Könyvtár-szinkronizálás az Apple Business Manager segítségével
Az OpenID Connect (OIDC) és az Apple Business Manager segítségével felhasználói fiókokat szinkronizálhat a következőből:
Google Workspace
Microsoft Entra ID
Identitásszolgáltató (IdP)
Néhány IdP a System for Cross-domain Identity Management (SCIM) szolgáltatást is tudják használni
Megjegyzés: Szinkronizálhat a Google Workspace-szel, a Microsoft Entra ID-vel vagy az IdP-vel, de egyszerre csak az egyikkel.
Kezdés előtt
Mielőtt szinkronizálást végezne a Google Workspace-szel, a Microsoft Entra ID-vel vagy az IdP-vel, fontolja meg a következőket:
A felhasználói csoportok szinkronizálása nem támogatott.
Követelmények
Szükség esetén manuálisan igazoljon egy tartományt. Lásd: Tartomány hozzáadása és igazolása.
Be kell kapcsolnia az összevont hitelesítést. Lásd: Az összevont hitelesítés bemutatása.
Kérjen segítséget egy rendszergazdától, akinek engedélye van a Google Workspace, a Microsoft Entra ID vagy egy másik IdP beállításainak szerkesztésére.
Az Apple Business Manager használatához az szükséges, hogy a felügyelt Apple-fiókhoz használt attribútum egyedi legyen. Ez általában a felhasználó e-mail-címe. Ha egy felhasználó olyan attribútummal rendelkezik, amely pontosan megegyezik egy Adminisztrátor szerepkörű Apple Business Manager-felhasználóéval, akkor nem megy végbe a szinkronizálás, és a forrásmező változatlan marad.
A kapcsolat első konfigurálásakor használja egy Rendszergazda vagy Személykezelő szerepkörű felhasználó e-mail-címét, hogy az megkaphassa az értesítéseket a Google Workspace-től, a Microsoft Entra ID-től vagy egy másik olyan IdP-től, amellyel a szinkronizálást végzi.
IdP-re vonatkozó követelmények
Microsoft Entra ID-hez való kapcsolódáskor:
Ha OIDC-t szeretne használni az Apple Business Managerhez, a szervezet nem rendelkezhet ugyanazzal a Microsoft Entra ID-bérlővel, mint bármely más Apple School Manager-szervezet. Ha az OIDC rendszert szeretné használni a szervezetéhez, érdeklődjön a Microsoft Entra ID globális rendszergazdánál, hogy más szervezet nem használja-e az adott Entra ID-bérlőt az OIDC-hez.
Ha egy felhasználói fiók olyan Egyszerű felhasználónévvel (UPN) rendelkezik, amely pontosan megegyezik egy Rendszergazda vagy Személykezelő szerepkörű felhasználói fiókéval, akkor nem kerül sor szinkronizálásra, és a forrásmező változatlan marad.
Ha IdP-hez kapcsolódik, de nem a Google Workspace-hez vagy a Microsoft Entra ID-hez, legyenek kéznél a következő információk:
Egyedi azonosító mező a felhasználóknak: Az attribútum értéke normál esetben a felhasználó e-mail-címe. Ezzel létrehozható a felhasználó felügyelt Apple-fiókja. Lehet például a következő: felhasználóNév.
Hitelesítési módszer: SAML 2.0.
Hitelesítési mód: OAuth 2.
Egyszeri bejelentkezés URL-címe: Nézze meg az IdP dokumentációjában.
Hitelesítő visszahívási URL-cím: Nézze meg az IdP dokumentációjában.
Automatikus módosítások
Figyeli a felhasználói fiókokkal kapcsolatos módosításokat, és automatikusan szinkronizálja őket az Apple Business Managerbe.
Automatikusan eltávolítja a felügyelt Apple-fiókokat, ha a kapcsolódó felhasználói fiókok törlődnek a Google Workspace-ben, a Microsoft Entra ID-ben vagy az IdP-ben.
Egy felhasználói fiók Apple Business Managerbe irányuló szinkronizálásakor az alapértelmezett szerepkör a Munkatárs. A szinkronizálás befejeződése után csak a Szerepkörök felhasználói fiókattribútum szerkeszthető. Ezt az attribútumot az Apple Business Managerbeli felhasználói fiók tárolja, és nem íródik vissza a Google Workspace-be, a Microsoft Entra ID-be vagy az IdP-be.
A szinkronizált fiókadatok írásvédettek lesznek addig, amíg ki nem kapcsolja a szinkronizálást. Ekkor a fiókok manuális fiókokká válnak, és a fiókokban lévő attribútumok (például felhasználónevek) szerkeszthetővé válnak.
Megjegyzés: Az első szinkronizálás több időt vesz igénybe, mint a későbbi ciklusok. Tekintse meg az IdP dokumentációjában, hogy milyen gyakran szinkronizálnak felhasználókat.
Tudnivalók a Személyazonosítóról
Annak érdekében, hogy az ütköző fiókok beazonosíthatók legyenek, amikor egy felhasználói fiókot első alkalommal szinkronizál az OIDC segítségével az Apple Business Managerbe, automatikusan létrejön egy Személyazonosító az adott felhasználói fiókhoz.
Ha módosítja a Személyazonosítót az Apple Business Managerben egy korábban szinkronizált felhasználói fióknál, akkor az adott felhasználói fiók már lesz párosítva a Google Workspace-szel, a Microsoft Entra ID-vel vagy az IdP-vel. Ha ismét csatlakoztatni szeretné a felhasználói fiókot, el kell hárítani a Személyazonosító ütközését.