Gefedereerde authenticatie met je identiteitsprovider gebruiken in Apple Business Manager
In Apple Business Manager kun je met behulp van gefedereerde authenticatie koppelen met je identiteitsprovider (IdP) zodat gebruikers bij hun Apple apparaten kunnen inloggen met hun IdP-gebruikersnaam (over het algemeen hun e-mailadres) en -wachtwoord.
Het resultaat is dat je gebruikers hun IdP-inloggegevens kunnen gebruiken als een beheerde Apple Account. Ze kunnen deze inloggegevens gebruiken om in te loggen op hun toegewezen iPhone, iPad of Mac, Apple Vision Pro en bij Gedeelde iPad. Nadat ze hebben ingelogd bij een van die apparaten, kunnen ze ook inloggen bij iCloud op internet.
Proces voor gefedereerde authenticatie
Dit proces omvat vier belangrijke stappen:
Een domein toevoegen en verifiëren.
Een nieuwe OIDC-app of -verbinding aanmaken.
Gefedereerde authenticatie configureren en authenticatie testen met één IdP-gebruikersaccount.
Gefedereerde authenticatie inschakelen.
Belangrijk: Bestudeer het volgende voordat je gefedereerde authenticatie configureert.
Stap 1: Een domein verifiëren
Voordat je je IdP-gebruikersaccounts met Apple Business Manager kunt bekijken, moet je het domein dat je wilt gebruiken toevoegen en verifiëren.
Zie Een domein toevoegen en verifiëren.
Het verificatieproces waarborgt dat je organisatie de autoriteit heeft om de domeinnaamservice-records (DNS-records) voor je domein te wijzigen. Om bijvoorbeeld betterbag.com als je domein te gebruiken, voeg je binnen 14 kalenderdagen na aanvang van het verificatieproces, een specifiek TXT-record toe aan het zonebestand van je domeinnaamserver. Het verificatieproces begint wanneer je de knop 'Verifieer' selecteert.
Opmerking: Probeer je een domein te federeren dat je al hebt geverifieerd, maar een andere organisatie heeft het identieke domein al gefedereerd? Neem dan contact op met die organisatie om vast te stellen wie het recht heeft om het domein te federeren. Raadpleeg Domeinconflicten.
Stap 2: Een nieuwe OIDC-app of -verbinding maken
Om verbinding te maken met Apple Business Manager, moet je IdP een app hebben of maken die specifieke instellingen bevat om verbinding te maken met Apple Business Manager. Omdat elke IdP een andere methode heeft voor het maken van een app en een plaats waar specifieke instellingen zich bevinden, raadpleeg de documentatie van je IdP over hoe je dit proces moet voltooien.
Log in als beheerder bij je IdP en voer dan één van de volgende handelingen uit:
Zoek de app die door je IdP is gemaakt. Mogelijk kun je verschillende stappen in deze taak overslaan.
Navigeer naar waar je een app of verbinding kunt maken.
Maak de app of verbinding met de volgende informatie:
Apple Business Manager: AppleBusinessManagerOIDC.
Inlogmethode: Open ID Connect (OIDC).
App-type: webapp.
Toestemmingstype: vernieuwingstoken.
Omleidings-URI voor inloggen: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Toegang: sta specifieke gebruikersaccounts toe.
Bereiktoegang: Toegang moet worden verleend voor
ssf.manageenssf.read.
Sla de wijzigingen op.
Verderop op deze pagina moet je bepaalde informatie in Apple Business Manager plakken. Vervolgens moet je die informatie kopiëren naar een tekst- of spreadsheetbestand.
Open een nieuw tekstbestand of spreadsheet en voer de volgende waarden van de IdP in:
Voor de OIDC-client-ID plak je de OIDC-client-ID.
Voor het OIDC-clientgeheim plak je het OIDC-clientgeheim.
Sla het bestand op een veilige locatie op.
Stap 3: Gefedereerde authenticatie configureren en authenticatie testen met één IdP-gebruikersaccount
Deze stap is bedoeld om een vertrouwensrelatie op te zetten tussen je IdP en Apple Business Manager.
Opmerking: Als je deze stap hebt voltooid, kunnen gebruikers geen nieuwe persoonlijke Apple Accounts meer maken op het domein dat jij configureert. Dit kan ook invloed hebben op andere diensten van Apple die je gebruikers gebruiken. Raadpleeg Draag diensten van Apple over aan een beheerde Apple Account.
Log in bij Apple Business Manager
als een gebruiker die de rol van beheerder of personenmanager heeft.Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren'
, selecteer beheerde Apple Accounts 
en vervolgens 'Aan de slag' onder 'Gebruikersaanmelding en directory-synchronisatie'.Selecteer 'Aangepaste identiteitsprovider' en selecteer 'Ga door'.
Voer een naam in voor je gefedereerde-authenticatieverbinding.
De naam mag 128 tekens lang zijn.
Kopieer de waarden voor de client-ID en het clientgeheim naar Apple Business Manager vanuit het tekstbestand of spreadsheet dat je in de vorige sectie hebt opgeslagen.
Neem contact op met je IdP om URL’s te krijgen voor de volgende twee configuraties:
Shared Signals Framework (SSF)
OpenID
Selecteer 'Ga door'.
Als alle waarden die je hebt opgegeven geldig zijn, wordt de inlogpagina van je IdP weergegeven. Ga verder met stap 8.
Log in met de gebruikersnaam en het wachtwoord van een IdP-beheerder.
Selecteer 'Gereed'.
Stap 4: Gefedereerde authenticatie inschakelen
Log in bij Apple Business Manager
als een gebruiker die de rol van beheerder of personenmanager heeft.Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren'
en selecteer beheerde Apple Accounts .Selecteer 'Beheer' naast het domein dat je wilt federeren in het gedeelte 'Domeinen' en selecteer 'Log in met je identiteitsprovider inschakelen'.
Schakel 'Log in met je identiteitsprovider' in.
Indien nodig kun je nu gebruikersaccounts synchroniseren met Apple Business Manager. Zie Gebruikersaccounts van je identiteitsprovider synchroniseren.