Johdanto hakemistosynkronointiin: Apple Business Manager
Hakemistosynkronointi auttaa pitämään Apple Business Managerin tiedot ajan tasalla henkilöllisyyden tarjoajasi IdP) kanssa. Hakemistosynkronoinnin avulla Apple Business Manager saa automaattisesti tietoja IdP:ltäsi ja voi päivittää tietonsa seuraavissa tilanteissa:
Uuden käyttäjätilin luominen
Käyttäjätilin tietojen muuttaminen
Käyttäjätilin poistaminen
Voit käyttää OpenID Connectia (OIDC) Apple Business Managerin kanssa käyttäjätilien synkronointiin seuraavista (mutta vain yhdestä kerrallaan):
Google Workspace
Microsoft Entra ID
IdP:si
Jotkin IdP:t saattavat käyttää myös SCIM:ää (avointa standardia pilvipalveluiden ja ‑appien identiteetinhallintaan)
Ennen aloittamista
Ota huomioon seuraavat ennen kuin synkronoit Google Workspacen, Microsoft Entra ID:n tai IdP:si kanssa:
käyttäjäryhmien synkronointia ei tueta.
Ensimmäinen synkronointi kestää kauemmin kuin sitä seuraavat synkronoinnit. Katso IdP:n dokumentaatiosta, miten usein käyttäjiä synkronoidaan.
Vaatimukset
Vahvista domain manuaalisesti tarpeen vaatiessa. Katso lisätiedot kohdasta Lisää ja vahvista domain.
Yhdistetty todennus on laitettava päälle. Katso Johdanto yhdistettyyn todennukseen.
Varmista, että päivystämässä on ylläpitäjä, jolla on oikeudet muokata Google Workspacen, Microsoft Entra ID:n tai muun IdP:n asetuksia.
Apple Business Manager edellyttää, että hallitulle Apple‑tilille käytetty määrite on yksilöllinen. Tämä on yleensä käyttäjän sähköpostiosoite. Jos käyttäjällä on määrite, joka on täysin sama kuin olemassa oleva Apple Business Managerin käyttäjä, jolla on ylläpitäjän rooli, synkronointia ei tehdä, jolloin lähdekenttä pysyy ennallaan.
Kun määrität alkuperäisen yhteyden, käytä ylläpitäjän tai henkilöhallinnoijan sähköpostiosoitetta, jotta he voivat vastaanottaa ilmoituksia Google Workspacesta, Microsoft Entra ID:stä tai muusta IdP:stä, johon olet synkronoimassa.
IdP-kohtaiset vaatimukset
Yhdistettäessä Microsoft Entra ID:hen:
Jos haluat käyttää SCIM:iä Apple Business Managerin kanssa, organisaatiollasi ei voi olla samaa Microsoft Entra ID ‑vuokraajaa kuin jollain muulla Apple Business Manager ‑organisaatiolla. Jos haluat käyttää organisaatiosi OIDC:tä, ota yhteyttä Microsoft Entra ID:n yleiseen ylläpitäjään ja varmista, ettei mikään muu organisaatio käytä Entra ID ‑vuokraajaasi OIDC:llä.
Jos käyttäjätilin ensisijainen nimi (UPN) on täysin sama kuin olevassa olevalla käyttäjätilillä, jolla on ylläpitäjän tai järjestelmähallinnoijan rooli, synkronointia ei tehdä, jolloin lähdekenttä pysyy ennallaan.
Kun yhdistät IdP:hen, joka ei ole Google Workspace tai Microsoft Entra ID, varmista, että sinulla on seuraavat tiedot:
Käyttäjien yksilöllinen tunnistekenttä: tämän määritteen arvo on yleensä käyttäjän sähköpostiosoite. Tällä luodaan käyttäjän hallittu Apple‑tili. Se voi olla esimerkiksi userName.
Todennustapa: SAML 2.0.
Todennustapa: OAuth 2.
Kertakirjautumisen URL-osoite: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
Todennuksen vastakutsun URL-osoite: tarkista tämä henkilöllisyyden tarjoajan käyttöohjeista.
Automaattiset muutokset
Tilin luonti
Kun hakemistosynkronointi on määritetty, käyttäjätilit synkronoidaan Apple Business Manageriin ja niiden rooliksi määritetään Henkilökunta. Synkronoidut tilitiedot lisätään vain luku -tilassa, mutta käyttäjätilin määritettä roolit voidaan muokata. Tämä määrite tallennetaan käyttäjätilille Apple Business Managerissa, eikä sitä tallenneta Google Workspaceen, Microsoft Entra ID:hen tai IdP:hen.
Kun yhdistetty todennus poistetaan käytöstä, tileistä tulee manuaalisia tilejä, ja näiden tilien määritteitä (kuten käyttäjätunnuksia) voidaan muokata.
Tilin muokkaaminen
Hakemistosynkronointi valvoo synkronoitujen määritteiden muutoksia ja päivittää ne automaattisesti Apple Business Managerissa. Näiden muutosten synkronointiväli riippuu IdP:stä.
Tilin poistaminen
Kun käyttäjätili poistetaan Google Workspacesta, Microsoft Entra ID:stä tai IdP:stäsi, vastaava tili Apple Business Managerissa poistetaan käytöstä ja merkitään poistettavaksi. Käytöstä poistettu tili kirjataan ulos laitteilta, eikä sitä voida kirjata takaisin sisään. Ellei tiliä synkronoida uudelleen seuraavien 30 päivän kuluessa, se poistetaan automaattisesti.
Tietoja henkilön tunnuksesta
Jotta ristiriitaiset tilit voidaan tunnistaa, kyseiselle käyttäjätilille luodaan automaattisesti henkilön tunnus synkronoitaessa käyttäjätiliä ensimmäisen kerran OIDC:llä Apple Business Manageriin.
Jos muokkaat aiemmin synkronoidun käyttäjätilin henkilön tunnusta Apple Business Managerissa, kyseinen käyttäjätili ei ole enää yhteydessä Google Workspaceen, Microsoft Entra ID:hen tai IdP:hen. Jos haluat yhdistää käyttäjätilin uudelleen, ratkaise henkilön tunnuksen ristiriita.