Korzystanie z uwierzytelniania federacyjnego za pomocą dostawcy tożsamości w usłudze Apple Business Manager
W usłudze Apple Business Manager możesz nawiązać połączenie z dostawcą tożsamości przy użyciu uwierzytelniania federacyjnego, aby umożliwić użytkownikom logowanie się do urządzeń Apple za pomocą ich nazwy użytkownika (zazwyczaj adresu email)i hasła u dostawcy tożsamości.
W rezultacie użytkownicy mogą używać swoich danych uwierzytelniających dostawcy tożsamości jako zarządzanych kont Apple. Mogą oni następnie używać tych danych uwierzytelniających do logowania się do przydzielonego iPhone’a, iPada lub Maca, a nawet usługi iCloud w przeglądarce.
Przed rozpoczęciem
Zanim nawiążesz połączenie z dostawcą tożsamości, rozważ następujące kwestie:
Przed przystąpieniem do federacji należy zablokować domenę i włączyć przejmowanie domeny. Zobacz Blokowanie domeny.
W przypadku uwierzytelniania federacyjnego jako nazwy użytkownika należy używać adresu email użytkownika. Aliasy nie są obsługiwane.
W przypadku istniejących użytkowników z adresem email w domenie sfederowanej ich zarządzane konto Apple jest automatycznie zmieniane, aby pasowało do tego adresu email.
Skonfiguruj i potwierdź własność domeny, z której chcesz korzystać. Zobacz Dodawanie i weryfikowanie domeny.
Konta użytkowników z rolą administratora lub menedżera użytkowników nie mogą logować się za pomocą uwierzytelniania federacyjnego; mogą jedynie zarządzać procesem federowania.
Gdy połączenie z dostawcą tożsamości wygaśnie, federacja i synchronizacja kont użytkowników z dostawcą tożsamości przestaje działać. Aby nadal korzystać z federacji i synchronizacji, musisz ponownie połączyć się z dostawcą tożsamości.
W przypadku uwierzytelniania federacyjnego należy przygotować następujące informacje:
Metoda logowania: protokół Open ID Connect (OIDC).
Zakres dostępu: dostęp należy przyznać do
ssf.manage
issf.read
.Adres URL konfiguracji Shared Signals Framework (SSF): należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Adres URL konfiguracji OpenID: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Proces uwierzytelniania federacyjnego
Ten proces obejmuje cztery główne etapy:
Dodanie i zweryfikowanie domeny.
Utworzenie nowej aplikacji lub połączenia OIDC.
Skonfigurowanie uwierzytelniania federacyjnego i przetestowanie uwierzytelniania za pomocą jednego konta użytkownika dostawcy tożsamości.
Włączanie uwierzytelniania federacyjnego.
Krok 1: Zweryfikuj domenę
Zanim będzie można wyświetlić konta użytkowników dostawcy tożsamości w usłudze Apple Business Manager, musisz dodać i zweryfikować domenę, której chcesz użyć.
Zobacz Dodawanie i weryfikowanie domeny.
Proces weryfikacji gwarantuje, że Twoja organizacja jest tą, która ma uprawnienia do modyfikowania rekordów DNS Twojej domeny. Na przykład jeśli chcesz używać domeny betterbag.com jako swojej domeny, musisz dodać określony rekord TXT do pliku strefy serwera nazw domen w ciągu 14 dni kalendarzowych od rozpoczęcia procesu weryfikacji (który rozpoczyna się po wybraniu przycisku Potwierdź).
Uwaga: Jeśli próbujesz sfederować domenę, której własność została już przez Ciebie potwierdzona, ale inna organizacja już sfederowała identyczną domenę, musisz skontaktować się z tą organizacją, aby ustalić, kto ma uprawnienia do sfederowania domeny. Zobacz Konflikty domen.
Krok 2: Utwórz nową aplikację lub połączenie OIDC
Aby połączyć się z usługą Apple Business Manager, dostawca tożsamości (IdP) musi mieć aplikację lub utworzyć aplikację, która zawiera określone ustawienia umożliwiające nawiązanie połączenia z usługą Apple Business Manager. Każdy dostawca tożsamości korzysta z innej metody tworzenia aplikacji i udostępnia określone ustawienia w innym miejscu, dlatego zalecamy zapoznanie się z dokumentacją dostawcy tożsamości, aby dowiedzieć się, jak ukończyć ten proces.
Zaloguj się do dostawcy tożsamości (IdP) jako administrator, a następnie wykonaj jedną z następujących czynności:
Odszukaj aplikację utworzoną przez dostawcę tożsamości (IdP). Możesz pominąć kilka kroków w tym zadaniu.
Przejdź do miejsca, w którym możesz utworzyć aplikację lub połączenie.
Utwórz aplikację lub połączenie przy użyciu następujących informacji:
Usługa Apple Business Manager: AppleBusinessManagerOIDC.
Metoda logowania: protokół Open ID Connect (OIDC).
Typ aplikacji: aplikacja internetowa.
Typ udzielania poświadczeń: token odświeżania.
URI przekierowania logowania: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Dostęp: dozwolone określone konta użytkowników.
Zakres dostępu: dostęp należy przyznać do
ssf.manage
issf.read
.
Zachowaj zmiany.
W dalszej części tej strony konieczne będzie wklejenie określonych informacji w usłudze Apple Business Manager. Następnym zadaniem jest skopiowanie tych informacji do pliku tekstowego lub arkusza kalkulacyjnego.
Otwórz nowy plik tekstowy lub arkusz kalkulacyjny, a następnie wprowadź następujące wartości z konta dostawcy tożsamości (IdP):
W polu ID klienta OIDC wklej ID klienta OIDC.
W polu Tajny klucz klienta OIDC wklej tajny klucz klienta OIDC.
Zachowaj plik w bezpiecznej lokalizacji.
Krok 3. Skonfiguruj uwierzytelnianie federacyjne i przetestuj uwierzytelnianie za pomocą jednego konta użytkownika dostawcy tożsamości
Ten krok ma na celu ustanowienie relacji zaufania między dostawcą tożsamości i usługą Apple Business Manager.
Uwaga: Po wykonaniu tego kroku użytkownicy nie mogą tworzyć nowych osobistych kont Apple w skonfigurowanej domenie. Może to mieć wpływ na inne usługi Apple, z których korzystają użytkownicy. Zobacz Przenoszenie usług Apple w procesie federacji.
W usłudze Apple Business Manager zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.
Wybierz swoje imię i nazwisko u dołu paska bocznego, wybierz opcję Preferencje , wybierz opcję Zarządzane konta Apple , a następnie wybierz opcję Rozpocznij w obszarze „Logowanie użytkownika i synchronizacja katalogu”.
Wybierz opcję Niestandardowy dostawca tożsamości, a następnie wybierz opcję Kontynuuj.
Wprowadź nazwę połączenia uwierzytelniania federacyjnego.
Możesz użyć maksymalnie 128 znaków.
Skopiuj ID klienta i tajny klucz klienta do usługi Apple Business Manager z pliku tekstowego lub arkusza kalkulacyjnego zachowanego w poprzedniej sekcji.
Skontaktuj się ze swoim dostawcą tożsamości, aby uzyskać adresy URL następujących dwóch konfiguracji:
Shared Signals Framework (SSF)
OpenID
Wybierz opcję Kontynuuj.
Jeśli wszystkie podane wartości są prawidłowe, zostanie wyświetlona strona logowania Twojego dostawcy tożsamości. Przejdź do kroku 8.
Zaloguj się za pomocą nazwy użytkownika i hasła administratora dostawcy tożsamości.
Wybierz przycisk Gotowe.
Krok 4. Włącz uwierzytelnianie federacyjne
W usłudze Apple Business Manager zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.
Wybierz swoje imię i nazwisko u dołu paska bocznego, wybierz opcję Preferencje , a następnie wybierz opcję Zarządzane konta Apple .
W sekcji Domeny wybierz przycisk Zarządzaj obok domeny, którą chcesz sfederować, a następnie wybierz opcję „Włącz logowanie za pomocą dostawcy tożsamości”.
Włącz „Zaloguj się za pomocą dostawcy tożsamości”.
W razie potrzeby możesz teraz zsynchronizować konta użytkowników z usługą Apple Business Manager. Zobacz Synchronizowanie kont użytkowników z dostawcy tożsamości.