Apple Business ManagerでIDプロバイダからユーザアカウントを同期する
Apple Business ManagerでOpenID Connect(OIDC)またはクロスドメインID管理システム(SCIM)を使用すると、IDプロバイダ(IdP)からユーザアカウントを同期できます。このシステムを使用すると、Apple Business Managerのプロパティ(役割など)が、IdPから読み込んだユーザアカウントデータに統合されます。SCIMを使用してユーザを同期すると、接続が解除されるまで、アカウント情報が読み取り専用として追加されます。その際、アカウントは手動アカウントになり、アカウントの属性(ユーザ名など)が編集できるようになります。初回の同期には、それ以降のサイクルでの同期よりも長い時間がかかります。IdPのマニュアルを参照して、Apple Business Managerとのユーザ同期が実行される頻度を確認してください。
重要: 4暦日以内にIdPへのトークンの転送を完了し接続を確立できないと、このプロセスをやり直す必要があります。
IdPにサインイン
管理者としてIdPにサインインし、以下のいずれかの操作を実行します。
IdPによって作成されたアプリを選択します。この操作では、いくつかの手順を省略できる場合もあります。
アプリを作成できる場所または接続を確立できる場所に移動します。
以下の情報を使用してアプリを作成します。
重要: SCIMアプリの名前は認可コールバックURLの作成時に必要になることがあるため、覚えておいてください。
Apple Business Manager:AppleBusinessManagerSCIMを使用します。
アプリのタイプ:SCIMを使用します。
認証方法:SAML 2.0を使用します。
受信者と宛先に使用するシングルサインオンURL:IdPのマニュアルを参照してください。
オーディエンスURI:エンティティIDを使用します。
変更内容を保存します。
SCIMアプリのプロビジョニング設定を構成する
IdPのSCIMアプリのプロビジョニングセクションを見つけて、以下の値を入力します。
SCIMコネクタのベースURL:https://federation.apple.com/feeds/business/scim
アクセストークンURI:https://appleaccount.apple.com/auth/oauth2/v2/token
認可URI:https://appleaccount.apple.com/auth/oauth2/v2/authorize
クライアントID:123
クライアントシークレット:123
重要: SCIMの実際のクライアントIDとクライアントシークレットはまだわからないため、123がプレースホルダとして使用されます。以降のタスクでこれらの値を置き換えます。
認証モード:OAuth 2。
ユーザの一意の識別子フィールド:IdPのマニュアルを参照してください。
重要: 識別子の大文字と小文字は区別されます。
サポートされているプロビジョニング操作:
新しいユーザとプロファイルの更新情報を読み込む。
新しいユーザをプッシュする。
プロファイルの更新情報をプッシュする。
変更内容を保存します。
認可コールバックURLを作成する
SCIMを使用してIdPからユーザレコードを取得するには、Apple Business Managerの認可コールバックURLを作成する必要があります。このコールバックURLは、IdPで作成したSCIMアプリの名前に基づきます。
SCIMアプリの名前を確認します。以下に例を示します:
Apple Business Manager:AppleBusinessManagerSCIM
以下のURL内にアプリ名をペーストします。以下に例を示します。
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
認可コールバックURLを保存します。
次のタスクで、これをApple Business Managerにペーストします。
SCIMのクライアント情報を作成してIdPにコピーする
Apple Business Manager
で、管理者またはユーザマネージャの役割を持つユーザとしてサインインします。サイドバーの下部にある自分の名前を選択し、「環境設定」
を選択して、「管理対象Apple Account」
を選択します。「カスタム同期」の横にある「有効にする」を選択します。
前のタスクで作成した認可コールバックURLをペーストして、「作成」を選択します。
「SCIMアプリケーション」>「作成」の順に選択します。
新しいテキストファイルまたはスプレッドシートを開き、Apple Business Managerから以下の値を取得して入力します。
OIDCクライアントID用に、SCIMクライアントIDをペーストします。
OIDCクライアントシークレット用に、SCIMクライアントシークレットをペーストします。
「クライアントID」の横にある「コピー」を選択し、ファイルにクライアントIDをペーストします。
「クライアントシークレット」を選択してシークレットの有効期間(6か月、9か月、または12か月)を選択し、ファイルにクライアントシークレットをペーストします。
重要: IdPのSCIMアプリにペーストする前にクライアントシークレットを削除した、または忘れた場合は、新しいクライアントシークレットを作成する必要があります。
「完了」を選択します。
IdPのSCIMアプリにクライアントIDとクライアントシークレットをペーストして、接続を確認する
IdPのSCIMアプリのプロビジョニングセクションに戻り、以下の値をペーストします。
Apple Business ManagerのSCIMクライアントID
Apple Business ManagerのSCIMクライアントシークレット
変更内容を保存します。
IdPの管理者アカウントを使ってIdPで認証テストを実行できる場合は、この段階でテストします。たとえば、「[AppleSchoolManagerSCIM]、[AppleBusinessManagerSCIM]、[AppleBusinessEssentialsSCIM](SCIMアプリに付けた任意の名前)で認証」というボタンがあります。
IdPの管理者名とパスワードを入力し、2ファクタ認証の値を入力します。
表示される認証情報をよく読みます。同意する場合は、「続ける」を選択します。
必要な場合は、この段階でこのドメインのFederated Authenticationをオンにします。
これで、特定のユーザ属性の変更がIdPからApple Business Managerに同期されるようにIdPとApple Business Managerが構成されました。