Az Azure AD szinkronizálási követelményei az Apple Business Managerben
A tartományok közötti személyazonosság-kezelő rendszer (SCIM) használatával felhasználókat importálhat az Apple Business Managerbe. A rendszer segítségével Apple Business Manager-tulajdonságokat (például szerepköröket) egyesíthet a Microsoft Azure Active Directory (Azure AD) szolgáltatásból importált felhasználói fiókadatokkal. Amikor az SCIM segítségével importál felhasználókat, a fiókadatok írásvédett adatokként kerülnek be mindaddig, amíg le nem kapcsolódik az SCIM-ről. Ekkor a fiókok manuális fiókokká válnak, és a fiókokban lévő attribútumok szerkeszthetővé válnak. Az első szinkronizálás hosszabb időt vesz igénybe, mint a későbbi ciklusok, amelyek körülbelül 40 percenként mennek végbe, ha fut az Azure AD kiépítési szolgáltatás. Tekintse meg a kiépítési tippeket a Microsoft Azure dokumentációjának webhelyén.
Azure AD-jogosultságok
Az Azure AD-ben a következő szerepkörök szinkronizálhatnak fiókokat az SCIM segítségével az Apple Business Managerbe:
Alkalmazás-rendszergazda
Felhőalkalmazás-rendszergazda
Alkalmazástulajdonos
Globális rendszergazda
Tekintse meg a Beépített Azure AD-szerepkörök című részt a Microsoft Azure AD webhelyén.
Azure AD-bérlők
Ha SCIM-et szeretne használni az Apple Business Managerhez, a szervezet nem rendelkezhet ugyanazzal az Azure AD-bérlővel, mint bármely más Apple Business Manager-szervezet. Ha az SCIM rendszert szeretné használni a szervezetéhez, érdeklődjön az Azure AD rendszergazdánál, hogy más szervezet nem használja-e az adott Azure AD-bérlőt a SCIM-hez.
Azure AD-csoportok
Az Azure AD-ben mindkét szinkronizálási módszer esetén a Csoportok kifejezés van használatban, viszont csak a felhasználói fiókok szinkronizálódnak. Hozzáadhat Azure AD-csoportokat az Apple Business Manager Azure AD apphoz. Ha például Tervezés, Marketing és Értékesítés nevű csoportok vannak az Azure AD-ben, akkor hozzáadhatja ezt a három csoportot az Apple Business Azure AD apphoz. Ha az SCIM segítségével kapcsolódik, akkor csak az adott csoportokban lévő fiókok szinkronizálódnak az Apple Business Managerbe.
Megjegyzés: Az alcsoportok nem támogatottak az Apple Business Manager Azure AD appban.
Kiépítési hatókör
Kétféle módon lehet fiókokat szinkronizálni az Azure AD-ből az Apple Business Managerbe.
Csak hozzárendelt felhasználók és csoportok szinkronizálása: Ezzel a funkcióval csak az Apple Business Manager Azure AD appban látható fiókok szinkronizálhatók az Apple Business Managerbe. Ennek a szinkronizálási módszernek a használatakor az Azure AD-fiókoknak felhasználói szerepkörrel kell rendelkezniük ahhoz, hogy szinkronizálódjanak az Apple Business Managerbe.
Az összes hozzárendelt felhasználó és csoport szinkronizálása: Ezzel a funkcióval az Azure AD Felhasználó lapján látható összes fiók szinkronizálható az Apple Business Managerbe (csoportok szinkronizálása nem támogatott), és létrehozhatók felügyelt Apple ID‑k az összes összevont Azure AD‑fiók számára, még akkor is, ha csak egy bizonyos számú fiókot szeretne használni.
Tekintse meg a Microsoft Támogatás következő cikkeit: Mi az az Azure AD-ben az automatizált SaaS-app felhasználói üzembe helyezése? és Attribútum-alapú alkalmazás-kiépítés hatóköri szűrőkkel.
Kiépítési értesítések
A kiépítés konfigurálásakor használja egy Rendszergazda vagy Személykezelő szerepkörű felhasználó e-mail-címét, hogy az megkaphassa az értesítéseket az Azure AD-től.
Az SCIM és az összevont hitelesítés
Ha az összevonás már be van kapcsolva az Azure AD-fiókok az Apple Business Managerbe való elküldésekor, akkor nem lesz látható semmilyen művelet, de a fiókok ettől függetlenül az összevont tartományból szinkronizálódnak.
Az Azure AD az az Identitásszolgáltató (IdP), amely hitelesíti a felhasználót az Apple Business Manager számára, és kiadja a hitelesítési tokeneket. Mivel az Apple Business Manager támogatja az Azure AD-t, az Azure AD-hez kapcsolódó más IdP-k is – például Active Directory Federated Services (ADFS) – együttműködnek. Az összevont hitelesítés Security Assertion Markup Language (SAML) nyelvet használ az Apple Business Manager és az Azure AD összekapcsolásához.
Az Azure AD felhasználói fiókok és az Apple Business Manager
Amikor az SCIM segítségével egy felhasználót átmásol az Azure AD-ből az Apple Business Managerbe, az alapértelmezett szerepkör a Munkatárs. A szinkronizálás befejeződése után csak a Szerepkörök felhasználói attribútum szerkeszthető. Ezt az attribútumot az Apple Business Managerbeli felhasználói fiók tárolja, és nem íródnak vissza az Azure AD-be.
SCIM felhasználói attribútumok hozzárendelése
Amikor az SCIM segítségével egy fiókot átmásol az Azure AD-ből az Apple Business Managerbe, a következő felhasználói attribútumok írésvédettek. A táblázat azt is jelzi, hogy az adott felhasználói attribútumra szükség van-e.
Fontos: A táblázatban nem szereplő attribútumok hozzáadásakor megszakad az SCIM-kapcsolat.
Azure AD felhasználói attribútum | Apple Business Manager felhasználói attribútumok | Kötelező |
---|---|---|
Utónév | Utónév | |
Vezetéknév | Vezetéknév | |
Egyszerű felhasználónév | Felügyelt Apple ID és e-mail-cím | |
Objektumazonosító | (Nem látható az Apple Business Managerben. Ezzel az attribútummal azonosíthatók az ütköző fiókok.) | |
Részleg | Részleg | |
Alkalmazotti azonosító | Személyszám | |
Egyéni attribútum (az Apple Business Manager Azure AD appban kell létrehozni) | Költségközpont | |
Egyéni attribútum (az Apple Business Manager Azure AD appban kell létrehozni) | Részleg |
Egyszerű felhasználónév
Ha egy felhasználó olyan Egyszerű felhasználónévvel (UPN) rendelkezik, amely pontosan megegyezik egy Rendszergazda szerepkörű felhasználóéval, akkor nem kerül sor szinkronizálásra, és a forrásmező változatlan marad.
Személyazonosító
Egy Azure AD-felhasználó Apple Business Managerbe való szinkronizálásakor létrejön egy személyazonosító az Apple Business Manager felhasználói fiókhoz. A személyazonosítóval és az objektumazonosítóval azonosíthatók az ütköző fiókok.
Ha módosítja a személyazonosítót egy olyan fiók esetén, amelyet előzőleg az SCIM-ből importált, akkor a fiók többé nem lesz párosítva az Azure AD-vel. Ha módosítja a személyazonosítót egy olyan fiók esetében, amelyet előzőleg az SCIM-ből importált, és újra csatlakoztatni szeretné a fiókot az SCIM-hez, tekintse meg a következő részt: SCIM felhasználófiók-ütközések feloldása.
Javaslatok
Csak az Apple Business Manager Azure AD appot használja, amikor az SCIM-hez kapcsolódik.
Ha igazolt tartománya van, de nem kapcsolta be az összevont hitelesítést, akkor addig várjon az összevonás bekapcsolásával, amíg meg nem bizonyosodott arról, hogy megtörtént az Azure AD-felhasználók elküldése az Apple Business Managernek. Ezt az Azure AD kiépítési naplók megtekintésével tegye meg. Miután megbizonyosodott arról, hogy megtörtént az Azure AD-felhasználók elküldése, akkor az összevonás bekapcsolásakor értesítést kap, amikor az Azure AD-felhasználók aktiválódnak. Ha az összevonás már be van kapcsolva az Azure AD-felhasználók elküldésekor, akkor nem lesz látható semmilyen művelet, de a fiókok ettől függetlenül szinkronizálódnak.
Ha van egy konfigurált csoport az Azure AD-ben, akkor az egyes felhasználók helyett hozzáadhatja az adott csoportot is az Apple Business Manager Azure AD apphoz.
Fontos: Ne használja ugyanazt a felhasználónevet újra 30 napig az Apple Business Manager Azure AD appban.
Kezdés előtt
A kezdés előtt a következőket kell tennie:
Konfigurálja a használni kívánt tartományt és igazolja annak tulajdonjogát. Tekintse meg a következőt: Csatlakozás új tartományokhoz.
Konfigurálja (de ne kapcsolja be) az összevont hitelesítést. Lásd: Az összevont hitelesítés bekapcsolása és tesztelése.
Megjegyzés: Ha már be van kapcsolva az összevont hitelesítés, továbbléphet. Tekintse meg a javaslatokat az előző szakaszban.
Határozza meg a szinkronizálás típusát az Azure AD-ben, és – ha szükséges – hozzon létre csoportokat a csak hozzárendelt csoportok Apple Business Manager Azure AD appba történő szinkronizálásához:
Csak a hozzárendelt felhasználók szinkronizálása.
Az összes felhasználó szinkronizálása.
Kérjen segítséget egy olyan Azure AD-rendszergazdától, aki jogosult szerkeszteni vállalati appokat. Ha mindketten készen állnak, tekintse meg a következő részt: SCIM használata felhasználók importálásához.