Apple Business ManagerでIDプロバイダからユーザを同期する
Apple Business ManagerでクロスドメインID管理システム(SCIM)を使用すると、IDプロバイダ(IdP)からユーザを同期できます。SCIMを使用してユーザを同期すると、接続が解除されるまで、アカウント情報が読み取り専用として追加されます。その際、アカウントは手動アカウントになり、アカウントの属性(ユーザ名など)が編集できるようになります。初回の同期には、それ以降のサイクルでの同期よりも長い時間がかかります。IdPのマニュアルを参照して、Apple Business Managerとのユーザ同期が実行される頻度を確認してください。
開始する前に
SCIM接続の作成を開始する前に、Federated Authenticationを使用した接続が完了している必要があります。「IDプロバイダとのFederated Authenticationを使用する」を参照してください。次に、IdPに問い合わせて以下の情報を取得してください:
ユーザの一意の識別子フィールド:通常、この属性の値はユーザのメールアドレスです。これを使用してユーザの管理対象Apple IDが作成されます。たとえば「userName」などです。
認証方法:SAML 2.0。
認証モード:OAuth 2。
シングルサインオンURL:IdPのマニュアルを参照してください。
認可コールバックURL:IdPのマニュアルを参照してください。
SCIMとFederated Authentication
Federated Authenticationが有効になっており、場合によってはすでにオンになっています。オンになっている場合、IdPのアカウントがApple Business Managerに送信されるとアクティビティは表示されませんが、アカウントは連携されたドメインと同期されます。
IdPのユーザアカウントとApple Business Manager
SCIMを使用してユーザをIdPからApple Business Managerにコピーすると、デフォルトの役割は職員になります。
注記: ユーザグループはIdPからApple Business Managerに同期されません。同じグループを使用したい場合は、Apple Business Managerで新しいグループを作成してユーザを追加します。
サインイン属性
Apple Business Managerで管理対象Apple IDに使用する属性は、一意である必要があります。通常は、ユーザのメールアドレスを使用します。ユーザが、Apple Business Managerで管理者の役割を持つ既存のユーザとまったく同じ属性を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。
個人ID(Person ID)
IdPのユーザがApple Business Managerに同期されると、Apple Business ManagerのユーザアカウントにユーザIDが作成されます。ユーザIDは、競合するユーザアカウントを識別するために使用されます。
ユーザIDの変更に関する重要な考慮事項:
以前にSCIMから読み込まれたアカウントのユーザIDを変更すると、そのアカウントはIdPと同期されなくなります。
以前にSCIMから読み込まれたアカウントのユーザIDを変更した後、そのアカウントを再接続する場合は、ユーザの競合を解決する必要があります。
IdPにサインイン
管理者としてIdPにサインインし、以下のいずれかの操作を実行します。
IdPによって作成されたアプリを選択します。この操作では、いくつかの手順を省略できる場合もあります。
アプリを作成できる場所または接続を確立できる場所に移動します。
以下の情報を使用してアプリを作成します:
重要: SCIMアプリの名前は認可コールバックURLの作成時に必要になることがあるため、覚えておいてください。
Apple Business Manager:AppleBusinessManagerSCIMを使用します。
アプリのタイプ:SCIMを使用します。
認証方法:SAML 2.0を使用します。
受信者と宛先に使用するシングルサインオンURL:IdPのマニュアルを参照してください。
オーディエンスURI:エンティティIDを使用します。
変更内容を保存します。
SCIMアプリのプロビジョニング設定を構成する
IdPのSCIMアプリのプロビジョニングセクションを見つけて、以下の値を入力します:
SCIMコネクタのベースURL:https://federation.apple.com/feeds/business/scim
アクセストークンURI:https://appleid.apple.com/auth/oauth2/v2/token
認可URI:https://appleid.apple.com/auth/oauth2/v2/authorize
クライアントID:123
クライアントシークレット:123
重要: SCIMの実際のクライアントIDとクライアントシークレットはまだわからないため、123がプレースホルダとして使用されます。以降のタスクでこれらの値を置き換えます。
認証モード:OAuth 2。
ユーザの一意の識別子フィールド:IdPのマニュアルを参照してください。
重要: 識別子の大文字と小文字は区別されます。
サポートされているプロビジョニング操作:
新しいユーザとプロファイルの更新情報を読み込む。
新しいユーザをプッシュする。
プロファイルの更新情報をプッシュする。
変更内容を保存します。
認可コールバックURLを作成する
SCIMを使用してIdPからユーザレコードを取得するには、Apple Business Managerの認可コールバックURLを作成する必要があります。このコールバックURLは、IdPで作成したSCIMアプリの名前に基づきます。
SCIMアプリの名前を確認します。以下に例を示します:
Apple Business Manager:AppleBusinessManagerSCIM
以下のURL内にアプリ名をペーストします。以下に例を示します:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
認可コールバックURLを保存します。
次のタスクで、これをApple Business Managerにペーストします。
SCIMのクライアント情報を作成してIdPにコピーする
Apple Business Managerで、管理者またはユーザマネージャの役割を持つユーザでサインインします。
サイドバーの下部にある自分の名前を選択し、「環境設定」を選択して、「ディレクトリ同期」を選択します。
「カスタム同期」の横にある「有効にする」を選択します。
前のタスクで作成した認可コールバックURLをペーストして、「作成」を選択します。
「SCIMアプリケーション」>「作成」の順に選択します。
新しいテキストファイルまたはスプレッドシートを開き、Apple Business Managerから以下の値を取得して入力します:
OIDCクライアントID用に、SCIMクライアントIDをペーストします。
OIDCクライアントシークレット用に、SCIMクライアントシークレットをペーストします。
「クライアントID」の横にある「コピー」を選択し、ファイルにクライアントIDをペーストします。
「クライアントシークレット」を選択してシークレットの有効期間(6か月、9か月、または12か月)を選択し、ファイルにクライアントシークレットをペーストします。
重要: IdPのSCIMアプリにペーストする前にクライアントシークレットを削除した、または忘れた場合は、新しいクライアントシークレットを作成する必要があります。
「完了」を選択します。
IdPのSCIMアプリにクライアントIDとクライアントシークレットをペーストして、接続を確認する
IdPのSCIMアプリのプロビジョニングセクションに戻り、以下の値をペーストします:
Apple Business ManagerのSCIMクライアントID
Apple Business ManagerのSCIMクライアントシークレット
変更内容を保存します。
IdPの管理者アカウントを使ってIdPで認証テストを実行できる場合は、この段階でテストします。たとえば、「[AppleSchoolManagerSCIM]、[AppleBusinessManagerSCIM]、[AppleBusinessEssentialsSCIM](SCIMアプリに付けた任意の名前)で認証」というボタンがあります。
IdPの管理者名とパスワードを入力し、2ファクタ認証の値を入力します。
表示される認証情報をよく読みます。同意する場合は、「続ける」を選択します。
必要な場合は、この段階でこのドメインのFederated Authenticationをオンにします。
これで、特定のユーザ属性の変更がIdPからApple Business Managerに同期されるようにIdPとApple Business Managerが構成されました。