Apple BusinessでIDプロバイダーとのFederated Authenticationを使用する
概要
Apple Businessで、Federated Authenticationを使用してIDプロバイダー(IdP)をリンクすると、ユーザーはIdPのユーザー名(通常はメールアドレス)とパスワードでAppleデバイスにサインインできるようになります。
これによりユーザーは、IdPの認証情報を管理対象Apple Accountとして利用できます。ユーザーはその後、それらの認証情報を使用して、割り当て済みのiPhone、iPad、Mac、Apple Vision Pro、共有iPadにサインインすることができます。これらのいずれかのデバイスにサインインすると、Web上のiCloudにもサインインすることができます。
Federated Authenticationプロセス
このプロセスは、主に次の4つの手順で構成されます。
ドメインを追加し、確認する。
新しいOpen ID Connect(OIDC)アプリまたは接続を作成します。
Federated Authenticationを設定し、1つのIdPユーザーアカウントで認証テストを実行する。
Federated Authenticationを有効にする。
重要: Federated Authenticationを設定する前に、以下の事項を確認してください。
手順1:ドメインを確認する
Apple BusinessでIdPユーザーアカウントを表示するには、使用するドメインを追加して確認する必要があります。
「ドメインを追加し、確認する」を参照してください。
確認プロセスにより、所属する組織がドメインのドメイン・ネーム・サービス(DNS)レコードを変更する権限を持っていることを確認できます。たとえば、melardclothing.comをドメインとして使用するには、確認プロセスの開始時(「確認」を選択した時)から14暦日以内に特定のTXTレコードをDNSサーバに追加します。
注記: 連携しようとしている確認済みのドメインが、他の組織によってすでに連携されている場合は、その組織と連絡を取り、ドメインを連携する権限がどちらにあるのかを判断する必要があります。「ドメインの競合とは何ですか?」を参照してください。
手順2:新しいOIDCアプリ(接続)を作成する
Apple Businessに接続するには、Apple Businessにリンクするための特定の設定が含まれたアプリがIdPに用意されている必要があります。用意されていない場合は、アプリを作成します。アプリの作成方法や特定の設定がある場所はIdPごとに異なるため、IdPのマニュアルでこのプロセスの実行方法を確認してください。
管理者としてIdPにサインインし、以下のいずれかの操作を実行します。
IdPによって作成されたアプリを選択します。この操作では、いくつかの手順を省略できる場合もあります。
アプリを作成できる場所または接続を確立できる場所に移動します。
以下の情報を使用してアプリ(接続)を作成します。
Apple Business:AppleBusinessOIDC。
サインイン方法:OIDC。
アプリのタイプ:Webアプリ。
グラントタイプ:リフレッシュトークン。
サインインのリダイレクトURI:https://gsa-ws.apple.com/grandslam/GsService2/acs.
アクセス:特定のユーザーアカウントを許可します。
スコープアクセス:アクセスを
ssf.manageおよびssf.readに許可する必要があります。
変更内容を保存します。
後ほどこのページで、一部の情報をApple Businessにペーストする必要があります。次のタスクは、この情報をテキストファイルまたはスプレッドシートファイルにコピーすることです。
新しいテキストファイルまたはスプレッドシートを開き、IdPから以下の値を取得して入力します。
OIDCクライアントID用に、OIDCクライアントIDをペーストします。
OIDCクライアントシークレット用に、OIDCクライアントシークレットをペーストします。
安全な場所にファイルを保存します。
手順3:Federated Authenticationを設定し、1つのIdPユーザーアカウントで認証テストを実行する
ここでは、IdPとApple Businessの信頼関係を築きます。
注記: この手順を完了すると、ユーザーは、構成したドメイン上で管理対象外(個人用) Apple Accountを新たに作成することができなくなります。これは、ユーザーがアクセスしているAppleのその他のサービスに影響を与える可能性があります。「Appleのサービスを移行する」を参照してください。
Apple Businessで、連携の設定と構成、およびIDプロバイダー(IdP)への接続を行う権限を持つ役割のユーザーとしてサインインします。
役割と権限の確認方法については、「役割と権限について」を参照してください。
「カスタムIDプロバイダ」を選択し、「続ける」を選択します。
Federated Authentication接続の名前を入力します。
使用できる文字数は最大128文字です。
前のセクションで保存したテキストファイルまたはスプレッドシートにあるクライアントIDとクライアントシークレットの値をコピーして、Apple Businessにペーストします。
IdPに問い合わせて、以下の2つを構成するためのURLを取得します:
Shared Signals Framework(SSF)
OpenID
「続ける」を選択します。
入力した値がすべて有効であれば、IdPのログインページが表示されます。手順8に進みます。
IdP管理者のユーザー名とパスワードでサインインします。
「完了」を選択します。
手順4:Federated Authenticationを有効にする
注記: 連携の設定および構成、IDプロバイダーに接続する権限が付与されているユーザーは、Federated Authenticationを使用してサインインできません。連携プロセスの管理のみ可能です。
Apple Businessで、連携の設定と構成、およびIDプロバイダー(IdP)への接続を行う権限を持つ役割のユーザーとしてサインインします。
役割と権限の確認方法については、「役割と権限について」を参照してください。
「ドメイン」セクションで、連携するドメインの横にある「管理」を選択し、「IDプロバイダーでのサインインを有効にする」を選択します。
「IDプロバイダでサインインする」を有効にします。
必要な場合に応じて、この段階でユーザーアカウントをApple Businessに同期できます。「IDプロバイダーからユーザーアカウントを同期する」を参照してください。