Wprowadzenie do synchronizacji katalogu w usłudze Apple Business Manager
Synchronizacja katalogu pomaga zachować aktualność danych w usłudze Apple Business Manager u dostawcy tożsamości (IdP). Dzięki synchronizacji katalogu usługa Apple Business Manager jest automatycznie informowana przez dostawcę tożsamości i jest w stanie uaktualnić swoje dane, gdy dojdzie do następujących zdarzeń:
Utworzono nowe konto użytkownika
Dane konta użytkownika uległy zmianie
Konto użytkownika zostało usunięte
Możesz używać protokołu OpenID Connect (OIDC) z usługą Apple Business Manager do synchronizowania kont użytkowników z następujących źródeł (ale tylko jedno konto naraz):
Google Workspace
Microsoft Entra ID
Dostawca tożsamości
Niektórzy dostawcy tożsamości mogą również korzystać z systemu do zarządzania identyfikacją domen (SCIM)
Przed rozpoczęciem
Przed synchronizacją z usługą Google Workspace, usługą Microsoft Entra ID lub dostawcą tożsamości rozważ następujące kwestie:
Synchronizacja grup użytkowników nie jest obsługiwana.
Początkowa synchronizacja trwa dłużej niż kolejne cykle. Zapoznaj się z dokumentacją dostawcy tożsamości, aby dowiedzieć się, jak często synchronizuje on użytkowników.
Wymagania
W razie potrzeby ręcznie zweryfikuj domenę. Zobacz Dodawanie i weryfikowanie domeny.
Musisz włączyć uwierzytelnianie federacyjne. Zobacz Wprowadzenie do uwierzytelniania federacyjnego.
Miej pod telefonem administratora z uprawnieniami do edytowania ustawień usługi Google Workspace, Microsoft Entra ID lub innego dostawcy tożsamości.
Usługa Apple Business Manager wymaga, aby atrybut używany w przypadku zarządzanego konta Apple był unikatowy. Zazwyczaj jest to adres email użytkownika. Jeśli użytkownik ma atrybut, który jest dokładnie taki sam jak w przypadku istniejącego użytkownika usługi Apple Business Manager z rolą administratora, synchronizacja nie jest wykonywana, a pole źródłowe pozostaje niezmienione.
Podczas konfigurowania początkowego połączenia należy użyć adresu email użytkownika z rolą administratora lub menedżera użytkowników, aby mógł on otrzymywać powiadomienia z usługi Google Workspace lub Microsoft Entra ID albo od innego dostawcy tożsamości, z którym przeprowadzasz synchronizację.
Wymagania specyficzne dla dostawcy tożsamości
W przypadku łączenia z Microsoft Entra ID:
Aby używać protokołu OIDC z usługą Apple Business Manager, organizacja nie może mieć tej samej dzierżawy Microsoft Entra ID co jakakolwiek inna organizacja w usłudze Apple Business Manager. Jeśli chcesz używać protokołu OIDC dla swojej organizacji, skontaktuj się z administratorem globalnym usługi Microsoft Entra ID w celu upewnienia się, że żadna inna organizacja nie używa Twojej dzierżawy usługi Entra ID dla OIDC.
Jeśli konto użytkownika ma główną nazwę użytkownika, która jest dokładnie taka sama jak nazwa istniejącego konta użytkownika z rolą administratora lub menedżera użytkowników, synchronizacja nie jest wykonywana, a pole źródłowe pozostaje niezmienione.
Łącząc się z dostawcą tożsamości, który nie jest usługą Google Workspace ani Microsoft Entra ID, należy mieć następujące informacje:
Pole unikatowego identyfikatora dotyczące użytkowników: wartością tego atrybutu jest zwykle adres email użytkownika. Służy do tworzenia zarządzanego konta Appleużytkownika. Może to być na przykład pole userName.
Metoda uwierzytelniania: usługa SAML 2.0.
Tryb uwierzytelniania: protokół OAuth 2.
Adres URL usługi jednokrotnego logowania: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Adres URL wywołania zwrotnego autoryzacji: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Automatyczne zmiany
Tworzenie konta
Podczas konfiguracji synchronizacji katalogu konta użytkowników synchronizowane są z usługą Apple Business Manager i przydzielana jest im rola członka personelu. Dane zsynchronizowanego konta dodawane są w formie tylko do odczytu, ale możliwa jest edycja atrybutu konta użytkownika dotyczącego ról. Atrybut ten przechowywany jest z kontem użytkownika w usłudze Apple Business Manager i nie są zapisywane z powrotem w usłudze Google Workspace, usłudze Microsoft Entra ID ani w dostawcy tożsamości.
Jeśli uwierzytelnianie federacyjne jest wyłączone, konta stają się kontami dodawanymi ręcznie, co umożliwia edycję atrybutów dostępnych na tych kontach (takich jak nazwy użytkowników).
Modyfikacja konta
Synchronizacja katalogu monitoruje zmiany dokonywane w zsynchronizowanych atrybutach i automatycznie je uaktualnia w usłudze Apple Business Manager. Częstotliwość synchronizacji tych zmian zależy od dostawcy tożsamości.
Usuwanie konta
Kiedy konto użytkownika zostaje usunięte w usłudze Google Workspace lub Microsoft Entra ID albo u dostawcy tożsamości, odpowiadające mu konto w usłudze Apple Business Manager zostaje dezaktywowane i oznaczone jako przeznaczone do usunięcia. Dezaktywowane konto jest wylogowywane z urządzeń i nie można zalogować się na nim ponownie. O ile konto nie zostanie zsynchronizowane ponownie w ciągu następnych 30 dni, zostaje ono automatycznie usunięte.
Informacje o ID osoby
Aby zidentyfikować konta powodujące konflikt, gdy konto użytkownika jest początkowo synchronizowane za pomocą protokołu OIDC z usługą Apple Business Manager, dla tego konta użytkownika automatycznie generowany jest ID osoby.
Jeśli zmienisz ID osoby w usłudze Apple Business Manager dla konta użytkownika, które zostało wcześniej zsynchronizowane, konto to nie będzie już sparowane z Google Workspace, Microsoft Entra ID ani dostawcą tożsamości. Jeśli chcesz ponownie połączyć konto użytkownika, musisz rozwiązać konflikt ID osoby.