Korzystanie z uwierzytelniania federacyjnego i dostawcy tożsamości w usłudze Apple Business Manager
W usłudze Apple Business Manager możesz nawiązać połączenie z dostawcą tożsamości (IdP), aby umożliwić użytkownikom logowanie się na urządzeniach Apple za pomocą ich nazwy użytkownika i hasła dostawcy tożsamości. W rezultacie użytkownicy mogą używać nazw użytkowników i haseł dostawcy tożsamości (IdP) jako zarządzanych Apple ID. Mogą oni następnie używać tych danych uwierzytelniających do logowania się do przydzielonego iPhone’a, iPada lub Maca, a nawet usługi iCloud w przeglądarce.
Ten proces obejmuje cztery główne etapy:
1. Weryfikowanie domeny
2. Logowanie się na konto dostawcy tożsamości (IdP) i tworzenie nowej aplikacji lub połączenia Open ID Connect (OIDC)
3. Konfigurowanie i testowanie aplikacji lub połączenia
4. Włączanie uwierzytelniania federacyjnego
Przed rozpoczęciem
Przed rozpoczęciem zdecyduj, czy chcesz synchronizować się z dostawcą tożsamości przy użyciu systemu SCIM, czy też planujesz używać wyłącznie uwierzytelniania federacyjnego. Jeśli planujesz synchronizację z dostawcą tożsamości przy użyciu systemu SCIM, zaczekaj z włączeniem uwierzytelniania federacyjnego do momentu pomyślnego nawiązania połączenia SCIM.
Wyłącznie w przypadku uwierzytelniania federacyjnego należy przygotować następujące informacje:
Metoda logowania: protokół Open ID Connect (OIDC).
Zakres dostępu: dostęp należy przyznać do
ssf.manage
issf.read
.Adres URL konfiguracji Shared Signals Framework (SSF): należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Adres URL konfiguracji OpenID: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Krok 1: Zweryfikuj domenę
Zanim będzie można wyświetlić użytkowników dostawcy tożsamości w usłudze Apple Business Manager, musisz dodać i zweryfikować domenę, której chcesz użyć. Domeny dodaje się i weryfikuje w usłudze Apple Business Manager.
Zobacz Łączenie z nowymi domenami.
Uwaga: Proces weryfikacji gwarantuje, że Twoja organizacja jest tą, która ma uprawnienia do modyfikowania rekordów DNS Twojej domeny. Na przykład jeśli chcesz używać domeny betterbag.com jako swojej domeny, musisz dodać określony rekord TXT do pliku strefy serwera nazw domen w ciągu 14 dni kalendarzowych od rozpoczęcia procesu potwierdzania (który rozpoczyna się po wybraniu przycisku Potwierdź).
Krok 2: Utwórz nową aplikację lub połączenie OIDC
Aby połączyć się z usługą Apple Business Manager, dostawca tożsamości (IdP) musi mieć aplikację lub utworzyć aplikację, która zawiera określone ustawienia umożliwiające nawiązanie połączenia z usługą Apple Business Manager. Każdy dostawca tożsamości korzysta z innej metody tworzenia aplikacji i udostępnia określone ustawienia w innym miejscu, dlatego zalecamy zapoznanie się z dokumentacją dostawcy tożsamości, aby dowiedzieć się, jak ukończyć ten proces.
Zaloguj się do dostawcy tożsamości (IdP) jako administrator, a następnie wykonaj jedną z następujących czynności:
Odszukaj aplikację utworzoną przez dostawcę tożsamości (IdP). Możesz pominąć kilka kroków w tym zadaniu.
Przejdź do miejsca, w którym możesz utworzyć aplikację lub połączenie.
Utwórz aplikację lub połączenie przy użyciu następujących informacji:
Usługa Apple Business Manager: AppleBusinessManagerOIDC.
Metoda logowania: protokół Open ID Connect (OIDC).
Typ aplikacji: aplikacja internetowa.
Typ udzielania poświadczeń: token odświeżania.
URI przekierowania logowania: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Dostęp: dozwoleni określeni użytkownicy.
Zakres dostępu: dostęp należy przyznać do
ssf.manage
issf.read
.
Zachowaj zmiany.
W dalszej części tej strony konieczne będzie wklejenie określonych informacji w usłudze Apple Business Manager. Następnym zadaniem jest skopiowanie tych informacji do pliku tekstowego lub arkusza kalkulacyjnego.
Otwórz nowy plik tekstowy lub arkusz kalkulacyjny, a następnie wprowadź następujące wartości z konta dostawcy tożsamości (IdP):
W polu ID klienta OIDC wklej ID klienta OIDC.
W polu Tajny klucz klienta OIDC wklej tajny klucz klienta OIDC.
Zachowaj plik w bezpiecznej lokalizacji.
Krok 3: Skonfiguruj i przetestuj połączenie
W usłudze Apple Business Manager zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.
Wybierz swoje imię i nazwisko na dole paska bocznego, wybierz opcję Preferencje , a następnie wybierz opcję Konta .
Obok opcji Uwierzytelnianie federacyjne wybierz przycisk Edytuj, wybierz opcję Niestandardowy dostawca tożsamości, a następnie wybierz przycisk Połącz.
Wprowadź nazwę połączenia uwierzytelniania federacyjnego.
Możesz użyć maksymalnie 128 znaków.
Skopiuj ID klienta i tajny klucz klienta do usługi Apple Business Manager z pliku tekstowego lub arkusza kalkulacyjnego zachowanego w poprzedniej sekcji.
Skontaktuj się ze swoim dostawcą tożsamości, aby uzyskać adresy URL następujących dwóch konfiguracji:
Shared Signals Framework (SSF)
OpenID
Wybierz opcję Kontynuuj.
Jeśli wszystkie podane wartości są prawidłowe, zostanie wyświetlona strona logowania Twojego dostawcy tożsamości. Przejdź do kroku 8.
Zaloguj się przy użyciu nazwy użytkownika i hasła administratora dostawcy tożsamości.
Wybierz przycisk Gotowe.
Krok 4: Włącz uwierzytelnianie federacyjne
W usłudze Apple Business Manager zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.
Wybierz swoje imię i nazwisko na dole paska bocznego, wybierz opcję Preferencje , a następnie wybierz opcję Konta .
Wybierz opcję Edytuj w sekcji Domeny, a następnie wybierz przycisk Sfederuj obok domeny, którą chcesz sfederować ze swoim dostawcą tożsamości.
Poczekaj na ukończenie procesu.