סנכרון משתמשים מספק הזהות בתוך Apple Business Manager
ב‑Apple Business Manager, ניתן להשתמש במערכת לניהול זהויות בין דומיינים (SCIM) כדי לסנכרן משתמשים מספק הזהות (IdP). כשמשתמשים ב‑SCIM לסנכרון משתמשים, פרטי החשבון נוספים לקריאה בלבד, עד להתנתקות. בשלב זה, החשבונות הופכים לחשבונות ידניים ולאחר מכן ניתן לערוך את המאפיינים בחשבונות האלה (כגון שמות משתמשים). הסנכרון הראשוני נמשך זמן רב יותר מהסנכרונים שיתבצעו במחזורים הבאים. יש לעיין במסמכים של ה‑IdP כדי לדעת את תדירות הסנכרון של משתמשים ל‑Apple Business Manager.
לפני שמתחילים
לפני ההתחלה ביצירת חיבור SCIM, היה עליך כבר להתחבר בהצלחה באמצעות אימות מאוחד. יש לקרוא את שימוש באימות מאוחד עם ספק הזהות. לאחר מכן, יש ליצור קשר עם ה‑IdP ולוודא שיש לך את הפרטים הבאים:
שדה מזהה ייחודי למשתמשים: הערך של מאפיין זה הוא בדרך כלל כתובת הדוא״ל של המשתמש. מידע זה משמש ליצירת Apple ID מנוהל של המשתמש. לדוגמה, הוא יכול להיות userName.
שיטת אימות: SAML 2.0.
מצב אימות: OAuth 2.
כתובת URL לכניסה יחידה: יש לעיין במסמכים של ה‑IdP.
כתובת URL של callback לאימות: יש לעיין במסמכים של ה‑IdP.
SCIM ואימות מאוחד
אימות מאוחד התאפשר וייתכן שהוא כבר הופעל. אם הוא מופעל, כאשר חשבונות IdP נשלחים ל‑Apple Business Manager, לא תופיע פעילות, אבל החשבונות עדיין מסתנכרנים מהדומיין המאוחד.
חשבונות משתמש של IdP עם Apple Business Manager
כאשר משתמש מועתק מ‑IdP באמצעות SCIM ל‑Apple Business Manager, תפקיד ברירת המחדל הוא ״צוות.״
הערה: קבוצות משתמשים מ‑IdP לא מסנכרנות ל‑Apple Business Manager. אם אותן הקבוצות רצויות, ניתן ליצור קבוצות חדשות ב‑Apple Business Manager ולהוסיף משתמשים אליהן.
מאפיין התחברות
נדרש על ידי Apple Business Manager שהמאפיין בשימוש עבור Apple ID מנוהל יהיה ייחודי. זוהי בדרך כלל כתובת הדוא״ל של המשתמש. אם למשתמש יש מאפיין שהוא זהה לחלוטין למשתמש Apple Business Manager קיים בעל תפקיד ״מנהל מערכת״, לא מתבצע סנכרון ושדה המקור נשאר ללא שינוי.
מזהה אדם
כאשר משתמש IdP מסונכרן עם Apple Business Manager, נוצר מזהה אדם עבור חשבון המשתמש של Apple Business Manager. מזהה אדם משמש לזיהוי משתמש חשבונות משתמש מתנגשים.
שיקולים חשובים אם ברצונך לשנות את מזהה האדם:
אם שינית את מזהה האדם של חשבון שיובא קודם מ‑SCIM, חשבון זה לא ישויך עוד ל‑IdP.
אם שינית את מזהה האדם של חשבון שיובא קודם מ‑SCIM וברצונך לחבר שוב את החשבון, עליך לפתור את ההתנגשות בין המשתמשים.
התחברות ל-IdP
יש להתחבר ל-IdP כמנהל/ת המערכת, ולאחר מכן:
לאתר את היישום שנוצר על ידי ה-IdP. ייתכן שתהיה לך אפשרות לדלג על מספר שלבים במשימה זו.
לנווט אל למקום שבו ניתן ליצור יישום או חיבור.
יש ליצור את היישום באמצעות הפרטים הבאים:
חשוב: יש לזכור את שם יישום ה‑SCIM מאחר שייתכן שיהיה בו צורך עבור כתובת URL של callback לאימות.
Apple Business Manager: יש להשתמש ב‑AppleBusinessManagerSCIM.
סוג היישום: יש להשתמש ב-SCIM.
שיטת אימות: יש להשתמש ב-SAML 2.0.
כתובת URL לכניסה יחידה המשמשת לנמען וליעד: יש לעיין במסמכים של ה-IdP.
URI קהל: יש להשתמש במזהה ישות.
יש לשמור את השינויים.
יש לקבוע את תצורת ההגדרות של אספקת יישום SCIM
יש לאתר את מקטע האספקה של יישום SCIM של ה-IdP ולאחר מכן להזין את הערכים הבאים:
כתובת URL של בסיס מחבר SCIM: https://federation.apple.com/feeds/business/scim
URI של אסימון גישה: https://appleid.apple.com/auth/oauth2/v2/token
URI הרשאה: https://appleid.apple.com/auth/oauth2/v2/authorize
מזהה לקוח: 123
סוד לקוח: 123
חשוב: מאחר שמזהה הלקוח וסוד הלקוח SCIM האמיתיים עדיין אינם ידועים לך, 123 משמש כממלא מקום. ערכים אלה יוחלפו במשימה מאוחרת יותר.
מצב אימות: OAuth 2.
שדה מזהה ייחודי של משתמשים: יש לעיין במסמכים של ה-IdP.
חשוב: יש לוודא שהאותיות של המזהה זהות.
פעולות אספקה נתמכות:
ייבוא משתמשים חדשים ועדכוני פרופיל.
דחיפת משתמשים חדשים.
דחיפת עדכוני פרופיל.
יש לשמור את השינויים.
יצירת כתובת URL של callback לאימות
עליך ליצור כתובת URL של callback לאימות עבור Apple Business Manager כדי לקבל רשומות משתמשים מה-IdP באמצעות SCIM. כתובת URL של callback לאימות זו מבוססת על שם יישום ה‑SCIM שיצרת ב‑IdP.
יש לזכור את השם של יישום ה‑SCIM. למשל:
Apple Business Manager: AppleBusinessManagerSCIM
יש להדביק את שם היישום בתוך כתובת ה‑URL הבאה. למשל:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
יש לשמור את כתובת URL של callback לאימות.
עליך להדביק אותה ב‑Apple Business Manager במשימה הבאה.
יש ליצור ולהעתיק פרטי לקוח SCIM ל-IdP
ב‑Apple Business Manager , יש להתחבר עם משתמש בתפקיד מנהל מערכת או מנהל כח אדם.
יש לבחור בשמך בתחתית סרגל הצד, לבחור ב״העדפות״ , ולאחר מכן לבחור באפשרות Directory Sync .
יש לבחור ״הפעלה״ ליד ״סנכרון מותאם אישית״.
יש להדביק את כתובת URL של callback לאימות מהמשימה הקודמת ולאחר מכן לבחור ״יצירה״.
יש לבחור יישום SCIM ולאחר מכן לבחור ״יצירה״.
יש לפתוח קובץ טקסט או גיליון אלקטרוני חדש ולאחר מכן להזין את הערכים הבאים מ‑Apple Business Manager:
עבור מזהה לקוח OIDC, יש להדביק את מזהה לקוח SCIM.
עבור סוד לקוח OIDC, יש להדביק את סוד לקוח SCIM.
יש לבחור ״העתקה״ ליד מזהה לקוח ולאחר מכן להדביק את מזהה הלקוח בקובץ.
יש לבחור את סוד הלקוח, לבחור כמה זמן הסוד יישאר פעיל לפני שתוקפו יפוג (6, 9 או 12 חודשים) ולאחר מכן להדביק את סוד הלקוח בקובץ.
חשוב: אם מחקת או שכחת את סוד הלקוח לפני שהדבקת אותו ביישום SCIM של ה‑IdP, עליך ליצור סוד לקוח חדש.
יש לבחור ב"סיום".
יש להדביק את מזהה הלקוח וסוד הלקוח ביישום SCIM של ה‑IdP ולאמת את החיבור
יש לחזור אל מקטע האספקה של יישום SCIM של ה‑IdP ולאחר מכן להדביק את הערכים הבאים:
מזהה לקוח SCIM של Apple Business Manager
סוד לקוח SCIM של Apple Business Manager
יש לשמור את השינויים.
אם ה‑IdP מאפשר לך לבדוק אימות באמצעות חשבון מנהל מערכת של IdP, ניתן לבדוק אותו עכשיו. לדוגמה, ייתכן שקיים לחצן בשם “אימות באמצעות [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM]” או השם שנתת ליישום SCIM.
יש להזין את השם והסיסמה של מנהל מערכת IdP ולאחר מכן להזין את ערך האימות בשני גורמים.
יש לקרוא בתשומת לב את פרטי ההרשאה. כדי להסכים יש לבחור “המשך“.
במקרה הצורך, ניתן להפעיל עכשיו אימות מאוחד עבור דומיין זה.
התצורות של IdP ו‑Apple Business Manager עכשיו מוגדרות לסנכרן שינויים במאפייני משתמש ספציפיים מה-IdP ל‑Apple Business Manager.