Johdanto hakemistosynkronointiin Apple Business Managerissa
Voit käyttää OpenID Connectia (OIDC) Apple Business Managerin kanssa käyttäjätilien synkronointiin seuraavista:
Google Workspace
Microsoft Entra ID
henkilöllisyyden tarjoaja (IdP).
Jotkin IdP:t saattavat käyttää myös SCIM:ää (avointa standardia pilvipalveluiden ja ‑appien identiteetinhallintaan)
Huomaa: Voit synkronoida Google Workspacen, Microsoft Entra ID:n tai henkilöllisyyden tarjoajasi, mutta vain yhden kerrallaan.
Ennen aloittamista
Ota huomioon seuraavat ennen kuin synkronoit Google Workspacen, Microsoft Entra ID:n tai IdP:si kanssa:
käyttäjäryhmien synkronointia ei tueta.
Vaatimukset
Vahvista domain manuaalisesti tarpeen vaatiessa. Katso lisätiedot kohdasta Lisää ja vahvista domain.
Yhdistetty todennus on laitettava päälle. Katso Johdanto yhdistettyyn todennukseen.
Varmista, että päivystämässä on ylläpitäjä, jolla on oikeudet muokata Google Workspacen, Microsoft Entra ID:n tai muun IdP:n asetuksia.
Apple Business Manager edellyttää, että hallitulle Apple‑tilille käytetty määrite on yksilöllinen. Tämä on yleensä käyttäjän sähköpostiosoite. Jos käyttäjällä on määrite, joka on täysin sama kuin olemassa oleva Apple Business Managerin käyttäjä, jolla on ylläpitäjän rooli, synkronointia ei tehdä, jolloin lähdekenttä pysyy ennallaan.
Kun määrität alkuperäisen yhteyden, käytä ylläpitäjän tai henkilöhallinnoijan sähköpostiosoitetta, jotta he voivat vastaanottaa ilmoituksia Google Workspacesta, Microsoft Entra ID:stä tai muusta IdP:stä, johon olet synkronoimassa.
IdP-kohtaiset vaatimukset
Yhdistettäessä Microsoft Entra ID:hen:
Jos haluat käyttää OIDC:tä Apple Business Managerin kanssa, organisaatiollasi ei voi olla samaa Microsoft Entra ID ‑vuokraajaa kuin jollain muulla Apple Business Manager ‑organisaatiolla. Jos haluat käyttää organisaatiosi OIDC:tä, ota yhteyttä Microsoft Entra ID:n yleiseen ylläpitäjään ja varmista, ettei mikään muu organisaatio käytä Entra ID ‑vuokraajaasi OIDC:llä.
Jos käyttäjätilin ensisijainen nimi (UPN) on täysin sama kuin olevassa olevalla käyttäjätilillä, jolla on ylläpitäjän tai järjestelmähallinnoijan rooli, synkronointia ei tehdä, jolloin lähdekenttä pysyy ennallaan.
Kun yhdistät IdP:hen, joka ei ole Google Workspace tai Microsoft Entra ID, varmista, että sinulla on seuraavat tiedot:
Käyttäjien yksilöllinen tunnistekenttä: tämän määritteen arvo on yleensä käyttäjän sähköpostiosoite. Tällä luodaan käyttäjän hallittu Apple‑tili. Se voi olla esimerkiksi userName.
Todennustapa: SAML 2.0.
Todennustapa: OAuth 2.
Kertakirjautumisen URL-osoite: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
Todennuksen vastakutsun URL-osoite: tarkista tämä henkilöllisyyden tarjoajan käyttöohjeista.
Automaattiset muutokset
Valvoo käyttäjätilien muutoksia ja synkronoi ne automaattisesti Apple Business Manageriin.
Poistaa hallitut Apple-tilit automaattisesti, kun niitä vastaavat tilit poistetaan Google Workspacesta, Microsoft Entra ID:stä tai IdP:stäsi.
Kun käyttäjätili synkronoidaan Apple Business Manageriin, oletusrooli on Henkilökunta. Kun synkronointi on valmis, vain Roolit-käyttäjätilimääritettä voi muokata. Tämä määrite tallennetaan käyttäjätilille Apple Business Managerissa, eikä sitä tallenneta Google Workspaceen, Microsoft Entra ID:hen tai IdP:hen.
Synkronoidut tilitiedot lisätään vain luku ‑muodossa siihen saakka, kunnes laitat synkronoinnin pois päältä. Tileistä tulee silloin manuaalisia tilejä, jolloin tilien määritteitä (esimerkiksi käyttäjätunnuksia) voi muokata.
Huomaa: Ensimmäinen synkronointi kestää kauemmin kuin sitä seuraavat synkronoinnit. Katso IdP:n dokumentaatiosta, miten usein käyttäjiä synkronoidaan.
Tietoja henkilön tunnuksesta
Jotta ristiriitaiset tilit voidaan tunnistaa, kyseiselle käyttäjätilille luodaan automaattisesti henkilön tunnus synkronoitaessa käyttäjätiliä ensimmäisen kerran OIDC:llä Apple Business Manageriin.
Jos muokkaat aiemmin synkronoidun käyttäjätilin henkilön tunnusta Apple Business Managerissa, kyseinen käyttäjätili ei ole enää yhteydessä Google Workspaceen, Microsoft Entra ID:hen tai IdP:hen. Jos haluat yhdistää käyttäjätilin uudelleen, ratkaise henkilön tunnuksen ristiriita.