Introduzione alla sincronizzazione directory con Apple Business Manager
La sincronizzazione directory aiuta a mantenere aggiornati i dati in Apple Business Manager con il tuo Identity provider (IdP). Grazie alla sincronizzazione directory, Apple Business Manager viene automaticamente informato dal tuo IdP e può aggiornare le sue informazioni quando si verifica quanto segue:
Viene creato un nuovo account utente
Le informazioni dell’account utente sono cambiate
Un account utente è stato eliminato
Puoi utilizzare OpenID Connect (OIDC) con Apple Business Manager per sincronizzare gli account utente da quanto segue (ma solo uno alla volta):
Google Workspace
Microsoft Entra ID
Il tuo IdP
Alcuni IdP possono anche usare un Sistema per gestione di identità fra domini (SCIM)
Prima di iniziare
Prima di utilizzare di effettuare la sincronizzazione con Google Workspace, Microsoft Entra ID o il tuo IdP, considera quanto segue:
la sincronizzazione dei gruppi di utenti non è supportata.
La sincronizzazione iniziale richiede più tempo di quelle successive. Per conoscere la frequenza con cui avviene la sincronizzazione degli utenti, consulta la documentazione del tuo IdP.
Requisiti
Se necessario, verifica manualmente un dominio. Consulta Aggiungere e verificare un dominio.
Devi attivare l’autenticazione con account associato. Consulta Introduzione all’autenticazione con account associato.
Effettua una chiamata a un amministratore con le autorizzazioni per modificare le impostazioni di Google Workspace, Microsoft Entra ID o un altro IdP.
Apple Business Manager richiede che l’attributo utilizzato per l’Apple Account gestito sia univoco. Generalmente si tratta dell’indirizzo email dell’utente. Se un/una utente ha un attributo esattamente uguale ad altri utenti esistenti di Apple Business Manager con il ruolo di amministrazione, non viene eseguita la sincronizzazione e il campo sorgente rimane invariato.
Quando configuri la connessione iniziale, devi usare l’indirizzo email dell’utente con ruolo di amministratore o responsabile persone affinché questi possa ricevere le notifiche da Google Workspace, Microsoft Entra ID o da altri IdP di cui stai effettuando la sincronizzazione.
Requisiti specifici per IdP
In caso di collegamento a Microsoft Entra ID:
Per utilizzare OIDC con Apple Business Manager, la tua organizzazione non può avere lo stesso tenant di Microsoft Entra ID di qualsiasi altra organizzazione di Apple Business Manager. Se desideri utilizzare OIDC per la tua organizzazione, contatta l’amministratore Entra ID di riferimento per verificare che nessun altra organizzazione utilizzi il tuo tenant di Entra ID per OIDC.
Se un account utente ha un nome utente principale (UPN) esattamente uguale a un account utente esistente di con il ruolo di amministrazione o responsabile persone, non viene eseguita la sincronizzazione e il campo origine rimane invariato.
In caso di collegamento a un IdP diverso da Google Workspace o Microsoft Entra ID, occorrono le seguenti informazioni:
Campo dell’identificatore univoco per utenti: il valore di questo attributo è generalmente l’indirizzo email dell’utente. Consente di creare l’Apple Account gestito dell'utente. Ad esempio può essere userName.
Metodo di autenticazione: SAML 2.0.
Modalità di autenticazione: OAuth 2.
URL del servizio Single Sign-On: consulta la documentazione del tuo IdP.
URL di richiamo dell’autorizzazione: consulta la documentazione del tuo IdP.
Modifiche automatiche
Creazione dell’account
Quando viene configurata la sincronizzazione directory, gli account utente vengono sincronizzati con Apple Business Manager e viene assegnato loro il ruolo di Membro del personale. Le informazioni dell’account sincronizzato vengono aggiunte in sola lettura, ma l’attributo Ruoli di un account utente può essere modificato. Questi attributi vengono salvati con l’account utente in Apple Business Manager e non vengono registrati di nuovo su Google Workspace, Microsoft Entra ID o sul tuo IdP.
Quando l’autenticazione con account associato è disattivata, gli account diventano account manuali e gli attributi in questi account (come i nomi utente) possono essere modificati.
Modifica dell’account
La sincronizzazione directory monitora le modifiche agli attributi sincronizzati e le aggiorna automaticamente in Apple Business Manager. L’intervallo con cui tali modifiche vengono sincronizzate dipende dall’IdP.
Rimozione dell’account
Quando un account utente viene rimosso in Google Workspace, Microsoft Entra ID o nel tuo IdP, l’account corrispondente in Apple Business Manager viene disattivato e contrassegnato per l’eliminazione. Un account disattivato viene disconnesso dai dispositivi e non è possibile accedervi nuovamente. Se l’account non viene sincronizzato nuovamente entro i successivi 30 giorni, verrà rimosso automaticamente.
Informazioni sull'ID persona
Per identificare gli account in conflitto, quando un account utente viene inizialmente sincronizzato mediante OIDC ad Apple Business Manager, viene generato automaticamente un ID persona per l'account utente in questione.
Se modifichi l’ID persona in Apple Business Manager per un account utente precedentemente sincronizzato, tale account utente non viene più abbinato a Google Workspace, Microsoft Entra ID o al tuo IdP. Se desideri ricollegare l’account utente, devi risolvere il conflitto dell’ID persona.