Összevont hitelesítés használata a Microsoft Azure AD szolgáltatással az Apple Business Managerben
Az Apple Business Managerben kapcsolódhat a Microsoft Azure Active Directory (Azure AD) szolgáltatáshoz, ha engedélyezni szeretné a felhasználóknak, hogy Azure AD-felhasználónevükkel és -jelszavukkal jelentkezhessenek be.
Az Azure AD az az Identitásszolgáltató (IdP), amely hitelesíti a felhasználót az Apple Business Manager számára, és kiadja a hitelesítési tokeneket. Ez a hitelesítés a tanúsítványalapú és a kétlépéses hitelesítést (2FA) támogatja. Mivel az Apple Business Manager támogatja az Azure AD-t, az Azure AD-hez kapcsolódó más IdP-k is – például Active Directory Federation Services (AD FS) – együttműködnek az Apple Business Managerrel.
Fontos: Az összevont hitelesítéshez a felhasználó egyszerű felhasználónevének egyeznie kell az e‑mail‑címével. Nem használhatók egyszerű felhasználóneves aliasok és alternatív azonosítók.
Összevont hitelesítés és könyvtár-szinkronizálás a Microsoft-bérlőkkel
A Microsoft-bérlőkkel rendelkező Apple Business Manager Azure AD app hozzáadásához a bérlők adminisztrátorának el kell végeznie az összevont hitelesítés beállításának folyamatát, a hitelesítés tesztelését is beleértve. Ha a hitelesítés sikeres, akkor a bérlőben az Apple Business Manager Azure AD app kitöltődik, az adminisztrátor pedig összevonhatja a tartományokat és konfigurálhatja az Apple Business Managert az SCIM (System for Cross-domain Identity Management) könyvtár-szinkronizáláshoz való használatához. Lásd Az SCIM követelményeinek áttekintése c. részt.
Kezdés előtt
Az Apple Business Manager Azure AD-vel való összekapcsolásához és az összevont hitelesítés használatához három lépést kell végrehajtani:
Adjon hozzá egy tartományt és igazolja a tulajdonjogát. Tekintse meg a következőt: Csatlakozás új tartományokhoz.
Több tartomány összevonható, viszont ugyanattól a nyilvános bérlőtől kell származniuk. Ha olyan tartományt próbál meg összevonni, amelynek tulajdonjogát már igazolta, de egy másik szervezet már összevonta ugyanazt a tartományt, akkor kapcsolatba kell lépnie az adott szervezettel annak megállapítására, hogy ki jogosult a tartomány összevonására. Lásd: Tartományütközések.
Konfigurálja az összevont hitelesítési folyamatot.
Tesztelje a hitelesítést egy Azure AD tartományba tartozó fiókkal.
Az összevont hitelesítési folyamat konfigurálása
Ez a feladat lehetővé teszi, hogy az Azure AD megbízhatóként kezelje az Apple Business Managert.
Az Apple Business Managerben jelentkezzen be egy olyan felhasználóval, amely Adminisztrátor vagy Személykezelő jogosultsággal rendelkezik.
Válassza ki a saját nevét az oldalsáv alján, és válassza ki a Beállítások , majd a Fiókok elemet .
Az Összevont hitelesítés szöveg mellett válassza ki a Szerkesztés, majd válassza ki a Kapcsolódás gombot.
Válassza ki a „Bejelentkezés a Microsofttal” elemet, adjon meg egy Microsoft Azure AD globális adminisztrátori, alkalmazás-adminisztrátori vagy felhőalkalmazás-adminisztrátori fiókot, majd válassza ki a Tovább gombot.
Adja meg a fiók jelszavát, majd válassza ki a Bejelentkezés gombot.
Figyelmesen olvassa el az alkalmazás használatára vonatkozó megállapodást, majd válassza ki az Elfogadás gombot.
Ezzel hozzájárulását adja ahhoz, hogy a Microsoft hozzáférést biztosítson az Apple-nek az Azure AD-ben található információkhoz.
Válassza ki a Kész elemet.
Megjegyzés: A művelet végrehajtása után a felhasználók nem tudnak létrehozni személyes Apple ID-kat az Ön által konfigurált tartományon. Ez más olyan Apple-szolgáltatásokat is érinthet, amelyeket használ. Lásd: Apple-szolgáltatások átvitele összevonás használatakor.
Bizonyos esetekben előfordulhat, hogy nem tudja hozzáadni a tartományt. Ennek a leggyakoribb okai a következők:
A feladathoz használt Azure AD globális adminisztrátori, alkalmazás-adminisztrátori vagy felhőalkalmazás-adminisztrátori fióknak nincs jogosultsága tartományok hozzáadására a Microsoft Azure AD-ben.
A 4. lépésben megadott fiók felhasználóneve vagy jelszava hibás.
A hitelesítés tesztelése egy Azure AD fiókkal
Ez a feladat lehetővé teszi, hogy az Apple Business Manager megbízhatónak tekintse az Azure AD‑t. Miután igazolta a tartomány tulajdonjogát és sikeresen tesztelte a hitelesítést egy Azure AD-fiókkal, létrehozhat további fiókokat és folyathatja a tartomány összevonását.
Az összevonni kívánt tartomány mellett válassza ki az Összevonás gombot.
Válassza ki a „Bejelentkezés a Microsoft Azure Portalba” elemet, majd adja meg a felhasználónevét és jelszavát.
Adjon meg egy olyan Microsoft Azure AD globális adminisztrátori, alkalmazás-adminisztrátori vagy felhőalkalmazás-adminisztrátori fiókot, amelyet a tartomány tartalmaz, majd válassza ki a Tovább gombot.
Adja meg a fiók jelszavát, válassza ki a Bejelentkezés elemet, és válassza ki a Kész, majd megint a Kész gombot.
Bizonyos esetekben előfordulhat, hogy nem tud bejelentkezni a tartományába. Íme néhány a leggyakoribb okok közül:
Az összevonni kívánt tartományból származó felhasználónév vagy jelszó hibás.
A fiókot nem tartalmazza az összevonni kívánt tartomány.
Miután a bejelentkezés sikerült, az Apple Business Manager ellenőrzi a tartományt érintő felhasználónév-ütközéseket. A felhasználónév-ütközések ellenőrzését még azelőtt el kell végezni, hogy Ön használhatná az összevont hitelesítést ennél a tartománynál.
Megjegyzés: Az Apple Business Manager és az Azure AD sikeres összekapcsolását követően egy adott fiókhoz tartozó szerepkört másik szerepkörre módosíthat. Egy fiók szerepkörét például munkatársi szerepkörre módosíthatja.
Az összevont hitelesítés bekapcsolása
Az összevont hitelesítés bekapcsolása előtt győződjön meg arról, hogy kapcsolódott egy új tartományhoz, és igazolta.
Megjegyzés: Ha az SCIM segítségével szeretne kapcsolódni az Azure AD-hez, csak azután kapcsolja be az összevont hitelesítést, hogy sikeresen létrejött az SCIM-kapcsolat.
Az Apple Business Managerben jelentkezzen be egy olyan felhasználóval, amely Adminisztrátor vagy Személykezelő jogosultsággal rendelkezik.
Válassza ki a saját nevét az oldalsáv alján, és válassza ki a Beállítások , majd a Fiókok elemet .
A Tartományok részben válassza ki a Szerkesztés elemet, majd kapcsolja be az összevont hitelesítést az Apple Business Managerhez sikeresen hozzáadott tartományokra vonatkozóan.
Az összes fiók frissítése időbe telhet.
Az összevont hitelesítés tesztelése
Az alábbi feladatok elvégzését követően tesztelheti az összevont hitelesítési kapcsolatot:
Sikeresen kapcsolódott a tartományhoz és sikeresen igazolta annak tulajdonjogát.
A felhasználónév-ütközések ellenőrzése megtörtént.
Az alapértelmezett felügyelt Apple ID formátum frissítve lett.
Megjegyzés: Az Adminisztrátor vagy Személykezelő szerepkörrel rendelkező felhasználók nem jelentkezhetnek be összevont hitelesítés használatával; csak kezelni tudják az összevonási folyamatot.
Az Apple Business Managerben jelentkezzen be olyan felhasználóval, aki nem rendelkezik Adminisztrátor szerepkörrel.
Ha a rendszer megtalálja a felhasználónevet, amellyel bejelentkezett, akkor egy új képernyő jelzi, hogy a tartományban található egyik felhasználóval jelentkezik be.
Válassza ki a Folytatás gombot, adja meg felhasználó jelszavát, majd válassza ki a Bejelentkezés gombot.
Jelentkezzen ki az Apple Business Managerből.
Megjegyzés: A felhasználók csak akkor tudnak bejelentkezni az iCloud.com oldalra, ha először egy másik Apple-készüléken bejelentkeznek a felügyelt Apple ID azonosítójukkal.