Gefedereerde authenticatie met je identiteitsprovider gebruiken in Apple Business Manager
In Apple Business Manager kun je met behulp van gefedereerde authenticatie koppelen met je identiteitsprovider (IdP) zodat gebruikers bij hun Apple apparaten kunnen inloggen met hun IdP-gebruikersnaam (over het algemeen hun e-mailadres) en -wachtwoord.
Het resultaat is dat je gebruikers hun IdP-inloggegevens kunnen gebruiken als Beheerde Apple Accounts. Ze kunnen dan deze inloggegevens gebruiken om in te loggen op hun toegewezen iPhone, iPad of Mac en zelfs bij iCloud op internet.
Voordat je aan de slag gaat
Denk aan het volgende voordat je koppelt met je IdP:
Je moet 'Domein vastleggen' vergrendelen en inschakelen voordat je kunt federeren. Zie Een domein vergrendelen.
Gefedereerde authenticatie moet het e-mailadres van de gebruiker gebruiken als de gebruikersnaam. Aliassen worden niet ondersteund.
Voor bestaande gebruikers met een e-mailadres in het gefedereerde domein wordt hun beheerde Apple Account automatisch gewijzigd zodat deze overeenkomt met dat e-mailadres.
Configureer en verifieer het domein dat je wilt gebruiken. Zie Een domein toevoegen en verifiëren.
Gebruikersaccounts met de rol van beheerder of personenmanager kunnen niet inloggen met gefedereerde authenticatie; zij kunnen het federatieproces alleen beheren.
Wanneer de IdP-verbinding is verlopen, wordt de federatie en synchronisatie van gebruikersaccounts met IdP gestopt. Je moet opnieuw verbinding maken met je IdP om federatie en synchronisatie te blijven gebruiken.
Voor gefedereerde authenticatie moet je de volgende informatie hebben:
Inlogmethode: Gebruik Open ID Connect (OIDC).
Bereiktoegang: Toegang moet worden verleend voor
ssf.manage
enssf.read
.Configuratie-URL voor Shared Signals Framework (SSF): raadpleeg de documentatie van je IdP.
Configuratie-URL voor OpenID: raadpleeg de documentatie van je IdP.
Proces voor gefedereerde authenticatie
Dit proces omvat vier belangrijke stappen:
Een domein toevoegen en verifiëren.
Een nieuwe OIDC-app of -verbinding aanmaken.
Gefedereerde authenticatie configureren en authenticatie testen met één IdP-gebruikersaccount.
Gefedereerde authenticatie inschakelen.
Stap 1: Een domein verifiëren
Voordat je je IdP-gebruikersaccounts met Apple Business Manager kunt bekijken, moet je het domein dat je wilt gebruiken toevoegen en verifiëren.
Zie Een domein toevoegen en verifiëren.
Het verificatieproces waarborgt dat je organisatie de autoriteit heeft om de domeinnaamservice-records (DNS-records) voor je domein te wijzigen. Om bijvoorbeeld betterbag.com als je domein te gebruiken, voeg je binnen 14 kalenderdagen na aanvang van het verificatieproces, een specifiek TXT-record toe aan het zonebestand van je domeinnaamserver. Het verificatieproces begint wanneer je de knop 'Verifieer' selecteert.
Opmerking: Probeer je een domein te federeren dat je al hebt geverifieerd, maar een andere organisatie heeft het identieke domein al gefedereerd? Neem dan contact op met die organisatie om vast te stellen wie het recht heeft om het domein te federeren. Raadpleeg Domeinconflicten.
Stap 2: Een nieuwe OIDC-app of -verbinding maken
Om verbinding te maken met Apple Business Manager, moet je IdP een app hebben of maken die specifieke instellingen bevat om verbinding te maken met Apple Business Manager. Omdat elke IdP een andere methode heeft voor het maken van een app en een plaats waar specifieke instellingen zich bevinden, raadpleeg de documentatie van je IdP over hoe je dit proces moet voltooien.
Log in als beheerder bij je IdP en voer dan één van de volgende handelingen uit:
Zoek de app die door je IdP is gemaakt. Mogelijk kun je verschillende stappen in deze taak overslaan.
Navigeer naar waar je een app of verbinding kunt maken.
Maak de app of verbinding met de volgende informatie:
Apple Business Manager: AppleBusinessManagerOIDC.
Inlogmethode: Open ID Connect (OIDC).
App-type: webapp.
Toestemmingstype: vernieuwingstoken.
Omleidings-URI voor inloggen: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Toegang: sta specifieke gebruikersaccounts toe.
Bereiktoegang: Toegang moet worden verleend voor
ssf.manage
enssf.read
.
Sla de wijzigingen op.
Verderop op deze pagina moet je bepaalde informatie in Apple Business Manager plakken. Vervolgens moet je die informatie kopiëren naar een tekst- of spreadsheetbestand.
Open een nieuw tekstbestand of spreadsheet en voer de volgende waarden van de IdP in:
Voor de OIDC-client-ID plak je de OIDC-client-ID.
Voor het OIDC-clientgeheim plak je het OIDC-clientgeheim.
Sla het bestand op een veilige locatie op.
Stap 3: Gefedereerde authenticatie configureren en authenticatie testen met één IdP-gebruikersaccount
Deze stap is bedoeld om een vertrouwensrelatie op te zetten tussen je IdP en Apple Business Manager.
Opmerking: Als je deze stap hebt voltooid, kunnen gebruikers geen nieuwe persoonlijke Apple Accounts meer maken op het domein dat jij configureert. Dit kan ook invloed hebben op andere diensten van Apple die je gebruikers gebruiken. Raadpleeg Services van Apple overzetten bij federatie.
Log in bij Apple Business Manager als een gebruiker die de rol van beheerder of personenmanager heeft.
Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren' , selecteer beheerde Apple Accounts en vervolgens 'Aan de slag' onder 'Gebruikersaanmelding en directory-synchronisatie'.
Selecteer 'Aangepaste identiteitsprovider' en selecteer 'Ga door'.
Voer een naam in voor je gefedereerde-authenticatieverbinding.
De naam mag 128 tekens lang zijn.
Kopieer de waarden voor de client-ID en het clientgeheim naar Apple Business Manager vanuit het tekstbestand of spreadsheet dat je in de vorige sectie hebt opgeslagen.
Neem contact op met je IdP om URL’s te krijgen voor de volgende twee configuraties:
Shared Signals Framework (SSF)
OpenID
Selecteer 'Ga door'.
Als alle waarden die je hebt opgegeven geldig zijn, wordt de inlogpagina van je IdP weergegeven. Ga verder met stap 8.
Log in met de gebruikersnaam en het wachtwoord van een IdP-beheerder.
Selecteer 'Gereed'.
Stap 4: Gefedereerde authenticatie inschakelen
Log in bij Apple Business Manager als een gebruiker die de rol van beheerder of personenmanager heeft.
Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren' en selecteer beheerde Apple Accounts .
Selecteer 'Beheer' naast het domein dat je wilt federeren in het gedeelte 'Domeinen' en selecteer 'Log in met je identiteitsprovider inschakelen'.
Schakel 'Log in met je identiteitsprovider' in.
Indien nodig kun je nu gebruikersaccounts synchroniseren met Apple Business Manager. Zie Gebruikersaccounts van je identiteitsprovider synchroniseren.