Azure AD:n synkronointivaatimukset Apple Business Managerissa
SCIM:llä voit tuoda käyttäjiä Apple Business Manageriin. Tällä järjestelmällä yhdistät Apple Business Managerin ominaisuudet (esimerkiksi roolit) tilitietoihin, jotka on tuotu Microsoft Azure Active Directorysta (Azure AD). Kun tuot käyttäjät SCIM:llä, tilitiedot lisätään Vain luku ‑muodossa, kunnes katkaiset yhteyden SCIM:iin. Tileistä tulee silloin manuaalisia tilejä ja tilien attribuuteista muokattavia. Ensimmäinen synkronointi kestää pidempään kuin sitä seuraavat synkronoinnit, jotka toteutetaan noin 40 minuutin välein aina, kun Azure AD ‑valmistelupalvelu on käynnissä. Lue Microsoft Azuren ohjesivustolta valmisteluvinkkejä.
Azure AD -oikeudet
Seuraavat Azure AD -roolit voivat synkronoida tilejä Apple Business Manageriin SCIM:llä:
Application Administrator
Cloud Application Administrator
Application Owner
Global Administrator.
Lue Microsoft Azuren ohjesivustolta Azure AD:hen sisältyvistä rooleista.
Azure AD -vuokraajat
Jos haluat käyttää SCIM:iä Apple Business Managerin kanssa, organisaatiollasi ei voi olla samaa Azure AD ‑vuokraajaa kuin jollain muulla Apple Business Manager ‑organisaatiolla. Jos haluat käyttää organisaatiosi SCIM:ää, ota yhteyttä Azure AD ‑ylläpitäjään ja varmista, ettei mikään muu organisaatio käytä Azure AD ‑vuokraajaasi SCIM:llä.
Azure AD -ryhmät
Molemmat Azure AD:n synkronointimenetelmät käyttävät sanaa Ryhmät, mutta vain käyttäjätilit synkronoidaan. Voit lisätä Azure AD ‑ryhmiä Apple Business Manager Azure AD ‑appiin. Jos sinulla on Azure AD:ssä esimerkiksi ryhmät nimeltä Suunnittelu, Markkinointi ja Myynti, voit lisätä nämä kolme ryhmää Apple Business Manager Azure AD ‑appiin. Kun yhdistät SCIM:llä, vain näiden ryhmien tilit synkronoidaan Apple Business Manageriin.
Huomaa: Alaryhmiä ei tueta Apple Business Manager Azure AD ‑apissa.
Valmistelun laajuus
Voit synkronoida tilejä Azure AD:stä Apple Business Manageriin kahdella tavalla.
Synkronoi vain liitetyt käyttäjät ja ryhmät: Tämä asetus synkronoi Apple Business Manageriin vain tilit, jotka näkyvät Apple Business Manager Azure AD ‑apissa. Kun synkronoinnissa käytetään tätä tapaa, Azure AD ‑tileillä on oltava käyttäjän rooli, jotta ne voidaan synkronoida Apple Business Manageriin.
Synkronoi kaikki käyttäjät ja ryhmät: Tämä asetus synkronoi Apple Business Manageriin kaikki tilit (ryhmien synkronointia ei tueta), jotka näytetään Azure AD:n Käyttäjä-välilehdellä ja luo rajoitetut Apple ID:t kaikille yhdistetyille Azure AD ‑tileille, vaikka haluaisit käyttää tietyn määrän tilejä.
Katso Microsoftin tukiartikkelit What is app provisioning in Azure Active Directory? (Mitä on appien valmistelu Azure Active Directoryssa?) ja Attribute-based application provisioning with scoping filters (Attribuuttipohjainen appien valmistelu laajuussuodattimilla).
Valmisteluilmoitukset
Kun määrität valmistelun, käytä ylläpitäjän tai henkilöhallinnoijan sähköpostiosoitetta, jotta he voivat vastaanottaa ilmoituksia Azure AD:stä.
SCIM ja yhdistetty todennus
Jos yhdistäminen on jo käytössä, kun Azure AD ‑tilit lähetetään Apple Business Manageriin, et näe toimintoa, mutta tilit synkronoituvat silti yhdistetystä domainista.
Azure AD on identiteetin tarjoaja (IdP), joka todentaa käyttäjän Apple Business Manageriin ja myöntää todennustunnukset. Koska Apple Business Manager tukee Azure AD:tä, muut identiteetin tarjoajat, jotka ovat yhteydessä Azure AD:hen (esimerkiksi Active Directory Federated Services, ADFS), toimivat myös. Yhdistetty todennus käyttää Security Assertion Markup Language (SAML) ‑standardia Apple Business Managerin yhdistämiseen Azure AD:hen.
Azure AD:n käyttäjätilit Apple Business Managerissa
Kun käyttäjä kopioidaan Azure AD:stä SCIM:llä Apple Business Manageriin, oletusrooli on Henkilökunta. Kun synkronointi on valmis, vain Roolit-käyttäjämääritettä voi muokata. Tämä määrite tallennetaan käyttäjätilille Apple Business Managerissa, eikä sitä tallenneta Azure AD:hen.
SCIM-käyttäjämääritteiden kartoittaminen
Kun tili kopioidaan Azure AD:stä Apple Business Manageriin SCIM:llä, seuraavat käyttäjämääritteet tallennetaan Vain luku -muodossa. Taulukko osoittaa myös sen, onko käyttäjän määrittely tarpeen.
Tärkeää: Jos lisäät määritteitä, joita ei ole lueteltu taulukossa, SCIM-yhteys ei toimi.
Azure AD -käyttäjämäärite | Apple Business Managerin käyttäjämäärite | Pakollinen |
|---|---|---|
Etunimi | Etunimi |
|
Sukunimi | Sukunimi |
|
Käyttäjän ensisijainen nimi | Rajoitettu Apple ID ja sähköpostiosoite |
|
Objektin tunnus | (Ei näytetä Apple Business Managerissa. Tällä määritteellä tunnistetaan ristiriitaiset tilit.) |
|
Osasto | Osasto |
|
Työntekijätunnus | Henkilön numero |
|
Mukautettu määrite (luotava Apple Business Manager Azure AD -apissa) | Kustannuspaikka |
|
Mukautettu määrite (luotava Apple Business Manager Azure AD -apissa) | Jaosto |
|
Käyttäjän ensisijainen nimi
Jos käyttäjän ensisijainen nimi on täysin sama kuin olevassa olevalla käyttäjällä, jolla on ylläpitäjän rooli, synkronointia ei tehdä, jolloin lähdekenttä pysyy ennallaan.
Henkilön tunnus
Kun Azure AD -käyttäjä synkronoidaan Apple Business Manageriin, Apple Business Manager ‑käyttäjätilille luodaan henkilön tunnus. Ristiriitaiset tilit tunnistetaan henkilön tunnuksen ja objektin tunnuksen perusteella.
Jos muokkaat aiemmin SCIM:stä tuodun tilin henkilön tunnusta, tätä tiliä ei enää yhdistetä Azure AD:hen. Jos muokkaat sellaisen tilin henkilön tunnusta, joka on tuotu aiemmin SCIM:stä, ja haluat yhdistää tilin uudelleen SCIM:iin, lue ohjeet SCIM-käyttäjätiliristiriitojen ratkaisemiseen.
Suositukset
Käytä Apple Business Manager Azure AD -appia vain, kun muodostat SCIM-yhteyden.
Jos olet vahvistanut domainin, mutta et ole ottanut yhdistettyä todennusta käyttöön, ota yhdistäminen käyttöön vasta, kun olet vahvistanut, että Azure AD ‑käyttäjät on lähetetty Apple Business Manageriin. Voit varmistaa tämän Azure AD:n valmistelulokeista. Vahvista, että Azure AD ‑käyttäjät on lähetetty ja ota sitten yhdistäminen käyttöön. Sinulle ilmoitetaan toiminnolla, kun Azure AD ‑käyttäjiä valmistellaan. Et näe toimintoa, jos yhdistäminen on jo käytössä, kun Azure AD ‑käyttäjät lähetetään. Tilit synkronoidaan siitä huolimatta.
Jos sinulla on Azure AD:ssä ryhmä määritettynä, voit lisätä sen Apple Business Manager Azure AD ‑appiin yksittäisten käyttäjien lisäämisen sijaan.
Tärkeää: Älä käytä samaa käyttäjätunnusta uudelleen 30 päivän aikana Apple Business Manager Azure AD ‑apissa.
Ennen aloittamista
Tee ennen aloittamista seuraavat toimenpiteet:
Määritä ja vahvista domain, jota haluat käyttää. Lue ohjeet uusien domainien yhdistämiseen.
Määritä yhdistetty todennus (mutta älä ota sitä käyttöön). Katso Yhdistetyn todennuksen ottaminen käyttöön ja testaaminen.
Huomaa: Jos yhdistetty todennus on jo käytössä, voit silti jatkaa. Tarkista suositukset edellisestä osiosta.
Määritä synkronointityyppi Azure AD:ssä ja luo tarvittaessa ryhmät, joilla synkronoidaan vain ne tilit, jotka on liitetty Apple Business Manager Azure AD ‑appiin:
Synkronoi vain liitetyt käyttäjät.
Synkronoi kaikki käyttäjät.
Varmista, että yritysappien muokkaamiseen oikeutettu Azure AD ‑ylläpitäjä on saatavilla. Kun olette molemmat valmiita, lue ohjeet käyttäjien tuomiseen SCIM:n avulla.