Könyvtár-szinkronizálás az Apple Business Managerben
A könyvtár-szinkronizálás segít összhangban tartani az Apple Business Managerben tárolt adatokat az identitásszolgáltatójával (IdP). Könyvtár-szinkronizálás használatakor az IdP automatikusan értesíti az Apple Business Managert, amely így képes frissíteni az adatokat az alábbi esetekben:
Egy új felhasználói fiók létrehozása
Egy vagy több felhasználói fiók adatainak megváltoztatása
Egy felhasználói fiók törlése
Az OpenID Connect (OIDC) és az Apple Business Manager segítségével felhasználói fiókokat szinkronizálhat a következőből (egyszerre mindig csak egy opció alkalmazható):
Google Workspace
Microsoft Entra ID
Az Ön IdP-je
Néhány IdP a System for Cross-domain Identity Management (SCIM) szolgáltatást is tudják használni
Kezdés előtt
Mielőtt szinkronizálást végezne a Google Workspace-szel, a Microsoft Entra ID-vel vagy az IdP-vel, fontolja meg a következőket:
A felhasználói csoportok szinkronizálása nem támogatott.
Az első szinkronizálás több időt vesz igénybe, mint a későbbi ciklusok. Tekintse meg az IdP dokumentációjában, hogy milyen gyakran szinkronizálnak felhasználókat.
Követelmények
Szükség esetén manuálisan igazoljon egy tartományt. Lásd: Tartomány hozzáadása és igazolása.
Be kell kapcsolnia az összevont hitelesítést. Lásd: Az összevont hitelesítés bemutatása.
Kérjen segítséget egy rendszergazdától, akinek engedélye van a Google Workspace, a Microsoft Entra ID vagy egy másik IdP beállításainak szerkesztésére.
Az Apple Business Manager használatához az szükséges, hogy a felügyelt Apple-fiókhoz használt attribútum egyedi legyen. Ez általában a felhasználó e-mail-címe. Ha egy felhasználó olyan attribútummal rendelkezik, amely pontosan megegyezik egy Adminisztrátor szerepkörű Apple Business Manager-felhasználóéval, akkor nem megy végbe a szinkronizálás, és a forrásmező változatlan marad.
A kapcsolat első konfigurálásakor használja egy Adminisztrátor vagy Személykezelő szerepkörű felhasználó e-mail-címét, hogy az megkaphassa az értesítéseket a Google Workspace-től, a Microsoft Entra ID-től vagy egy másik olyan IdP-től, amellyel a szinkronizálást végzi.
IdP-re vonatkozó követelmények
Microsoft Entra ID-hez való kapcsolódáskor:
Ha OIDC-t szeretne használni az Apple Business Managerhez, a szervezet nem rendelkezhet ugyanazzal a Microsoft Entra ID-bérlővel, mint bármely más Apple Business Manager-szervezet. Ha az OIDC rendszert szeretné használni a szervezetéhez, érdeklődjön a Microsoft Entra ID globális rendszergazdájánál, hogy más szervezet nem használja-e az adott Entra ID-bérlőt az OIDC-hez.
Ha egy felhasználói fiók olyan Egyszerű felhasználónévvel (UPN) rendelkezik, amely pontosan megegyezik egy Rendszergazda vagy Személykezelő szerepkörű felhasználói fiókéval, akkor nem kerül sor szinkronizálásra, és a forrásmező változatlan marad.
Ha IdP-hez kapcsolódik, de nem a Google Workspace-hez vagy a Microsoft Entra ID-hez, legyenek kéznél a következő információk:
Egyedi azonosító mező a felhasználóknak: Az attribútum értéke normál esetben a felhasználó e-mail-címe. Ezzel létrehozható a felhasználó felügyelt Apple-fiókja. Lehet például a következő: felhasználóNév.
Hitelesítési módszer: SAML 2.0.
Hitelesítési mód: OAuth 2.
Egyszeri bejelentkezés URL-címe: Nézze meg az IdP dokumentációjában.
Hitelesítő visszahívási URL-cím: Nézze meg az IdP dokumentációjában.
Automatikus módosítások
Fióklétrehozás
Ha a könyvtár-szinkronizálás konfigurálva van, a rendszer szinkronizálja a felhasználói fiókokat az Apple Business Managerrel, és hozzájuk rendeli a Munkatárs szerepkört. A szinkronizált fiókinformációkat a rendszer írásvédettként adja hozzá, de a felhasználói fiókok Szerepkörök attribútuma szerkeszthető. Ezt az attribútumot az Apple Business Manager-beli felhasználói fiók tárolja, és nem íródik vissza a Google Workspace-be, a Microsoft Entra ID-be vagy az IdP-be.
Ha az összevont hitelesítés ki van kapcsolva, a fiókok manuális fiókokká válnak, és ezeknek a fiókoknak az attribútumai (például a felhasználónevek) szerkeszthetők.
Fiókmódosítás
A könyvtár-szinkronizálás figyeli a szinkronizált attribútumok módosulását, és automatikusan frissíti őket az Apple Business Managerben. A módosítások szinkronizálási időköze az IdP-től függ.
Fiókeltávolítás
Egy felhasználói fiók a Google Workspace-ből, a Microsoft Entra ID-ből vagy az IdP-ből való eltávolításakor a hozzá tartozó Apple Business Manager-beli fiókot a rendszer inaktiválja és megjelöli törlendőként. Az inaktivált fiókokat a rendszer kijelentkezteti az összes eszközből, és nem lehet velük újból bejelentkezni. Ha a fiókot nem szinkronizálják újból a következő 30 napon belül, a rendszer automatikusan törli.
Tudnivalók a Személyazonosítóról
Annak érdekében, hogy az ütköző fiókok beazonosíthatók legyenek, amikor egy felhasználói fiókot első alkalommal szinkronizál az OIDC segítségével az Apple Business Managerbe, automatikusan létrejön egy Személyazonosító az adott felhasználói fiókhoz.
Ha módosítja a Személyazonosítót az Apple Business Managerben egy korábban szinkronizált felhasználói fióknál, akkor az adott felhasználói fiók már párosítva lesz a Google Workspace-szel, a Microsoft Entra ID-vel vagy az IdP-vel. Ha ismét csatlakoztatni szeretné a felhasználói fiókot, el kell hárítani a Személyazonosító ütközését.