דרישות הסנכרון של Azure AD עם , עם Apple Business Manager ועם
ניתן להשתמש במערכת לניהול זהויות בין דומיינים (SCIM) כדי לייבא משתמשים ל‑Apple Business Manager. באמצעות מערכת זו, ממזגים מאפיינים של Apple Business Manager (כגון תפקידים) עם נתוני חשבון משתמש שיובאו מ‑Microsoft Azure Active Directory (Azure AD). כשמשתמשים ב‑SCIM לייבוא משתמשים, פרטי החשבון נוספים לקריאה בלבד, עד להתנתקות מ‑SCIM. בשלב זה, החשבונות הופכים לחשבונות ידניים, ואז ניתן לערוך את המאפיינים בחשבונות האלה. הסנכרון הראשוני נמשך זמן רב יותר מאשר המחזורים הבאים אחריו, המתבצעים כל 40 דקות בערך, כל עוד שירות ההקצאה של Azure AD פועל. עיינו בעמוד Provisioning tips באתר התיעוד של Microsoft Azure.
הרשאות ב‑Azure AD
התפקידים הבאים ב‑Azure AD יכולים להשתמש ב‑SCIM כדי לסנכרן חשבונות ל‑Apple Business Manager:
מנהל/ת יישומים
מנהל/ת יישומים ב״ענן״
בעל/ת יישומים
מנהל/ת מערכת כללי
ניתן לעיין בעמוד Azure AD built-in roles באתר Microsoft Azure AD.
דיירים ב‑Azure AD
כדי להשתמש ב‑SCIM עם Apple Business Manager, לארגון לא יכול להיות שם דייר זהה ב-Azure AD כמו לארגון אחר ב‑Apple Business Manager. כדי להשתמש ב‑SCIM עבור הארגון שלך, יש לפנות למנהל/ת המערכת של Azure AD כדי לוודא שאף ארגון אחר לא משתמש באותו דייר של Azure AD ל‑SCIM.
קבוצות ב‑Azure AD
ב-Azure AD, שתי שיטות הסינכרון משתמשות במילה קבוצות, אבל רק חשבונות המשתמש מסונכרנים. אפשר להוסיף קבוצות Azure AD ליישום Apple Business Manager Azure AD. לדוגמה, אם יש לך קבוצות ב‑Azure AD בשם הנדסה, שיווק ומכירות, באפשרותך להוסיף את שלוש הקבוצות האלה ליישום Apple Business Manager Azure AD. כשמתחברים באמצעות SCIM, רק חשבונות בקבוצות האלה יסונכרנו ל‑Apple Business Manager.
הערה: קבוצות משנה לא נתמכות ביישום Apple Business Manager Azure AD.
היקף הקצאה
יש שתי דרכים שבהן ניתן לסנכרן חשבונות מ‑Azure AD ל‑Apple Business Manager.
סנכרון רק של משתמשים וקבוצות שהוקצו: אפשרות זו מסנכרנת ל‑Apple Business Manager רק את החשבונות שמופיעים ביישום Apple Business Manager Azure AD. כשמשתמשים בשיטת הסנכרון הזו, חשבונות Azure AD צריכים להיות מוגדרים עם תפקיד משתמש/ת כדי לסנכרן ל‑Apple Business Manager.
סנכרון כל המשתמשים והקבוצות: אפשרות זו מסנכרנת ל‑Apple Business Manager את כל החשבונות (אין תמיכה בסנכרון קבוצות) שמופיעים בלשונית ״משתמשי Azure AD״ ויוצרת חשבונות Apple ID מנוהלים לכל חשבונות Azure AD המאוחדים, גם אם בכוונתך להשתמש רק במספר ספציפי של חשבונות.
ניתן לעיין במאמרי התמיכה של Microsoft What is automated SaaS app user provisioning in Azure AD? (מהי הקצאת משתמשים אוטומטית ביישומי SaaS ב‑Azure AD?) וכן Attribute-based application provisioning with scoping filters (הקצאת יישומים מבוססת מאפיינים עם מסנני היקף).
הודעות הקצאה
כשמגדירים הקצאה, צריך להשתמש בכתובת הדוא״ל של משתמש/ת בעל תפקיד של מנהל/ת מערכת או מנהל/ת כח אדם כדי לאפשר קבלת הודעות מ‑Azure AD.
SCIM ואימות מאוחד
אם איחוד כבר מופעל כאשר חשבונות Azure AD נשלחים ל‑Apple Business Manager, פעילות לא תופיע, אבל החשבונות עדיין יסונכרנו מהדומיין המאוחד.
Azure AD הוא ספק הזהות (IdP) שמאמת את המשתמש/ת עבור Apple Business Manager ומנפיק אסימוני אימות. מאחר ש‑Apple Business Manager תומך ב‑Azure AD, ספקי זהות אחרים שמתחברים ל‑Azure AD, כגון Active Directory Federated Services (ADFS), יפעלו גם הם. אימות מאוחד משתמש ב‑Security Assertion Markup Language (SAML) כדי לקשר את Apple Business Manager ל‑Azure AD.
חשבונות משתמש של Azure AD עם , עם Apple Business Manager ועם
כאשר משתמש מועתק מ‑Azure AD באמצעות SCIM ל‑Apple Business Manager, תפקיד ברירת המחדל הוא ״צוות״. בסיום הסנכרון, ניתן לערוך רק את מאפיין המשתמש בתפקיד. מאפיין זה מאוחסן עם חשבון המשתמש ב‑Apple Business Manager ולא נכתב בחזרה ב‑Azure AD.
מיפוי מאפייני משתמש/ת ב‑SCIM
כאשר חשבון מועתק מ‑Azure AD באמצעות SCIM ל‑Apple Business Manager, מאפייני המשתמש/ת הבאים מאוחסנים כשהם מוגדרים לקריאה בלבד. בטבלה מצוין גם אם חובה לציין את מאפיין המשתמש/ת.
חשוב: הוספת מאפיינים שאינם מפורטים בטבלה תנתק את החיבור של SCIM.
מאפיין משתמש/ת ב‑Azure AD | מאפייני משתמש של , של Apple Business Manager ושל | נדרש |
---|---|---|
שם פרטי | שם פרטי | |
שם משפחה | שם משפחה | |
השם הראשי של המשתמש/ת | Apple ID מנוהל וכתובת דוא״ל | |
מזהה אובייקט | (לא מוצג ב‑Apple Business Manager. מאפיין זה משמש לזיהוי חשבונות מתנגשים.) | |
מחלקה | מחלקה | |
מזהה עובד | מספר מזהה אדם | |
מאפיין מותאם אישית (חובה ליצור אותו ביישום Azure AD ב-Apple Business Manager) | מרכז עלות | |
מאפיין מותאם אישית (חובה ליצור אותו ביישום Azure AD ב-Apple Business Manager) | אגף |
השם הראשי של המשתמש/ת
אם למשתמש/ת יש שם ראשי של משתמש (UPN) שהוא זהה לחלוטין למשתמש קיים בעל תפקיד ״מנהל/ת מערכת״ או ״מנהל/ת אתר״, לא מתבצע סנכרון ושדה המקור נשאר ללא שינוי.
מזהה אדם
משתמש Azure AD מסונכרן ל‑Apple Business Manager, קוד זיהוי אדם נוצר עבור חשבון משתמש של Apple Business Manager. קוד זיהוי אדם ומזהה אובייקט משמשים לזיהוי חשבונות מתנגשים.
אם שינית את קוד זיהוי האדם של חשבון שיובא קודם מ‑SCIM, חשבון זה לא ישויך עוד ל‑Azure AD. אם שינית את קוד זיהוי אדם של חשבון שיובא קודם מ‑SCIM וברצונך לחבר שוב את החשבון ל‑SCIM, יש לעיין בעמוד פתרון התנגשויות של חשבונות משתמש של SCIM.
המלצות
עליך להשתמש ביישום Apple Business Manager Azure AD רק כשמתחברים ל‑SCIM.
אם יש לך דומיין מאומת אבל לא הפעלת אימות מאוחד, עליך להמתין ולהפעיל אותו רק אחרי שווידאת שמשתמשי Azure AD נשלחו ל‑Apple Business Manager. אפשר לבדוק זאת ביומני ההקצאה של Azure AD. לאחר שאימתת כי משתמשי Azure AD נשלחו, כאשר האיחוד יופעל, תגיע הודעה על פעילות כאשר משתמשי Azure AD יוקצו. אם איחוד כבר מופעל כאשר משתמשי Azure AD נשלחים, לא תופיע פעילות , אבל החשבונות עדיין מסתנכרנים.
אם הגדרת קבוצה ב-Azure AD, באפשרותך להוסיף אותה ליישום Apple Business Manager Azure AD במקום להוסיף כל משתמש/ת בנפרד.
חשוב: אין לעשות שימוש חוזר בשם משתמש מסוים במשך 30 יום ביישום Apple School Business Azure AD.
לפני שמתחילים
לפני שמתחילים, יש לבצע את הפעולות הבאות:
להגדיר ולאמת את הדומיין שבו ברצונך להשתמש. ניתן לעיין בעמוד קישור לדומיינים חדשים.
להגדיר (אבל לא להפעיל) אימות מאוחד. ניתן לעיין בעמוד הפעלה ובדיקה של האימות המאוחד.
הערה: אם אימות מאוחד כבר מופעל, עדיין אפשר להמשיך. ניתן לעיין בהמלצות שבסעיף הקודם.
לקבוע את סוג הסנכרון ב‑Azure AD, ובמקרה הצורך, ליצור קבוצות לסנכרון חשבונות מוקצים בלבד ליישום Apple Business Manager Azure AD:
סנכרון משתמשים שהוקצו בלבד.
סנכרון כל המשתמשים.
הצבת מנהל/ת מערכת Azure AD עם הרשאות לעריכה של יישומים ארגוניים בכוננות. כאשר שניכם תהיו מוכנים, יש לעיין בעמוד שימוש ב‑SCIM לייבוא משתמשים.