario, debes resolver el conflicto.
Inicia sesión con tu PI
Inicia sesión con tu PI como administrador y luego realiza una de las siguientes acciones:
Ubica la app que creó tu PI. Es posible que puedas omitir varios pasos en esta tarea.
Ve hasta donde puedes crear una app o conexión.
Crea la app con la siguiente información:
Importante: Recuerda el nombre de la app de SCIM porque es posible que lo necesites para la URL de retrollamada de autorización.
Apple Business Manager: usa AppleBusinessManagerSCIM.
Tipo de app: usa SCIM.
Método de autenticación: usa SAML 2.0.
URL de inicio de sesión único usada para el destinatario y el destino: consulta la documentación de tu PI.
URI de audiencia: usa el ID de entidad.
Guarda los cambios.
Configurar las opciones de aprovisionamiento de la app de SCIM
Ubica la sección de aprovisionamiento de la app de SCIM de tu PI y luego ingresa los siguientes valores:
URL base del conector SCIM: https://federation.apple.com/feeds/business/scim
URI del identificador de acceso: https://appleaccount.apple.com/auth/oauth2/v2/token
URI de autorización: https://appleaccount.apple.com/auth/oauth2/v2/authorize
ID de cliente: 123
Secreto de cliente: 123
Importante: Como aún no sabes el ID de cliente de SCIM ni el secreto de cliente, se usa 123 como marcador de posición. Reemplazarás estos valores en una tarea posterior.
Modo de autenticación: OAuth 2.
Campo de identificador único para usuarios: consulta la documentación de tu PI.
Importante: Asegúrate de que coincida con el caso del identificador.
Acciones de aprovisionamiento admitidas:
Importa nuevos usuarios y actualizaciones de perfiles.
Envía nuevos usuarios.
Envía actualizaciones de perfiles.
Guarda los cambios.
Crear la URL de la retrollamada de autorización
Debes crear una URL de retrollamada autorizada para que Apple Business Manager obtenga registros de usuario de tu PI a través de SCIM. Esta URL de retrollamada se basa en el nombre de la app de SCIM que creaste en tu PI.
Recuerda el nombre de tu app de SCIM. Por ejemplo:
Apple Business Manager: AppleBusinessManagerSCIM
Pega el nombre de la app dentro de la siguiente URL. Por ejemplo:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Guarda la URL de la retrollamada de autorización.
La pegarás en Apple Business Manager en la siguiente tarea.
Crear y copiar la información de cliente de SCIM a tu PI
En Apple Business Manager , inicia sesión con un usuario que tenga la función de administrador o gestor de personas.
Selecciona tu nombre en la parte inferior de la barra lateral, selecciona Preferencias y luego selecciona cuentas administradas de Apple .
Selecciona Activar junto a Sync personalizado.
Pega la URL de la retrollamada de autorización de la tarea anterior y luego selecciona Crear.
Selecciona Aplicación de SCIM y luego selecciona Crear.
Abre un nuevo archivo de texto u hoja de cálculo e ingresa los siguientes valores de Apple Business Manager:
Para el ID de cliente de OIDC, pega el ID de cliente de SCIM.
Para el secreto de cliente de OIDC, pega el secreto de cliente de SCIM.
Selecciona Copiar junto al ID de cliente y luego pega el ID de cliente en el archivo.
Selecciona Secreto de cliente, elige cuánto tiempo debe estar activo el secreto antes de que se venza (6, 9 o 12 meses) y luego pega el secreto de cliente en el archivo.
Importante: Si eliminas u olvidas el secreto de cliente antes de pegarlo en la app de SCIM de tu PI, debes crear un nuevo secreto de cliente.
Selecciona Listo.
Pegar el ID de cliente y el secreto de cliente en la app de SCIM de tu PI y verificar la conexión
Regresa a la sección de aprovisionamiento de la app de SCIM de tu PI y luego pega los siguientes valores:
ID de cliente de SCIM de Apple Business Manager
Secreto de cliente de SCIM de Apple Business Manager
Guarda los cambios.
Si tu PI te permite probar la autenticación con una cuenta de administrador de PI, puedes probarla ahora. Por ejemplo, podría haber un botón en el que se indique “Autenticar con [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM],” o sea cual sea el nombre de tu app de SCIM.
Ingresa el nombre y la contraseña de tu administrador de PI y luego ingresa el valor de la autenticación de dos factores.
Lee la información de autorización en detalle. Si estás de acuerdo, selecciona Continuar.
Si es necesario, ahora puedes activar la autenticación vinculada para este dominio.
Tu PI y Apple Business Manager ahora están configurados para sincronizar cambios de atributos de usuarios específicos de tu PI a Apple Business Manager.