Sincronizzare gli utenti dal proprio Identity provider in Apple Business Manager
In Apple Business Manager, puoi utilizzare il Sistema per gestione di identità fra domini (SCIM) per sincronizzare gli utenti dal tuo Identity provider (IdP). Quando sincronizzi gli utenti con SCIM, le informazioni dell’account vengono aggiunte in sola lettura finché non ti disconnetti. A quel punto, gli account diventano manuali e gli attributi all’interno di questi account (come ad esempio i nomi utente) possono essere modificati. La sincronizzazione iniziale richiede più tempo di quelle successive. Per conoscere la frequenza con cui avviene la sincronizzazione degli utenti ad Apple Business Manager, consulta la documentazione del tuo IdP.
Prima di iniziare
Prima di iniziare a creare una connessione SCIM, dovresti già aver effettuando correttamente una connessione tramite l’autenticazione con account associato. Consulta Usare l’autenticazione con account associato con il proprio Identity provider. Quindi contatta il tuo IdP e assicurati di avere a disposizione le seguenti informazioni:
Campo dell’identificatore univoco per utenti: il valore di questo attributo è generalmente l’indirizzo email dell’utente. Viene utilizzato per creare l’ID Apple gestito dell’utente. Ad esempio può essere userName.
Metodo di autenticazione: SAML 2.0.
Modalità di autenticazione: OAuth 2.
URL del servizio Single Sign-On: consulta la documentazione del tuo IdP.
URL di callback di autorizzazione: consulta la documentazione del tuo IdP.
SCIM e autenticazione con account associato
L’autenticazione con account associato è abilitata e può essere già attivata. Se attiva al momento dell’invio degli account IdP ad Apple Business Manager, anche se non viene visualizzata alcuna attività, gli account vengono comunque sincronizzati con il dominio associato.
Account utente IdP e Apple Business Manager
Quando un utente viene copiato dal tuo IdP tramite SCIM su Apple Business Manager, il ruolo predefinito è Membro dello staff.
Nota: I gruppi utente del tuo IdP non sono sincronizzati ad Apple Business Manager. Se desideri gli stessi gruppi, puoi creare dei nuovi gruppi in Apple Business Manager a cui aggiungere utenti.
Attributo di accesso
Apple Business Manager richiede che l’attributo utilizzato per l’ID Apple gestito sia univoco. Generalmente si tratta dell’indirizzo email dell’utente. Se un utente ha un attributo esattamente uguale a un utente esistente di Apple Business Manager con il ruolo di Responsabile amministrazione, non viene eseguita la sincronizzazione e il campo sorgente rimane invariato.
ID persona
Quando un account utente IdP viene sincronizzato con Apple Business Manager, viene creato un ID persona per l’account utente Apple Business Manager. L’ID persona viene utilizzato per identificare gli account utente in conflitto.
Considerazioni importanti se si modifica l’ID persona:
Se modifichi l’ID persona per un account precedentemente importato da SCIM, tale account non viene più abbinato all’IdP.
Se modifichi l’ID persona per un account precedentemente importato da SCIM e desideri riconnettere l’account, devi risolvere il conflitto dell’account utente.
Accedere al proprio IdP
Accedi al tuo IdP come Responsabile amministrazione, quindi esegui una delle seguenti operazioni:
Trova l’app creata dal tuo IdP. Potresti riuscire a saltare diversi passaggi in questa attività.
Vai alla posizione dove puoi creare un’app o una connessione.
Crea l’app tenendo presenti le seguenti informazioni:
Importante: Ricordati il nome dell’app SCIM perché ne potresti aver bisogno per l’URL di callback di autorizzazione.
Apple Business Manager: utilizza AppleBusinessManagerSCIM.
Tipo di app: utilizza SCIM.
Metodo di autenticazione: utilizza SAML 2.0.
URL del servizio Single Sign-On utilizzato per destinatario e destinazione: consulta la documentazione del tuo IdP.
URI del pubblico: utilizza l’ID entità.
Salva le modifiche.
Configurare le impostazioni relative al provisioning dell’app SCIM
Individua la sezione legata al provisioning dell’app SCIM del tuo IdP, quindi inserisci i valori seguenti:
URL di base per il connettore SCIM: https://federation.apple.com/feeds/business/scim
URI del token di accesso: https://appleid.apple.com/auth/oauth2/v2/token
URI di autorizzazione: https://appleid.apple.com/auth/oauth2/v2/authorize
ID client: 123
Segreto client: 123
Importante: Poiché non conosci ancora l’ID client e il segreto client SCIM attuali, si utilizza 123 come segnaposto. Sostituirai questi valori nel corso di un’attività successiva.
Modalità di autenticazione: OAuth 2.
Campo dell’identificatore univoco per utenti: consulta la documentazione del tuo IdP.
Importante: Assicurati di rispettare le maiuscole/minuscole quando digiti l’identificatore.
Azioni relative al provisioning supportate:
Importare nuovi utenti e aggiornamenti di profilo.
Inviare nuovi utenti.
Inviare aggiornamenti di profilo.
Salva le modifiche.
Creare l’URL di callback di autorizzazione
Devi creare un URL di callback autorizzato per Apple Business Manager per ottenere i record utente dal tuo IdP tramite SCIM. Questo URL di callback si basa sul nome dell’app SCIM che hai creato nel tuo IdP.
Ricordati il nome della tua app SCIM. Per esempio:
Apple Business Manager: AppleBusinessManagerSCIM
Incolla il nome dell’app all'interno del seguente URL. Per esempio:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Salva l’URL di callback di autorizzazione.
Incollalo in Apple Business Manager nella prossima attività.
Creare e copiare le informazioni sul client SCIM nel proprio IdP
In Apple Business Manager , accedi con un account con il ruolo di responsabile amministrazione o di responsabile persone.
Seleziona il tuo nome nella parte inferiore della barra laterale, seleziona Preferenze , quindi Sincronizzazione directory .
Seleziona Attiva accanto a Sincronizzazione personalizzata.
Incolla l’URL di callback di autorizzazione dall’attività precedente, quindi seleziona Crea.
Seleziona Applicazione SCIM, quindi Crea.
Apri un nuovo file di testo o foglio di calcolo, quindi inserisci i valori seguenti da Apple Business Manager:
Per l’ID client OIDC, incolla l’ID client SCIM.
Per il segreto client OIDC, incolla il segreto client SCIM.
Seleziona Copia accanto a ID client, quindi incolla l’ID client nel file.
Seleziona Segreto client, scegli per quanto tempo il segreto deve restare attivo prima di scadere (6, 9 o 12 mesi), quindi incollalo nel file.
Importante: Se elimini o dimentichi il segreto client prima di incollarlo nell’app SCIM del tuo IdP, ne devi creare uno nuovo.
Seleziona Fine.
Incollare l’ID client e il segreto client nell’app SCIM del tuo IdP e verificare la connessione
Torna alla sezione legata al provisioning dell’app SCIM del tuo IdP, quindi inserisci i valori seguenti:
ID client SCIM di Apple Business Manager
Segreto client SCIM di Apple Business Manager
Salva le modifiche.
Se il tuo IdP ti consente di testare l’autenticazione tramite un account amministratore IdP, lo puoi fare adesso. Ad esempio, potrebbe essere un pulsante “Autentica con [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]” oppure con qualsiasi altro nome tu abbia dato alla tua app SCIM.
Inserisci il nome amministratore e la password del tuo IdP e il valore dell’autenticazione due fattori.
Leggi attentamente tutte le informazioni di autorizzazione. Se le accetti, seleziona Continua.
In caso di necessità, in questo momento puoi attivare l’autenticazione con account associato per questo dominio.
Il tuo IdP e Apple Business Manager sono ora configurati per sincronizzare le modifiche ad attributi utente specifici dal tuo IdP ad Apple Business Manager.