Introduzione alla sincronizzazione directory con Apple Business Manager
Puoi utilizzare OpenID Connect (OIDC) con Apple Business Manager per sincronizzare gli account utente da quanto segue:
Google Workspace
Microsoft Entra ID
Il tuo Identity provider (IdP)
Alcuni IdP possono anche usare un Sistema per gestione di identità fra domini (SCIM)
Nota: Puoi effettuare la sincronizzazione con Google Workspace, Microsoft Entra ID o il tuo IdP, ma solo uno alla volta.
Prima di iniziare
Prima di utilizzare di effettuare la sincronizzazione con Google Workspace, Microsoft Entra ID o il tuo IdP, considera quanto segue:
la sincronizzazione dei gruppi di utenti non è supportata.
Requisiti
Se necessario, verifica manualmente un dominio. Consulta Aggiungere e verificare un dominio.
Devi attivare l'autenticazione con account associato. Consulta Introduzione all’autenticazione con account associato.
Effettua una chiamata a un amministratore con le autorizzazioni per modificare le impostazioni di Google Workspace, Microsoft Entra ID o un altro IdP.
Apple Business Manager richiede che l’attributo utilizzato per l’Apple Account gestito sia univoco. Generalmente si tratta dell’indirizzo email dell’utente. Se un/una utente ha un attributo esattamente uguale ad altri utenti esistenti di Apple Business Manager con il ruolo di amministrazione, non viene eseguita la sincronizzazione e il campo sorgente rimane invariato.
Quando configuri la connessione iniziale, devi usare l’indirizzo email dell’utente con ruolo di amministrazione o responsabile persone affinché questi possa ricevere le notifiche da Google Workspace, Microsoft Entra ID o da altri IdP di cui stai effettuando la sincronizzazione.
Requisiti specifici per IdP
In caso di collegamento a Microsoft Entra ID:
Per utilizzare OIDC con Apple Business Manager, la tua organizzazione non deve avere lo stesso tenant di Microsoft Entra ID di qualsiasi altra organizzazione di Apple Business Manager. Se desideri utilizzare OIDC per la tua organizzazione, contatta l’Amministratore globale di Microsoft Entra ID per verificare che nessun’altra organizzazione utilizzi il tuo tenant di Entra ID per OIDC.
Se un account utente ha un nome utente principale (UPN) esattamente uguale a un account utente esistente di con il ruolo di amministrazione o responsabile persone, non viene eseguita la sincronizzazione e il campo origine rimane invariato.
In caso di collegamento a un IdP diverso da Google Workspace o Microsoft Entra ID, occorrono le seguenti informazioni:
Campo dell’identificatore univoco per utenti: il valore di questo attributo è generalmente l’indirizzo email dell’utente. Consente di creare l’Apple Account gestito dell'utente. Ad esempio può essere userName.
Metodo di autenticazione: SAML 2.0.
Modalità di autenticazione: OAuth 2.
URL del servizio Single Sign-On: consulta la documentazione del tuo IdP.
URL di richiamo dell’autorizzazione: consulta la documentazione del tuo IdP.
Modifiche automatiche
Consente di monitorare le modifiche all'account utente e sincronizza in automatico le modifiche in Apple Business Manager.
Consente di rimuovere in automatico gli Apple Account gestiti in caso di eliminazione degli account utente corrispondenti in Google Workspace, Microsoft Entra o nel tuo IdP.
Quando viene eseguita la sincronizzazione di un account utente ad Apple Business Manager, il ruolo predefinito è Membro dello staff. Al termine della sincronizzazione, è possibile modificare solo l’attributo dell'account utente Ruoli. Questo attributo viene salvato con l’account utente in Apple Business Manager e non viene registrato di nuovo su Google Workspace, Microsoft Entra ID o sul tuo IdP.
Le informazioni dell’account sincronizzato vengono aggiunte in sola lettura finché non disattivi la sincronizzazione. A quel punto, gli account diventano manuali e gli attributi all’interno di questi account (come ad esempio i nomi utente) possono essere modificati.
Nota: La sincronizzazione iniziale richiede più tempo di quelle successive. Per conoscere la frequenza con cui avviene la sincronizzazione degli utenti, consulta la documentazione del tuo IdP.
Informazioni sull'ID persona
Per identificare gli account in conflitto, quando un account utente viene inizialmente sincronizzato mediante OIDC ad Apple Business Manager, viene generato automaticamente un ID persona per l'account utente in questione.
Se modifichi l'ID persona in Apple Business Manager per un account utente precedentemente sincronizzato, tale account utente non viene più abbinato a Google Workspace, Microsoft Entra ID o al tuo IdP. Se desideri ricollegare l'account utente, devi risolvere il conflitto dell'ID persona.