מבוא לאימות מאוחד ב‑Apple Business Manager
אימות מאוחד משמש כדי לקשר את Apple Business Manager לשירותים הבאים:
Google Workspace
Open ID Connect (OIDC) באמצעות Microsoft Entra ID
כל ספק זהות (IdP) שמשתמש ב-OIDC או ב-System for Cross-domain Identity Management (SCIM)
הערה: ניתן לבצע קישור ל‑Google Workspace, ל‑Microsoft Entra ID או ל‑IdP, אך ניתן לקשר רק לשירות אחד בכל פעם.
כתוצאה מכך, משתמשים יכולים להתחבר למכשיר שהוקצה להם (iPhone, iPad, Mac ו-Apple Vision Pro) ול-iPad משותף באמצעות שם המשתמש הקיים שלהם (בדרך כלל זו כתובת הדוא״ל שלהם) וסיסמה. לאחר שהם מתחברים לאחד מהמכשירים האלה, הם יכולים להתחבר גם ל-iCloud באינטרנט דרך ה-Mac (iCloud ל-Windows לא תומך בחשבונות Apple מנוהלים).
חשוב: כאשר פג תוקפו של החיבור, איחוד וסנכרון של חשבונות משתמש נפסקים. יש להתחבר מחדש כדי להמשיך להשתמש באימות מאוחד ובסנכרון.
במקרים מסוימים, כדאי לשקול שימוש באימות מאוחד:
אימות מאוחד בלבד
כאשר Apple Business Manager מקושר ל‑Google Workspace, ל‑Microsoft Entra ID או ל‑IdP שלך, נוצרים למשתמשים חשבונות Apple מנוהלים באופן אוטומטי. כך, משתמשים יכולים להתחבר באמצעות שם המשתמש הקיים (בדרך כלל כתובת הדוא״ל) והסיסמה שלהם.
למידע נוסף:
אימות מאוחד עם סנכרון ספריות
ניתן גם לסנכרן חשבונות משתמשים של Google Workspace, Microsoft Entra ID או ה‑IdP שלך עם Apple Business Manager. כשמגדירים חיבור של סנכרון ספריה, אפשר להוסיף מאפיינים של Apple Business Manager (כמו כיתה ותפקידים) אל נתונים של חשבונות משתמשים שיובאו מאחד משירותים אלה. פרטי חשבון המשתמש שיובאו מהשירותים, מתווספים עם הרשאת קריאה בלבד עד לכיבוי הסנכרון. בשלב זה, החשבונות הופכים לחשבונות ידניים, ואז ניתן לערוך את המאפיינים בחשבונות האלה. אם חשבון המשתמש הוסר מאחד מהשירותים, חשבון המשתמש יוסר מ‑Apple Business Manager. למידע נוסף:
אימות מאוחד עם iPad משותף
כשמשתמשים באימות מאוחד עם iPad משותף, תהליך ההתחברות תלוי בשאלה אם חשבון המשתמש כבר קיים ב‑Apple Business Manager. להצגת תרחישי ההתחברות, יש לקרוא את התחברות ל‑iPad משותף.
אם משתמשים שוכחים את קוד הגישה שלהם, יש לאפס את קוד הגישה ל‑iPad המשותף.
לפני שמתחילים
לפני השימוש באימות מאוחד עם Google Workspace, Microsoft Entra ID או ה-IdP שלך, כדאי לשקול את הדברים הבאים:
הדרישות
מכשירי Apple חייבים לעמוד בדרישות המינימום הבאות לגבי מערכת ההפעלה:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
עליך לנעול ולהפעיל את התהליך ללכידת הדומיין. ניתן לעיין בעמוד נעילת דומיין.
אין התנגשויות של חשבונות Apple מנוהלים. ניתן לעיין בעמוד התנגשויות של חשבונות Apple מנוהלים.
חשבונות משתמשים עם תפקידי מנהל מערכת או מנהל כוח אדם אינם יכולים להתחבר באמצעות אימות מאוחד, אלא לנהל את תהליך האיחוד בלבד.
בזמן שימוש באימות מאוחד, הגדרת פורמט ברירת המחדל של חשבון Apple מנוהל אינה חלה.
דרישות ספציפיות ל-IdP
בעת קישור ל-Google Workspace:
על האימות המאוחד להשתמש בכתובת הדוא״ל של המשתמש כשם המשתמש. אין תמיכה בכינויים.
בעת קישור ל-Microsoft Entra ID:
עליך להשתמש במשתמש בעל תפקיד מנהל/ת מערכת כללי/ת ב-Entra ID לצורך השלמת המשימה אישור האימות המאוחד המתוארת בהמשך. לאחר שהחיבור מבוצע בהצלחה, ניתן לשנות את תפקיד המשתמש ממנהל/ת מערכת כללי/ת לתפקיד אחר בעל ההרשאות הנדרשות כדי לתחזק את החיבור. למידע נוסף, ניתן לעיין בעמוד תפקידי ברירת המחדל של Microsoft שתומכים בדומיינים, בסנכרון ספריות ובקריאת דומיינים.
לצורך אימות מאוחד עם Microsoft Entra ID, ה‑userPrincipalName (UPN) של המשתמש חייב להיות זהה לכתובת הדוא"ל. כינויי userPrincipalName ומזהים חלופיים אינם נתמכים.
בעת קישור ל-IdP, צריך להכין את המידע הבא:
דומיין מאומת שבו ברצונך להשתמש. ניתן לעיין בעמוד הוספה ואימות דומיין.
שיטת התחברות: יש להשתמש ב‑Open ID Connect (OIDC).
גישת היקף: יש להעניק גישה אל
ssf.manageואלssf.read.כתובת URL לתצורת Shared Signals Framework (SSF): יש לעיין במסמכים של ה‑IdP.
כתובת URL לתצורת OpenID: יש לעיין במסמכים של ה‑IdP.
שינויים אוטומטיים
עבור חשבונות Apple Business Manager קיימים עם כתובת דוא"ל בדומיין של האימות המאוחד, חשבון ה‑Apple המנוהל משתנה באופן אוטומטי כך שיתאם את כתובת הדוא"ל.