Apple BusinessでIDプロバイダーからユーザーアカウントを同期する
Apple BusinessでOpenID Connect (OIDC)またはクロスドメインID管理システム(SCIM)を使用すると、IDプロバイダー(IdP)からユーザーアカウントを同期できます。このシステムを使用すると、Apple Businessのプロパティ(役割など)が、IdPから読み込んだユーザーアカウントデータに統合されます。SCIMを使用してユーザーを同期すると、接続が解除されるまで、アカウント情報が読み取り専用として追加されます。その際、アカウントは手動アカウントになり、アカウントの属性(ユーザーの名前など)が編集できるようになります。初回の同期には、それ以降のサイクルでの同期よりも長い時間がかかります。IdPがApple Businessとのユーザー同期を実行する頻度については、IdPのマニュアルを参照してください。
重要: 4暦日以内にIdPへのトークンの転送を完了し接続を確立できないと、このプロセスをやり直す必要があります。使用されていない認証情報が無期限に保持されるのを防ぐセキュリティ対策として、これらのトークンは期限切れとなります。
IdPにサインイン
管理者としてIdPにサインインし、以下のいずれかの操作を実行します。
IdPによって作成されたアプリを選択します。この操作では、いくつかの手順を省略できる場合もあります。
アプリを作成できる場所または接続を確立できる場所に移動します。
以下の情報を使用してアプリを作成します。
重要: SCIMアプリの名前は認可コールバックURLの作成時に必要になることがあるため、覚えておいてください。
Apple Business:AppleBusinessSCIMを使用します。
アプリのタイプ:SCIM。
認証方法:SAML 2.0。
受信者と宛先に使用するシングルサインオンURL:IdPのマニュアルを参照してください。
オーディエンスURI:エンティティID。
変更内容を保存します。
SCIMアプリのプロビジョニング設定を構成する
IdPのSCIMアプリのプロビジョニングセクションを見つけて、以下の値を入力します。
SCIMコネクタのベースURL:https://federation.apple.com/feeds/business/scim
アクセストークンURI:https://appleaccount.apple.com/auth/oauth2/v2/token
認可URI:https://appleaccount.apple.com/auth/oauth2/v2/authorize
クライアントID:123
クライアントシークレット:123
重要: SCIMの実際のクライアントIDとクライアントシークレットはまだわからないため、123がプレースホルダとして使用されます。以降のタスクでこれらの値を置き換えます。
認証モード:OAuth 2。
ユーザーの一意の識別子フィールド:IdPのマニュアルを参照してください。
重要: 識別子の大文字と小文字は区別されます。
サポートされているプロビジョニング操作:
新しいユーザーとプロファイルの更新情報を読み込む。
新しいユーザーをプッシュする。
プロファイルの更新情報をプッシュする。
変更内容を保存します。
認可コールバックURLを作成する
SCIMを使用してIdPからユーザーレコードを取得するには、Apple Businessの認可コールバックURLを作成する必要があります。このコールバックURLは、IdPで作成したSCIMアプリの名前に基づきます。
SCIMアプリの名前を確認します。以下に例を示します:
Apple Business:AppleBusinessSCim
以下のURL内にアプリ名をペーストします。以下に例を示します。
https://identity-provider.com/admin/app/AppleBusinessSCIM/oauth/callback
認可コールバックURLを保存します。
次のタスクで、これをApple Businessにペーストします。
SCIMのクライアント情報を作成してIdPにコピーする
Apple Businessで、連携の設定と構成、およびIDプロバイダー(IdP)への接続を行う権限を持つ役割のユーザーとしてサインインします。
役割と権限の確認方法については、「役割と権限について」を参照してください。
「ディレクトリ同期」で、Apple Businessと同期するドメインの横にある「設定」を選択します。
「カスタム同期」の横にある「有効にする」を選択します。
前のタスクで作成した認可コールバックURLをペーストして、「作成」を選択します。
「SCIMアプリケーション」>「作成」の順に選択します。
新しいテキストファイルまたはスプレッドシートを開き、Apple Businessから以下の値を取得して入力します。
OIDCクライアントID用に、SCIMクライアントIDをペーストします。
OIDCクライアントシークレット用に、SCIMクライアントシークレットをペーストします。
「クライアントID」の横にある「コピー」を選択し、ファイルにクライアントIDをペーストします。
「クライアントシークレット」を選択してシークレットの有効期間(6か月、9か月、または12か月)を選択し、ファイルにクライアントシークレットをペーストします。
重要: IdPのSCIMアプリにペーストする前にクライアントシークレットを削除した、または忘れた場合は、新しいクライアントシークレットを作成する必要があります。
「完了」を選択します。
IdPのSCIMアプリにクライアントIDとクライアントシークレットをペーストして、接続を確認する
IdPのSCIMアプリのプロビジョニングセクションに戻り、以下の値をペーストします。
Apple BusinessのSCIMクライアントID
Apple BusinessのSCIMクライアントシークレット
変更内容を保存します。
IdPの管理者アカウントを使ってIdPで認証テストを実行できる場合は、この段階でテストします。
たとえば、「[AppleBusinessSCIM] (SCIMアプリに付けた任意の名前)で認証」のようなボタンが用意されている場合があります。
IdPの管理者名とパスワードを入力し、2ファクタ認証の値を入力します。
表示される認証情報をよく読みます。同意する場合は、「続ける」を選択します。
必要な場合は、この段階でこのドメインのFederated Authenticationをオンにします。
これで、特定のユーザー属性の変更がIdPからApple Businessに同期されるようにIdPとApple Businessが構成されました。