
Introduksjon to katalogsynkronisering med Apple Business Manager
Du kan bruke OpenID Connect (OIDC) med Apple Business Manager til å synkronisere brukerkontoer fra følgende:
Google Workspace
Microsoft Entra ID
Identitetsleverandøren (IdP-en) din
Noen IdP-er kan også bruke SCIM (System for Cross-domain Identity Management)
Merk: Du kan synkronisere til Google Workspace, Microsoft Entra ID eller IdP-en din, men bare én av disse om gangen.
Før du starter
Før du synkroniserer til Google Workspace, Microsoft Entra ID eller IdP-en din, bør du vurdere følgende:
Synkronisering av brukergrupper støttes ikke.
Krav
Om nødvendig må du bekrefte et domene manuelt. Se Legg til og verifiser et domene.
Du må slå på forent autentisering. Se Introduksjon til forent autentisering.
Ha tilgjengelig en administrator med tillatelser til å redigere Google Workspace-, Microsoft Entra ID- eller andre IdP-innstillinger.
Apple Business Manager krever at attributtet som brukes for den administrerte Apple-kontoen, er unikt. Vanligvis er dette brukerens e-postadresse. Hvis en bruker har et attributt som er identisk med en eksisterende Apple Business Manager-bruker med rollen administrator, utføres det ingen synkronisering, og kildefeltet forblir uendret.
Når du konfigurerer den første tilkoblingen, må du bruke e-postadressen til en bruker med rollen administrator eller personansvarlig, slik at vedkommende kan motta varslinger fra Google Workspace, Microsoft Entra ID eller andre IdP-er du synkroniserer med.
IdP-spesifikke krav
Ved kobling til Microsoft Entra ID:
For å bruke OIDC sammen med Apple Business Manager kan ikke organisasjonen din ha samme Microsoft Entra ID-leietaker som en annen Apple Business Manager-organisasjon. Hvis du vil bruke OIDC for organisasjonen din, må du ta kontakt med den globale administratoren din for Microsoft Entra ID for å forsikre deg om at ingen andre organisasjoner bruker Entra ID-leietakeren din for OIDC.
Hvis en brukerkonto har et brukerhovednavn (UPN) som er identisk med navnet til en eksisterende brukerkonto med rollen administrator eller personansvarlig, utføres det ingen synkronisering, og kildefeltet forblir uendret.
Ved kobling til en IdP som ikke er Google Workspace eller Microsoft Entra ID, må du ha følgende informasjon:
Unikt identifikatorfelt for brukere: Verdien av dette attributtet er vanligvis brukerens e-postadresse. Dette brukes til å opprette brukerens administrerte Apple-konto. Det kan for eksempel være userName.
Autentiseringsmetode: SAML 2.0.
Autentiseringsmodus: OAuth 2.
Nettadresse for enkeltpålogging: Se dokumentasjonen til IdP-en din.
Nettadresse for autoriseringstilbakekall: Se dokumentasjonen til IdP-en din.
Automatiske endringer
Følger med på endringer ved brukerkontoer og synkroniserer dem automatisk med Apple Business Manager.
Fjerner automatisk administrerte Apple-kontoer når de tilsvarende brukerkontoene fjernes i Google Workspace, Microsoft Entra ID eller din IdP.
Når en brukerkonto synkroniseres til Apple Business Manager, er standardrollen personale. Når synkroniseringen er fullført, kan kun Roller-attributtet for brukerkontoer redigeres. Dette attributtet lagres med brukerkontoen i Apple Business Manager, og blir ikke skrevet tilbake til Google Workspace, Microsoft Entra ID eller din IdP.
Den synkroniserte kontoinformasjonen legges til med skrivebeskyttelse frem til du slår av synkronisering. På dette tidspunktet blir kontoene manuelle kontoer, og attributtene i disse kontoene (f.eks. brukernavn) kan da redigeres.
Merk: Den første synkroniseringen tar lengre tid enn påfølgende sykluser. Se IdP-dokumentasjonen for å finne ut hvor ofte de synkroniserer brukere.
Om person-ID-en
Når en brukerkonto i utgangspunktet synkroniseres ved hjelp av OIDC til Apple Business Manager, genereres en person-ID automatisk for den brukerkontoen, for å oppdage motstridende kontoer.
Hvis du endrer person-ID-en i Apple Business Manager for en brukerkonto som tidligere er synkronisert, vil den brukerkontoen ikke lenger være sammenkoblet med Google Workspace, Microsoft Entra ID eller IdP-en din. Hvis du vil koble til brukerkontoen på nytt, må du løse person-ID-konflikten.