Korzystanie z uwierzytelniania federacyjnego z usługą Microsoft Azure AD w usłudze Apple Business Manager
W usłudze Apple Business Manager możesz nawiązać połączenie z usługą Microsoft Azure Active Directory (Azure AD), aby umożliwić użytkownikom logowanie się za pomocą nazwy użytkownika i hasła z usługi Azure AD.
Azure AD to dostawca tożsamości (IdP), który uwierzytelnia użytkownika w usłudze Apple Business Manager i wystawia tokeny uwierzytelniania. To uwierzytelnianie obsługuje uwierzytelnianie za pomocą certyfikatu oraz uwierzytelnianie dwupoziomowe (2FA). Ponieważ usługa Apple Business Manager obsługuje usługę Azure AD, inni dostawcy tożsamości łączący się z usługą Azure AD — jak Active Directory Federation Services (AD FS) — również będą działać z usługą Apple Business Manager.
Ważne: Uwierzytelnianie federacyjne wymaga, aby główna nazwa użytkownika (UPN) odpowiadała adresowi email użytkownika. Aliasy głównej nazwy użytkownika i alternatywne identyfikatory nie są obsługiwane.
Uwierzytelnianie federacyjne i synchronizacja katalogów z dzierżawcami Microsoft
Aby dodać aplikację Apple Business Manager Azure AD z dzierżawcami Microsoft, administrator dzierżawców musi wykonać proces konfiguracji uwierzytelniania federacyjnego oraz przetestować uwierzytelnianie. W przypadku powodzenia uwierzytelniania aplikacja Apple Business Manager Azure AD zostaje wypełniona przez dzierżawcę, a administrator może sfederować domeny i skonfigurować usługę Apple Business Manager do korzystania z systemu SCIM (System do zarządzania identyfikacją domen) do synchronizacji katalogów. Zobacz Przeglądanie wymagań systemu SCIM.
Przed rozpoczęciem
Istnieje trzyetapowy proces łączenia usługi Apple Business Manager z Azure AD i korzystania z uwierzytelniania federacyjnego:
Dodaj domenę i potwierdź jej własność. Zobacz Łączenie z nowymi domenami.
Można sfederować wiele domen, ale muszą one pochodzić od tego samego jednego dzierżawcy publicznego. Jeśli próbujesz sfederować domenę, której własność została już przez Ciebie potwierdzona, ale inna organizacja już sfederowała identyczną domenę, musisz skontaktować się z tą organizacją, aby ustalić, kto ma uprawnienia do sfederowania domeny. Zobacz Informacje o konfliktach domen.
Skonfiguruj proces uwierzytelniania federacyjnego.
Przetestuj uwierzytelnianie za pomocą jednego konta domeny Azure AD.
Konfigurowanie procesu uwierzytelniania federacyjnego
Zadanie to pozwala usłudze Azure AD zaufać usłudze Apple Business Manager.
W usłudze Apple Business Manager zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.
Wybierz swoje imię i nazwisko na dole paska bocznego, wybierz opcję Preferencje , a następnie wybierz opcję Konta .
Obok opcji Uwierzytelnianie federacyjne wybierz przycisk Edytuj, a następnie wybierz przycisk Połącz.
Wybierz opcję „Zaloguj się przy użyciu konta Microsoft”, podaj konto globalnego administratora, administratora aplikacji lub administratora aplikacji w chmurze usługi Microsoft Azure AD, a następnie wybierz przycisk Dalej.
Wpisz hasło do konta, a następnie wybierz przycisk Zaloguj.
Dokładnie przeczytaj umowę dotyczącą aplikacji, a następnie wybierz przycisk Akceptuj.
Wyrażasz zgodę na to, aby firma Microsoft umożliwiła firmie Apple dostęp do informacji znalezionych w usłudze Azure AD.
Wybierz przycisk Gotowe.
Uwaga: Po wykonaniu tego kroku użytkownicy nie mogą tworzyć nowych osobistych Apple ID w skonfigurowanej domenie. Może to mieć wpływ na inne usługi Apple, z których korzystasz. Zobacz Przenoszenie usług Apple w procesie federacji.
W niektórych przypadkach dodanie domeny może nie być możliwe. Często spotykane przyczyny to:
Globalny administrator, administrator aplikacji lub administrator aplikacji w chmurze usługi Azure AD nie ma uprawnień do dodawania domen w usłudze Microsoft Azure AD.
Nazwa użytkownika lub hasło z konta w kroku 4 są nieprawidłowe.
Testowanie uwierzytelniania za pomocą jednego konta Azure AD
Zadanie to umożliwia usłudze Apple Business Manager zaufać usłudze Azure AD. Po potwierdzeniu własności domeny i pomyślnym przetestowaniu uwierzytelnienia za pomocą jednego konta Azure AD możesz teraz utworzyć dodatkowe konta i kontynuować federowanie domeny.
Wybierz przycisk Sfederuj obok domeny, którą chcesz sfederować.
Wybierz opcję „Zaloguj się do portalu Microsoft Azure”, a następnie podaj swoją nazwę użytkownika i hasło.
Podaj konto globalnego administratora, administratora aplikacji lub administratora aplikacji w chmurze usługi Microsoft Azure AD, które istnieje w danej domenie, a następnie wybierz przycisk Dalej.
Wprowadź hasło do konta, wybierz przycisk Zaloguj, wybierz przycisk Gotowe, a następnie wybierz przycisk Gotowe.
W niektórych przypadkach zalogowanie się do domeny może nie być możliwe. Oto kilka często spotykanych powodów:
Nazwa użytkownika lub hasło z domeny wybranej do federacji jest nieprawidłowe.
Konto nie znajduje się w domenie wybranej do federacji.
Po pomyślnym zalogowaniu usługa Apple Business Manager sprawdza, czy nazwa użytkownika nie jest w konflikcie z tą domeną. Aby można było korzystać z uwierzytelniania federacyjnego w tej domenie, należy wykonać sprawdzenie pod kątem konfliktów nazw użytkowników.
Uwaga: Po pomyślnym połączeniu usługi Apple Business Manager z usługą Azure AD, możesz zmienić rolę konta na inną. Możesz na przykład zmienić rolę konta na rolę personelu.
Włączanie uwierzytelniania federacyjnego
Przed włączeniem uwierzytelniania federacyjnego upewnij się, że masz połączenie z nową domeną, która została zweryfikowana.
Uwaga: Jeśli planujesz nawiązanie połączenia z usługą Azure AD przy użyciu SCIM, należy poczekać z włączeniem uwierzytelniania federacyjnego do momentu pomyślnego nawiązania połączenia SCIM.
W usłudze Apple Business Manager zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.
Wybierz swoje imię i nazwisko na dole paska bocznego, wybierz opcję Preferencje , a następnie wybierz opcję Konta .
Wybierz przycisk Edytuj w sekcji Domeny, a następnie włącz uwierzytelnianie federacyjne dla domen, które zostały dodane do usługi Apple Business Manager.
Uaktualnianie wszystkich kont może trochę potrwać.
Testowanie uwierzytelniania federacyjnego
Możesz przetestować połączenie uwierzytelniania federacyjnego po wykonaniu następujących zadań:
Ukończono proces połączenia i potwierdzenia własności domeny.
Ukończono sprawdzenie pod kątem konfliktów nazw użytkowników.
Domyślny format zarządzanego Apple ID został uaktualniony.
Uwaga: Użytkownicy z rolą administratora lub menedżera użytkowników nie mogą logować się za pomocą uwierzytelniania federacyjnego; mogą jedynie zarządzać procesem federowania.
W usłudze Apple Business Manager zaloguj się jako użytkownik, który nie ma roli administratora.
Jeśli nazwa użytkownika, za pomocą której się logujesz, zostanie znaleziona, zostanie wyświetlony nowy ekran wskazujący, że logujesz się jako użytkownik w swojej domenie.
Wybierz przycisk Kontynuuj, wpisz hasło użytkownika, a następnie wybierz przycisk Zaloguj.
Wyloguj się z usługi Apple Business Manager.
Uwaga: Użytkownicy nie mogą zalogować się na stronie iCloud.com, jeśli najpierw nie zalogują się za pomocą zarządzanego Apple ID na innym urządzeniu Apple.