Apple Business를 사용한 디렉토리 동기화 개요
개요
디렉토리 동기화는 Apple Business의 데이터를 신원 확인 제공업체(IdP)에서 최신 상태로 유지할 수 있게 해 줍니다. 디렉토리 동기화를 사용하면 IdP가 Apple Business에 자동으로 알림을 전송하며, 다음에 해당되는 경우 정보를 업데이트할 수 있습니다.
새 사용자 계정이 생성되는 경우
사용자 계정 정보가 변경되는 경우
사용자 계정이 삭제되는 경우
Apple Business에서 OpenID Connect(OIDC)를 사용하여 사용자 계정을 한 번에 하나씩만 다음과 동기화할 수 있습니다.
Google Workspace
Microsoft Entra ID
IdP
일부 IdP는 SCIM(System for Cross-domain Identity Management)도 사용할 수 있습니다.
시작하기 전에
Google Workspace, Microsoft Entra ID 또는 IdP와 동기화하기 전에 다음 사항을 고려하십시오.
사용자 그룹 동기화는 지원되지 않습니다.
초기 동기화는 이후 주기보다 수행하는 데 더 오래 걸립니다. 사용자를 동기화하는 빈도를 알아보려면 IdP의 문서를 참고하십시오.
요구 사항
필요한 경우 도메인을 수동으로 인증합니다. 도메인 추가 및 확인을 참고하십시오.
연합 인증을 켜야 합니다. 연합 인증 소개를 참고하십시오.
권한이 있는 “책임자”에게 Google Workspace, Microsoft Entra ID 또는 다른 IdP의 설정을 편집하도록 요청합니다.
Apple Business에서는 관리형 Apple 계정에 사용되는 속성이 고유해야 합니다. 일반적으로 이는 사용자의 이메일 주소입니다. 한 사용자가 이미 존재하는 “조직 책임자” 역할의 Apple Business 사용자와 완전히 동일한 속성을 가진 경우, 동기화가 수행되지 않고 원본 필드가 변경되지 않은 상태로 유지됩니다.
처음 연결을 구성할 때 Google Workspace, Microsoft Entra ID 또는 동기화하려는 다른 IdP로부터 알림을 받을 수 있도록 하기 위해 연합을 설정 및 구성하고 IdP에 연결할 수 있는 권한이 있는 역할의 사용자 이메일 주소를 사용해야 합니다.
IdP별 요구 사항
Microsoft Entra ID에 연결하는 경우:
Apple Business에서 OIDC를 사용하려면 조직에 다른 Apple Business 조직과 같은 Microsoft Entra ID 테넌트(tenant)가 존재하지 않아야 합니다. 조직에 OIDC를 사용하려는 경우 Microsoft Entra ID “전역 책임자(Global Administrator)”에게 문의하여 다른 조직이 OIDC에 Entra ID 테넌트(tenant)를 사용하지 않도록 해야 합니다.
사용자 계정에 연합을 설정 및 구성하고 IdP에 연결할 수 있는 권한이 있는 역할의 사용자와 완전히 동일한 사용자 계정 이름(UPN)이 있는 경우, 동기화가 수행되지 않고 원본 필드가 변경되지 않습니다.
Google Workspace 또는 Microsoft Entra ID가 아닌 IdP에 연결하는 경우 다음과 같은 정보를 알고 있어야 합니다.
사용자를 위한 고유 식별자 필드: 이 속성의 값은 일반적으로 사용자의 이메일 주소입니다. 사용자의 관리형 Apple 계정을 생성하는 데 사용됩니다. 예를 들어, userName일 수 있습니다.
인증 방법: SAML 2.0.
인증 모드: OAuth 2.
단일 로그인 URL: IdP의 문서를 참고합니다.
인증 콜백 URL: IdP의 문서를 참고합니다.
자동 변경
계정 생성
디렉토리 동기화가 구성되면 사용자 계정이 Apple Business에 동기화되고 “직원” 역할이 할당됩니다. 동기화된 계정 정보는 읽기전용으로 추가되지만, 사용자 계정의 “역할” 속성은 편집할 수 있습니다. 해당 속성은 Apple Business의 사용자 계정에 저장되며, Google Workspace, Microsoft Entra ID 또는 IdP에 다시 기록되지 않습니다.
연합 인증이 꺼져 있으면 계정은 수동 계정이 되고, 이러한 계정의 속성(예: 사용자 이름)을 편집할 수 있습니다.
계정 수정
디렉토리 동기화는 동기화된 속성의 변경 사항을 모니터링하고 이를 Apple Business에 자동으로 업데이트합니다. 해당 변경 사항이 동기화되는 간격은 IdP에 따라 달라집니다.
계정 제거
사용자 계정이 Google Workspace, Microsoft Entra ID 또는 IdP에서 삭제되면 Apple Business에서 이에 해당되는 계정이 비활성화되고 삭제 플래그가 지정됩니다. 비활성화된 계정은 기기에서 로그아웃되며 다시 로그인할 수 없습니다. 이 계정은 향후 30일 이내에 다시 동기화되지 않는 경우 자동으로 삭제됩니다.
사용자 ID에 관하여
충돌하는 계정을 식별하기 위해, 사용자 계정이 처음에 OIDC를 사용하여 Apple Business와 동기화될 때 해당 사용자 계정에 “사용자 ID(Person ID)”가 자동으로 생성됩니다.
Apple Business에서 기존에 동기화된 사용자 계정의 “사용자 ID(Person ID)”를 수정하는 경우 해당 사용자 계정은 더 이상 Google Workspace, Microsoft Entra ID 또는 IdP와 페어링되지 않습니다. 사용자 계정을 다시 연결하려면 “사용자 ID(Person ID)” 충돌을 해결해야 합니다.