Introduksjon til katalogsynkronisering med Apple Business Manager
Katalogsynkronisering bidrar til å holde dataene i Apple Business Manager oppdaterte med identitetsleverandøren din (IdP). Ved hjelp av katalogsynkronisering blir Apple Business Manager automatisk informert av IdP-en din og kan oppdatere informasjonen når følgende skjer:
En ny brukerkonto er opprettet
Brukerkontoinformasjon er endret
En brukerkonto er slettet
Du kan bruke OpenID Connect (OIDC) med Apple Business Manager for å synkronisere brukerkontoer fra de følgende (men kun én om gangen):
Google Workspace
Microsoft Entra ID
Identitetsleverandøren din
Noen IdP-er kan også bruke SCIM (System for Cross-domain Identity Management)
Før du starter
Før du synkroniserer til Google Workspace, Microsoft Entra ID eller IdP-en din, bør du vurdere følgende:
Synkronisering av brukergrupper støttes ikke.
Den første synkroniseringen tar lengre tid enn påfølgende sykluser. Se IdP-dokumentasjonen for å finne ut hvor ofte de synkroniserer brukere.
Krav
Om nødvendig må du bekrefte et domene manuelt. Se Legg til og verifiser et domene.
Du må slå på forent autentisering. Se Introduksjon til forent autentisering.
Ha tilgjengelig en administrator med tillatelser til å redigere Google Workspace-, Microsoft Entra ID- eller andre IdP-innstillinger.
Apple Business Manager krever at attributtet som brukes for den administrerte Apple-kontoen, er unikt. Vanligvis er dette brukerens e-postadresse. Hvis en bruker har et attributt som er identisk med en eksisterende Apple Business Manager-bruker med rollen administrator, utføres det ingen synkronisering, og kildefeltet forblir uendret.
Når du konfigurerer den første tilkoblingen, må du bruke e-postadressen til en bruker med rollen «administrator» eller «personansvarlig», slik at vedkommende kan motta varslinger fra Google Workspace, Microsoft Entra ID eller andre IdP-er du synkroniserer med.
IdP-spesifikke krav
Ved kobling til Microsoft Entra ID:
For å bruke OIDC sammen med Apple Business Manager kan organisasjonen din ikke ha samme Microsoft Entra ID-leietaker som en annen Apple Business Manager-organisasjon. Hvis du vil bruke OIDC for organisasjonen din, må du ta kontakt med Entra ID-administratoren din for å forsikre deg om at ingen andre organisasjoner bruker Entra ID-leietakeren din for OIDC.
Hvis en brukerkonto har et brukerhovednavn (UPN) som er identisk med navnet til en eksisterende brukerkonto med rollen administrator eller personansvarlig, utføres det ingen synkronisering, og kildefeltet forblir uendret.
Ved kobling til en IdP som ikke er Google Workspace eller Microsoft Entra ID, må du ha følgende informasjon:
Unikt identifikatorfelt for brukere: Verdien av dette attributtet er vanligvis brukerens e-postadresse. Dette brukes til å opprette brukerens administrerte Apple-konto. Det kan for eksempel være userName.
Autentiseringsmetode: SAML 2.0.
Autentiseringsmodus: OAuth 2.
Nettadresse for enkeltpålogging: Se dokumentasjonen til IdP-en din.
Nettadresse for autoriseringstilbakekall: Se dokumentasjonen til IdP-en din.
Automatiske endringer
Kontooppretting
Når katalogsynkronisering er konfigurert, synkroniseres brukerkontoer til Apple Business Manager og tilordnes rollen «personale». Den synkroniserte kontoinformasjonen legges til med kun lesetilgang, men rolleattributtet til en brukerkonto kan redigeres. Dette attributtet lagres med brukerkontoen i Apple Business Manager, og blir ikke skrevet tilbake til Google Workspace, Microsoft Entra ID eller IdP-en din.
Når forent autentisering er slått av, blir kontoer manuelle kontoer, og attributter i disse kontoene (som brukernavn) kan da redigeres.
Endring av konto
Katalogsynkronisering overvåker endringer i de synkroniserte attributtene og oppdaterer dem automatisk i Apple Business Manager. Intervallet disse endringene synkroniseres i er avhengig av identitetsleverandøren.
Fjerning av konto
Når en brukerkonto fjernes i Google Workspace, Microsoft Entra ID eller IdP-en din, deaktiveres den korresponderende kontoen i Apple Business Manager og flagges for sletting. En deaktivert konto blir logget av enheter og kan ikke logges på igjen. Med mindre kontoen synkroniseres igjen innen de neste 30 dagene, blir den automatisk fjernet.
Om person-ID-en
Når en brukerkonto i utgangspunktet synkroniseres ved hjelp av OIDC til Apple Business Manager, genereres en person-ID automatisk for den brukerkontoen, for å oppdage motstridende kontoer.
Hvis du endrer person-ID-en i Apple Business Manager for en brukerkonto som tidligere er synkronisert, vil den brukerkontoen ikke lenger være sammenkoblet med Google Workspace, Microsoft Entra ID eller IdP-en din. Hvis du vil koble til brukerkontoen på nytt, må du løse person-ID-konflikten.