Synchronizowanie kont użytkowników z dostawcy tożsamości w usłudze Apple Business Manager
W usłudze Apple Business Manager do synchronizowania kont użytkowników z dostawcy tożsamości można używać protokołu OpenID Connect (OIDC) lub systemu SCIM (System do zarządzania identyfikacją domen). Przy użyciu tego systemu łączysz właściwości usługi Apple Business Manager (takie jak role) z danymi konta użytkownika zaimportowanymi z dostawcy tożsamości. Gdy używasz systemu SCIM do synchronizowania użytkowników, informacje o koncie są dostępne tylko do odczytu do momentu odłączenia się od SCIM. W tym czasie konta stają się kontami dodawanymi ręcznie, co umożliwia edycję atrybutów dostępnych na tych kontach (takich jak nazwy użytkowników). Początkowa synchronizacja trwa dłużej niż kolejne cykle. Zapoznaj się z dokumentacją dostawcy tożsamości, aby dowiedzieć się, jak często synchronizuje on użytkowników z usługą Apple Business Manager.
Ważne: Na ukończenie transferu tokena do dostawcy tożsamości i pomyślne nawiązanie połączenia masz tylko 4 dni kalendarzowe, w przeciwnym razie proces trzeba będzie rozpocząć od nowa.
Przed rozpoczęciem
Przed synchronizacją z dostawcą tożsamości przy użyciu połączenia OIDC należy wykonać następujące czynności:
Skonfiguruj i potwierdź własność domeny, z której chcesz korzystać. Zobacz Dodawanie i weryfikowanie domeny.
Skonfiguruj, sfederuj i włącz domenę. Zobacz Korzystanie z uwierzytelniania federacyjnego za pomocą dostawcy tożsamości.
Miej pod telefonem administratora dostawcy tożsamości z uprawnieniami do edytowania ustawień.
Upewnij się, że masz następujące informacje, a następnie skontaktuj się ze swoim dostawcą tożsamości:
Pole unikatowego identyfikatora dotyczące użytkowników: wartością tego atrybutu jest zwykle adres email użytkownika. Służy do tworzenia zarządzanego konta Appleużytkownika. Może to być na przykład pole nazwa użytkownika (userName).
Metoda uwierzytelniania: usługa SAML 2.0.
Tryb uwierzytelniania: protokół OAuth 2.
Adres URL usługi jednokrotnego logowania: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Adres URL wywołania zwrotnego autoryzacji: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Konta użytkowników dostawcy tożsamości (IdP) i usługa Apple Business Manager
Podczas kopiowania użytkownika z dostawcy tożsamości (IdP) do usługi Apple Business Manager przy użyciu systemu SCIM domyślnym ustawieniem roli jest Personel.
Uwaga: Grupy użytkowników Twojego dostawcy tożsamości nie są synchronizowane z usługą Apple Business Manager. Jeśli chcesz mieć te same grupy, możesz utworzyć nowe grupy w usłudze Apple Business Manager i dodać do nich użytkowników.
Atrybut logowania
Usługa Apple Business Manager wymaga, aby atrybut używany w przypadku zarządzanego konta Apple był unikatowy. Zazwyczaj jest to adres email użytkownika. Jeśli użytkownik ma atrybut, który jest dokładnie taki sam jak w przypadku istniejącego użytkownika usługi Apple Business Manager z rolą administratora, synchronizacja nie jest wykonywana, a pole źródłowe pozostaje niezmienione.
ID osoby
Podczas synchronizowania konta użytkownika dostawcy tożsamości z usługą Apple Business Manager tworzony jest ID osoby dla konta użytkownika usługi Apple Business Manager. ID osoby służy do identyfikowania kont użytkownika będących w konflikcie.
Ważne kwestie dotyczące modyfikowania ID osoby:
Jeśli zmodyfikujesz ID osoby dla konta użytkownika wcześniej zaimportowanego z dostawcy tożsamości, konto to nie będzie już dłużej sparowane z dostawcą tożsamości.
Jeśli zmodyfikujesz ID osoby dla konta użytkownika wcześniej zaimportowanego z dostawcy tożsamości i chcesz ponownie połączyć to konto użytkownika, musisz rozstrzygnąć konflikt.
Logowanie się do dostawcy tożsamości (IdP)
Zaloguj się do dostawcy tożsamości (IdP) jako administrator, a następnie wykonaj jedną z następujących czynności:
Odszukaj aplikację utworzoną przez dostawcę tożsamości (IdP). Możesz pominąć kilka kroków w tym zadaniu.
Przejdź do miejsca, w którym możesz utworzyć aplikację lub połączenie.
Utwórz aplikację przy użyciu następujących informacji:
Ważne: Zapamiętaj nazwę aplikacji SCIM, ponieważ może być ona potrzebna podczas tworzenia adresu URL wywołania zwrotnego autoryzacji.
Usługa Apple Business Manager: należy użyć nazwy AppleBusinessManagerSCIM.
Typ aplikacji: należy użyć aplikacji SCIM.
Metoda uwierzytelniania: należy użyć usługi SAML 2.0.
Adres URL usługi jednokrotnego logowania używany w przypadku odbiorcy i miejsca docelowego: należy zapoznać się z dokumentacją dostawcy tożsamości.
URI odbiorcy: należy użyć ID podmiotu.
Zachowaj zmiany.
Konfigurowanie ustawień aprowizacji dla aplikacji SCIM
Znajdź sekcję aprowizacji w aplikacji SCIM dostawcy tożsamości, a następnie wprowadź następujące wartości:
Podstawowy adres URL połączenia SCIM: https://federation.apple.com/feeds/business/scim
URI tokenu dostępu: https://appleaccount.apple.com/auth/oauth2/v2/token
URI autoryzacji: https://appleaccount.apple.com/auth/oauth2/v2/authorize
ID klienta: 123
Tajny klucz klienta: 123
Ważne: Ponieważ nie znasz jeszcze rzeczywistego ID klienta i tajnego klucza klienta SCIM, ciąg 123 pełni rolę symbolu zastępczego. Zastąpisz te wartości w późniejszym zadaniu.
Tryb uwierzytelniania: protokół OAuth 2.
Pole unikatowego identyfikatora użytkownika: należy zapoznać się z dokumentacją dostawcy tożsamości.
Ważne: Upewnij się, że wielkość liter w identyfikatorze jest zgodna.
Obsługiwane działania związane z aprowizacją:
Importowanie nowych użytkowników i aktualizacje profili.
Przesyłanie nowych użytkowników.
Przesyłanie aktualizacji profili.
Zachowaj zmiany.
Tworzenie adresu URL wywołania zwrotnego autoryzacji
Aby uzyskać rekordy użytkownika od dostawcy tożsamości przy użyciu systemu SCIM, należy utworzyć autoryzowany adres URL wywołania zwrotnego dla usługi Apple Business Manager. Ten adres URL wywołania zwrotnego jest oparty na nazwie aplikacji SCIM utworzonej na poziomie dostawcy tożsamości (IdP).
Zapamiętaj nazwę swojej aplikacji SCIM. Na przykład:
Usługa Apple Business Manager: AppleBusinessManagerSCIM
Wklej nazwę aplikacji do poniższego adresu URL. Na przykład:
https://dostawca-tozsamosci.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Zachowaj adres URL wywołania zwrotnego autoryzacji.
Wkleisz go do usługi Apple Business Manager w następnym zadaniu.
Tworzenie informacji o kliencie SCIM i kopiowanie ich na konto dostawcy tożsamości
W usłudze Apple Business Manager zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.
Wybierz swoje imię i nazwisko u dołu paska bocznego, wybierz opcję Preferencje , a następnie wybierz opcję Zarządzane konta Apple .
Wybierz opcję Włącz obok opcji Niestandardowa synchronizacja.
Wklej adres URL wywołania zwrotnego autoryzacji z poprzedniego zadania, a następnie wybierz opcję Utwórz.
Wybierz pozycję Aplikacja SCIM, a następnie wybierz opcję Utwórz.
Otwórz nowy plik tekstowy lub arkusz kalkulacyjny, a następnie wprowadź następujące wartości z usługi Apple Business Manager:
W polu ID klienta OIDC wklej ID klienta SCIM.
W polu Tajny klucz klienta OIDC wklej tajny klucz klienta SCIM.
Wybierz przycisk Kopiuj obok ID klienta, a następnie wklej ID klienta do pliku.
Wybierz opcję Tajny klucz klienta, zdecyduj, jak długo tajny klucz klienta ma pozostawać aktywny przed wygaśnięciem (6, 9 lub 12 miesięcy), a następnie wklej tajny klucz klienta do pliku.
Ważne: W przypadku usunięcia lub zapomnienia tajnego klucza klienta przed wklejeniem go do aplikacji SCIM dostawcy tożsamości (IdP) należy utworzyć nowy tajny klucz klienta.
Wybierz przycisk Gotowe.
Wklejanie ID klienta i tajnego klucza klienta do aplikacji SCIM dostawcy tożsamości i sprawdzanie połączenia
Wróć do sekcji aprowizacji w aplikacji SCIM dostawcy tożsamości, a następnie wklej następujące wartości:
ID klienta SCIM usługi Apple Business Manager
Tajny klucz klienta SCIM usługi Apple Business Manager
Zachowaj zmiany.
Jeśli Twój dostawca tożsamości umożliwia testowanie uwierzytelniania przy użyciu konta administratora dostawcy tożsamości, możesz przetestować je w tej chwili. Może na przykład pojawić się przycisk „Uwierzytelnij przy użyciu [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM]” lub inny, jeśli nadano inną nazwę aplikacji SCIM.
Wprowadź nazwę i hasło administratora dostawcy tożsamości, a następnie wprowadź wartość uwierzytelniania dwupoziomowego.
Przeczytaj uważnie wszystkie informacje dotyczące autoryzacji. Jeśli wyrażasz zgodę, wybierz przycisk Kontynuuj.
W razie potrzeby możesz teraz włączyć uwierzytelnianie federacyjne dla tej domeny.
Konto dostawcy tożsamości (IdP) i usługa Apple Business Manager są skonfigurowane pod kątem synchronizacji określonych zmian atrybutów użytkownika między dostawcą tożsamości a usługą Apple Business Manager.