Wymagania dotyczące synchronizacji Azure AD z usługą Apple Business Manager
Za pomocą systemu SCIM (System for Cross-domain Identity Management) można importować użytkowników do usługi Apple Business Manager. Przy użyciu tego systemu łączysz właściwości usługi Apple Business Manager (takie jak role) z danymi konta użytkownika importowanymi z usługi Microsoft Azure Active Directory (Azure AD). Gdy używasz systemu SCIM do importowania użytkowników, informacje o koncie są tylko do odczytu do momentu odłączenia się od SCIM. W tym czasie konta stają się kontami dodawanymi ręcznie, a atrybuty na tych kontach można edytować. Początkowa synchronizacja trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile działa usługa przypisywania w Azure AD. Zobacz Wskazówki dotyczące aprowizowania w witrynie z dokumentacją Microsoft Azure.
Uprawnienia usługi Azure AD
Osoby pełniące następujące role w usłudze Azure AD mogą używać SCIM do synchronizowania kont z usługą Apple Business Manager:
Administrator aplikacji
Administrator aplikacji w chmurze
Właściciel aplikacji
Administrator globalny
Zobacz Role wbudowane usługi Azure AD w witrynie Microsoft Azure AD.
Dzierżawcy w usłudze Azure AD
Aby używać SCIM z usługą Apple Business Manager, organizacja nie może mieć tego samego dzierżawcy usługi Azure AD, co żadna inna organizacja w usłudze Apple Business Manager. Jeśli chcesz używać systemu SCIM dla swojej organizacji, skontaktuj się z administratorem usługi Azure AD w celu upewnienia się, że żadna inna organizacja nie używa Twojej dzierżawy usługi Azure AD dla systemu SCIM.
Grupy w usłudze Azure AD
W usłudze Azure AD obie metody synchronizacji używają słowa grupy, ale synchronizowane są tylko konta użytkowników. Grupy usługi Azure AD możesz dodawać do aplikacji Apple Business Manager Azure AD. Na przykład jeśli w usłudze Azure AD masz grupy o nazwach Inżynieria, Marketing i Sprzedaż, możesz dodać te trzy grupy do aplikacji Apple Business Manager Azure AD. Jeśli łączysz się przy użyciu systemu SCIM, tylko konta w tych grupach są synchronizowane z usługą Apple Business Manager.
Uwaga: Grupy podrzędne nie są obsługiwane w aplikacji Apple Business Manager Azure AD.
Zakres obsługi administracyjnej
Synchronizację kont z usługi Azure AD z usługą Apple Business Manager można przeprowadzić na dwa sposoby.
Synchronizuj tylko przydzielonych użytkowników i grupy: Ta opcja synchronizuje tylko konta widoczne w aplikacji Apple Business Manager Azure AD z usługą Apple Business Manager. W przypadku korzystania z tej metody synchronizacji konta Azure AD muszą mieć rolę użytkownika, aby można było je synchronizować z usługą Apple Business Manager.
Synchronizuj wszystkich użytkowników i grupy: Ta opcja synchronizuje wszystkie konta (synchronizowanie grup nie jest obsługiwane) widoczne na karcie Użytkownik w usłudze Azure AD z usługą Apple Business Manager i tworzy zarządzane Apple ID dla wszystkich kont sfederowanych Azure AD, nawet jeśli zamierzasz używać tylko określonej liczby kont.
Zobacz artykuły pomocy technicznej Microsoft Co to jest zautomatyzowana obsługa użytkowników aplikacji SaaS w usłudze Azure AD? i Inicjowanie obsługi aplikacji opartej na atrybutach przy użyciu filtrów zakresu.
Powiadomienia dotyczące obsługi administracyjnej
Podczas konfigurowania obsługi administracyjnej należy użyć adresu email użytkownika z rolą administratora lub menedżera osób, aby mogli oni otrzymywać powiadomienia z usługi Azure AD.
SCIM i uwierzytelnianie federacyjne
Jeśli podczas wysyłania kont Azure AD do usługi Apple Business Manager federacja jest już włączona, nie będziesz widzieć aktywności, ale konta będą nadal się synchronizować ze sfederowaną domeną.
Azure AD to dostawca tożsamości (IdP), który uwierzytelnia użytkownika w usłudze Apple Business Manager i wystawia tokeny uwierzytelniania. Ponieważ usługa Apple Business Manager obsługuje usługę Azure AD, inni dostawcy tożsamości łączący się z usługą Azure AD — j k Active Directory Federated Services (ADFS) — również będą działać z usługą Apple School Manager. Uwierzytelnianie federacyjne wykorzystuje protokół Security Assertion Markup Language (SAML), by połączyć usługę Apple Business Manager z Azure AD.
Konta użytkowników Azure AD i usługa Apple Business Manager
Podczas kopiowania użytkownika z usługi Azure AD do usługi Apple Business Manager przy użyciu systemu SCIM domyślnym ustawieniem roli jest Personel. Po ukończeniu synchronizacji można edytować tylko atrybut użytkownika Role. Ten atrybut jest przechowywany z kontem użytkownika w usłudze Apple Business Manager i nie jest zapisywany z powrotem w usłudze Azure AD.
Mapowanie atrybutów użytkownika systemu SCIM
Podczas kopiowania konta do usługi Apple Business Manager z usługi Azure AD przy użyciu systemu SCIM, następujące atrybuty użytkownika są przechowywane jako tylko do odczytu. Tabela wskazuje również czy atrybut użytkownika jest wymagany.
Ważne: Dodanie atrybutów, które nie zostały wymienione w tabeli, przerywa połączenie SCIM.
Atrybut użytkownika usługi Azure AD | Atrybut użytkownika w usłudze Apple Business Manager | Wymagane |
---|---|---|
Imię | Imię | |
Nazwisko | Nazwisko | |
Główna nazwa użytkownika | Zarządzany Apple ID i adres email | |
ID obiektu | (Nie jest wyświetlany w usłudze Apple Business Manager. Ten atrybut służy do identyfikowania konfliktowych kont). | |
Dział | Dział | |
ID pracownika | Numer osoby | |
Atrybut niestandardowy (musi zostać utworzony w aplikacji Apple Business Manager Azure AD) | Centrum kosztów | |
Atrybut niestandardowy (musi zostać utworzony w aplikacji Apple Business Manager Azure AD) | Wydział |
Główna nazwa użytkownika
Jeśli użytkownik ma główną nazwę użytkownika, która jest dokładnie taka sama jak nazwa istniejącego użytkownika z rolą administratora, synchronizacja nie jest wykonywana, a pole źródłowe pozostaje niezmienione.
ID osoby
Podczas synchronizowania użytkownika Azure AD z usługą Apple Business Manager tworzony jest ID osoby dla konta użytkownika usługi Apple Business Manager. ID osoby i ID obiektu służą do identyfikowania konfliktowych kont.
Jeśli zmodyfikujesz ID osoby dla konta wcześniej zaimportowanego z systemu SCIM, konto to nie będzie już dłużej sparowane z usługą Azure AD. Jeśli zmodyfikujesz ID osoby dla konta wcześniej zaimportowanego z systemu SCIM i chcesz ponownie połączyć konto z systemem SCIM, zobacz Rozstrzyganie konfliktów kont użytkowników systemu SCIM.
Zalecenia
Podczas łączenia się z systemem SCIM należy używać tylko aplikacji Apple Business Manager Azure AD.
Jeśli masz zweryfikowaną domenę, ale nie jest włączone uwierzytelnianie federacyjne, musisz poczekać z włączeniem federowania, dopóki nie upewnisz się, że użytkownicy usługi Azure AD zostali wysłani do usługi Apple Business Manager. Zrób to, wyświetlając dzienniki obsługi administracyjnej Azure AD. Po upewnieniu się, że użytkownicy usługi Azure AD zostali wysłani, po włączeniu federowania otrzymasz powiadomienie od aktywności, gdy użytkownicy usługi Azure AD zostaną przypisani. Jeśli podczas wysyłania użytkowników usługi Azure AD federowanie jest już włączone, nie będziesz widzieć aktywności, ale konta będą nadal synchronizowane.
Jeśli w usłudze Azure AD masz skonfigurowaną grupę, możesz dodać tę grupę do aplikacji Apple Business Manager Azure AD zamiast dodawać każdego użytkownika.
Ważne: Nie używaj ponownie nazwy użytkownika przez 120 dni w aplikacji Apple Business Manager Azure AD.
Przed rozpoczęciem
Przed rozpoczęciem musisz wykonać następujące czynności:
Skonfiguruj i potwierdź własność domeny, z której chcesz korzystać. Zobacz Łączenie z nowymi domenami.
Skonfiguruj uwierzytelnianie federacyjne (ale go nie włączaj). Zobacz Włączanie i testowanie uwierzytelniania federacyjnego.
Uwaga: Jeśli uwierzytelnianie federacyjne jest już włączone, nadal możesz kontynuować. Zobacz zalecenia w poprzedniej sekcji.
Określ typ synchronizacji w usłudze Azure AD i w razie potrzeby utwórz grupy w celu synchronizowania tylko przydzielonych kont z aplikacją Apple Business Manager Azure AD:
Synchronizowanie tylko przydzielonych użytkowników.
Synchronizowanie wszystkich użytkowników.
Korzystanie z usług dyżurnego administratora usługi Azure AD z uprawnieniami do edytowania aplikacji dla przedsiębiorstw. Gdy oboje jesteście gotowi, zobacz Importowanie użytkowników przy użyciu SCIM.