Felhasználók szinkronizálása az identitásszolgáltatóból az Apple Business Managerben
Az Apple Business Managerben a System for Cross-domain Identity Management (SCIM) segítségével szinkronizálhat felhasználókat az identitásszolgáltatóból (IdP). Amikor az SCIM segítségével szinkronizál felhasználókat, a fiókadatok írásvédett adatokként kerülnek be mindaddig, amíg le nem kapcsolódik. Ekkor a fiókok manuális fiókokká válnak, és a fiókokban lévő attribútumok (például felhasználónevek) szerkeszthetővé válnak. Az első szinkronizálás több időt vesz igénybe, mint a későbbi ciklusok. Nézze meg az IdP dokumentációjában, hogy milyen gyakran szinkronizálnak felhasználókat az Apple Business Managerbe.
Kezdés előtt
Az SCIM-kapcsolat létrehozása előtt sikeresen kapcsolódnia kell az összevont hitelesítés segítségével. Tekintse meg a következőt: Összevont hitelesítés használata az identitásszolgáltatónál. Ezután vegye fel a kapcsolatot az IdP-vel, és szerezze be a következő információkat:
Egyedi azonosító mező a felhasználóknak: Az attribútum értéke normál esetben a felhasználó e-mail-címe. Ezzel létrehozható a felhasználó Felügyelt Apple ID-ja. Lehet például a következő: felhasználóNév.
Hitelesítési módszer: SAML 2.0.
Hitelesítési mód: OAuth 2.
Egyszeri bejelentkezés URL-címe: Nézze meg az IdP dokumentációjában.
Hitelesítő visszahívási URL-cím: Nézze meg az IdP dokumentációjában.
Az SCIM és az összevont hitelesítés
Az összevont hitelesítés engedélyezve van, és már bekapcsolható. Ha be van kapcsolva, akkor az IdP-fiókok Apple Business Managerbe való elküldésekor nem lesz látható semmilyen művelet, de a fiókok ettől függetlenül az összevont tartományból szinkronizálódnak majd.
Az IdP-felhasználói fiókok és az Apple Business Manager
Amikor az SCIM segítségével egy felhasználót átmásol az IdP-ből az Apple Business Managerbe, az alapértelmezett szerepkör a Munkatárs.
Megjegyzés: Az IdP-ből származó felhasználói csoportok nem szinkronizálódnak az Apple Business Managerbe. Ha ugyanazokat a csoportokat szeretné, akkor létrehozhat új csoportokat az Apple Business Managerben, majd hozzájuk adhat felhasználókat.
Bejelentkezési attribútum
Az Apple Business Manager használatához az szükséges, hogy a Felügyelt Apple ID-hoz használt attribútum egyedi legyen. Ez általában a felhasználó e-mail-címe. Ha egy felhasználó olyan attribútummal rendelkezik, amely pontosan megegyezik egy Adminisztrátor szerepkörű Apple Business Manager-felhasználóéval, akkor nem megy végbe a szinkronizálás, és a forrásmező változatlan marad.
Személyazonosító
Egy IdP-felhasználó Apple Business Managerbe való szinkronizálásakor létrejön egy személyazonosító az Apple Business Manager-felhasználói fiókhoz. A személyazonosítóval azonosíthatók az ütköző felhasználói fiókok.
Fontos szempontok, ha módosítani szeretné a személyazonosítót:
Ha módosítja a személyazonosítót egy olyan fiók esetében, amelyet előzőleg az SCIM-ből importált, akkor a fiók többé nem lesz párosítva az IdP-vel.
Ha módosítja a személyazonosítót egy olyan fiók esetében, amelyet előzőleg az SCIM-ből importált, és újra csatlakoztatni szeretné a fiókot, akkor fel kell oldania a felhasználói ütközést.
Bejelentkezés az IdP-be
Jelentkezzen be rendszergazdaként az IdP-be, majd tegye a következők egyikét:
Keresse meg az IdP által létrehozott appot. Előfordulhat, hogy több lépést kihagyhat ebben a műveletsorban.
Lépjen oda, ahol létrehozhat egy appot vagy kapcsolatot.
A következő információk alapján hozza létre az appot:
Fontos: Jegyezze meg az SCIM app nevét, mert szüksége lehet rá a hitelesítő visszahívási URL-címhez.
Apple Business Manager: Use AppleBusinessManagerSCIM.
App típusa: Használja az SCIM-et.
Hitelesítési módszer: Használja az SAML 2.0 lehetőséget.
A címzetthez és a célponthoz használt egyszeri bejelentkezési URL: Nézze meg az IdP dokumentációjában.
Közönség URI: Használja az entitásazonosítót.
Mentse a módosításokat.
Az SCIM app kiépítési beállításainak konfigurálása
Keresse meg az IdP-s SCIM app kiépítési szakaszát, majd adja meg a következő értékeket:
SCIM connector base URL: https://federation.apple.com/feeds/business/scim
Hozzáférési token URI: https://appleid.apple.com/auth/oauth2/v2/token
Hitelesítő URI: https://appleid.apple.com/auth/oauth2/v2/authorize
Kliensazonosító: 123
Klienstitok: 123
Fontos: Mivel még nem tudja a tényleges SCIM-kliensazonosítót és -klienstitkoskulcsot, az 123 számsor használható helyőrzőként. Egy későbbi feladatban fogja lecserélni ezeket az értékeket.
Hitelesítési mód: OAuth 2.
Egyedi azonosító mező a felhasználóknak: Nézze meg az IdP dokumentációjában.
Fontos: Ügyeljen az azonosító nagy- vagy kisbetűs írásmódjára.
Támogatott kiépítési műveletek:
Új felhasználók és profilfrissítések importálása.
Új felhasználók áttolása.
Profilfrissítések áttolása.
Mentse a módosításokat.
A hitelesítő visszahívási URL-cím létrehozása
Létre kell hoznia egy hitelesített visszahívási URL-címet, hogy az Apple Business Manager le tudja kérni a felhasználói rekordokat az IdP-ből az SCIM segítségével. A visszahívási URL-cím az IdP-ben létrehozott SCIM app nevén alapul.
Jegyezze meg az SCIM app nevét. Például:
Apple Business Manager: AppleBusinessManagerSCIM
Illessze be az app nevét a következő URL-címbe. Például:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Mentse a hitelesítő visszahívási URL-címet.
A következő feladatban majd beilleszti az Apple Business Managerbe.
Az SCIM-kliensadatok létrehozása és átmásolása az IdP-be
Az Apple Business Managerben jelentkezzen be egy olyan felhasználóval, amely Adminisztrátor vagy Személykezelő jogosultsággal rendelkezik.
Válassza ki a saját nevét az oldalsáv alján, és válassza ki a Beállítások , majd a Könyvtárszinkronizálás elemet .
Válassza ki az Engedélyezés lehetőséget az Egyéni szinkronizálás szöveg mellett.
Illessze be az előző feladatban mentett hitelesítő visszahívási URL-címet, majd válassza ki a Létrehozás elemet.
Válassza ki az SCIM-alkalmazást, majd a Létrehozás elemet.
Nyisson meg egy új szöveges fájlt vagy táblázatot, majd írja be a következő értékeket az Apple Business Managerből:
Az OIDC kliensazonosító mezőbe illessze be az SCIM kliensazonosítót.
Az OIDC klienstitkoskulcs mezőbe illessze be az SCIM klienstitkoskulcsot.
Válassza ki a Másolás elemet a Kliensazonosító szöveg mellett, majd illessze be a kliensazonosítót a fájlba.
Válassza ki a Klienstitkoskulcs elemet, válassza ki, hogy mennyi ideig legyen aktív a titkoskulcs a lejárata előtt (6, 9 vagy 12 hónap), majd illessze be a klienstitkoskulcsot a fájlba.
Fontos: Ha törli vagy elfelejti a klienstitkoskulcsot, mielőtt beillesztené az IdP-s SCIM appba, létre kell hoznia egy új klienstitkoskulcsot.
Válassza ki a Kész elemet.
Illessze be a kliensazonosítót és a klienstitkoskulcsot az IdP-s SCIM appa, majd igazolja a kapcsolatot.
Térjen vissza az IdP-s SCIM app kiépítési szakaszába, majd illessze be a következő értékeket:
Apple Business Manager SCIM kliensazonosító
Apple Business Manager SCIM klienstitkoskulcs
Mentse a módosításokat.
Ha az IdP lehetővé teszi a hitelesítés tesztelését IdP-adminisztrátori fiókkal, most tesztelheti. Lehet például egy „Hitelesítés ezzel: [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]” nevű gomb (vagy aminek elnevezte az SCIM appot).
Adja meg az IdP-adminisztrátori nevét és jelszavát, majd adja meg a kétlépéses hitelesítéshez kapott értéket.
Gondosan olvassa el a hitelesítési információkat. Ha egyetért velük, válassza ki a Folytatás lehetőséget.
Ha szükséges, bekapcsolhatja az összevont hitelesítést ehhez a tartományhoz.
Az IdP és az Apple Business Manager most már konfigurálva van úgy, hogy szinkronizálódni tudjanak a felhasználói attribútumok bizonyos módosításai az IdP-ből az Apple Business Managerbe.