Inleiding tot directory-synchronisatie met Apple Business Manager
Als je de directory synchroniseert, kun je de gegevens in Apple Business Manager up-to-date houden met je identiteitsprovider (IdP). Dankzij directory-synchronisatie wordt Apple Business Manager automatisch op de hoogte gesteld door je IdP en kan de informatie worden bijgewerkt wanneer het volgende gebeurt:
Er is een nieuwe gebruiker aangemaakt
Gebruikersaccountgegevens zijn gewijzigd
Er is een gebruikersaccount verwijderd
Je kunt OpenID Connect (OIDC) gebruiken met Apple Business Manager om gebruikersaccounts te synchroniseren van (maar slechts één tegelijk):
Google Workspace
Microsoft Entra ID
Je IdP
Sommige IdP's kunnen ook System for Cross-domain Identity Management (SCIM) gebruiken
Voordat je aan de slag gaat
Voordat je synchroniseert met Google Workspace, Microsoft Entra ID of je IdP, moet je het volgende overwegen:
Het synchroniseren van gebruikersgroepen wordt niet ondersteund.
De eerste synchronisatie duurt langer dan de volgende cycli. Raadpleeg de documentatie van je IdP om te weten te komen hoe vaak ze gebruikers synchroniseren.
Vereisten
Verifieer indien nodig een domein handmatig Zie Een domein toevoegen en verifiëren.
Je moet gefedereerde authenticatie inschakelen. Raadpleeg Inleiding tot gefedereerde authenticatie.
Laat een beheerder met bevoegdheden om instellingen voor Google Workspace, Microsoft Entra ID of een andere IdP te bewerken op stand-by staan.
Voor Apple Business Manager moet het kenmerk dat wordt gebruikt voor de Beheerde Apple Account uniek zijn. Dit is doorgaans het e‑mailadres van de gebruiker. Als een gebruiker een kenmerk heeft dat precies hetzelfde is als een bestaande Apple Business Manager-gebruiker met de rol beheerder, wordt er geen synchronisatie uitgevoerd en blijft het bronveld ongewijzigd.
Als je de initiële verbinding configureert, moet je het e-mailadres gebruiken van een gebruiker met de rol van beheerder of personenmanager zodat deze meldingen kan ontvangen van Google Workspace, Microsoft Entra ID of een andere IdP waarmee je synchroniseert.
Voor IdP specifieke vereisten
In geval van een koppeling met Microsoft Entra ID:
Als je OIDC wilt gebruiken met Apple Business Manager, mag je organisatie niet dezelfde Microsoft Entra ID-tenant hebben als een andere Apple Business Manager-organisatie. Als je OIDC voor je organisatie wilt gebruiken, neem dan contact op met je algemene beheerder van Microsoft Entra ID om ervoor te zorgen dat er geen andere organisatie is die je Entra ID-tenant gebruikt voor OIDC.
Als een gebruikersaccount een User Principal Name (UPN) heeft die precies hetzelfde is als een bestaande gebruikersaccount die de rol beheerder of personenmanager heeft, wordt er geen synchronisatie uitgevoerd en blijft het bronveld ongewijzigd.
Als je een koppeling maakt met een andere IdP dan Google Workspace of Microsoft Entra ID, moet je over de volgende informatie beschikken:
Veld Unieke identificatie voor gebruikers: de waarde van dit kenmerk is doorgaans het e‑mailadres van de gebruiker. Dit wordt gebruikt om de Beheerde Apple Account van de gebruiker aan te maken. Dit kan bijvoorbeeld userName zijn.
Authenticatiemethode: SAML 2.0.
Authenticatiemodus: OAuth 2.
URL voor Single Sign-On: raadpleeg de documentatie van je IdP.
Autorisatie van callback-URL: raadpleeg de documentatie van je IdP.
Automatische wijzigingen
Account aanmaken
Wanneer directory-synchronisatie wordt geconfigureerd, worden gebruikersaccounts gesynchroniseerd naar Apple Business Manager en wordt de rol van medewerker toegewezen. De gesynchroniseerde accountgegevens worden toegevoegd als alleen-lezen, maar het kenmerk 'Rollen' van een gebruikersaccount kan worden gewijzigd. Dit kenmerk wordt met de gebruikersaccount bewaard in Apple Business Manager en worden niet teruggeschreven naar Google Workspace, Microsoft Entra ID of je IdP.
Wanneer gefedereerde authenticatie is uitgeschakeld, worden accounts handmatige accounts en kunnen de kenmerken van deze accounts (zoals gebruikersnamen) vervolgens worden gewijzigd.
Accountaanpassing
Met directory-synchronisatie worden wijzigingen aan de gesynchroniseerde kenmerken bijgehouden en automatisch bijgewerkt in Apple Business Manager. De interval waarmee deze wijzigingen worden gesynchroniseerd, is afhankelijk van de IdP.
Accountverwijdering
Wanneer een gebruikersaccount wordt verwijderd in Google Workspace, Microsoft Entra ID of je IdP, wordt de overeenkomende account in Apple Business Manager gedeactiveerd en gemarkeerd voor verwijdering. Een gedeactiveerde account wordt uitgelogd bij apparaten en kan niet opnieuw worden ingelogd. Als de account niet binnen 30 dagen opnieuw wordt gesynchroniseerd, wordt deze automatisch verwijderd.
Informatie over de Persoons-ID
Om conflicterende accounts te identificeren, wordt bij de eerste synchronisatie van een gebruikersaccount met OIDC naar Apple Business Manager automatisch een persoons-ID gegenereerd voor die gebruikersaccount.
Als je in Apple Business Manager de persoons-ID wijzigt voor een gebruikersaccount die is gesynchroniseerd, wordt die gebruikersaccount niet meer gekoppeld aan Google Workspace, Microsoft Entra ID of je IdP. Als je de gebruikersaccount opnieuw wilt verbinden, moet je het conflict met de persoons-ID oplossen.