Wprowadzenie do synchronizacji katalogu w usłudze Apple Business Manager
Możesz używać protokołu OpenID Connect (OIDC) z usługą Apple Business Manager do synchronizowania kont użytkowników z następujących źródeł:
Google Workspace
Microsoft Entra ID
Dostawca tożsamości (IdP)
Niektórzy dostawcy tożsamości mogą również korzystać z systemu do zarządzania identyfikacją domen (SCIM)
Uwaga: Synchronizacja może odbywać się z usługą Google Workspace, usługą Microsoft Entra ID lub dostawcą tożsamości, ale tylko z jedną usługą naraz.
Przed rozpoczęciem
Przed synchronizacją z usługą Google Workspace, usługą Microsoft Entra ID lub dostawcą tożsamości rozważ następujące kwestie:
Synchronizacja grup użytkowników nie jest obsługiwana.
Wymagania
W razie potrzeby ręcznie zweryfikuj domenę. Zobacz Dodawanie i weryfikowanie domeny.
Musisz włączyć uwierzytelnianie federacyjne. Zobacz Wprowadzenie do uwierzytelniania federacyjnego.
Miej pod telefonem administratora z uprawnieniami do edytowania ustawień usługi Google Workspace, Microsoft Entra ID lub innego dostawcy tożsamości.
Usługa Apple Business Manager wymaga, aby atrybut używany w przypadku zarządzanego konta Apple był unikatowy. Zazwyczaj jest to adres email użytkownika. Jeśli użytkownik ma atrybut, który jest dokładnie taki sam jak w przypadku istniejącego użytkownika usługi Apple Business Manager z rolą administratora, synchronizacja nie jest wykonywana, a pole źródłowe pozostaje niezmienione.
Podczas konfigurowania początkowego połączenia należy użyć adresu email użytkownika z rolą administratora lub menedżera osób, aby mogli oni otrzymywać powiadomienia z usługi Google Workspace, Microsoft Entra ID lub innego dostawcy tożsamości, z którymi przeprowadzasz synchronizację.
Wymagania specyficzne dla dostawcy tożsamości
W przypadku łączenia z Microsoft Entra ID:
Aby używać protokołu OIDC z usługą Apple Business Manager, organizacja nie może mieć tej samej dzierżawy Microsoft Entra ID co jakakolwiek inna organizacja w usłudze Apple Business Manager. Jeśli chcesz używać protokołu OIDC dla swojej organizacji, skontaktuj się z administratorem globalnym usługi Microsoft Entra ID w celu upewnienia się, że żadna inna organizacja nie używa Twojej dzierżawy usługi Entra ID dla OIDC.
Jeśli konto użytkownika ma główną nazwę użytkownika, która jest dokładnie taka sama jak nazwa istniejącego konta użytkownika z rolą administratora lub menedżera użytkowników, synchronizacja nie jest wykonywana, a pole źródłowe pozostaje niezmienione.
Łącząc się z dostawcą tożsamości, który nie jest usługą Google Workspace ani Microsoft Entra ID, należy mieć następujące informacje:
Pole unikatowego identyfikatora dotyczące użytkowników: wartością tego atrybutu jest zwykle adres email użytkownika. Służy do tworzenia zarządzanego konta Appleużytkownika. Może to być na przykład pole userName.
Metoda uwierzytelniania: usługa SAML 2.0.
Tryb uwierzytelniania: protokół OAuth 2.
Adres URL usługi jednokrotnego logowania: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Adres URL wywołania zwrotnego autoryzacji: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Automatyczne zmiany
Monitoruje zmiany kont użytkowników i automatycznie synchronizuje je z usługą Apple Business Manager.
Automatycznie usuwa zarządzane konta Apple, gdy odpowiadające im konta użytkowników zostaną usunięte w Google Workspace, Microsoft Entra ID lub dostawcy tożsamości.
Podczas synchronizowania konta użytkownika z usługą Apple Business Manager domyślnym ustawieniem roli jest Personel. Po ukończeniu synchronizacji można edytować tylko atrybut konta użytkownika Role. Ten atrybut jest przechowywany z kontem użytkownika w usłudze Apple Business Manager i nie jest zapisywany z powrotem w usłudze Google Workspace, usłudze Microsoft Entra ID ani w dostawcy tożsamości.
Zsynchronizowane dane konta są dodawane jako tylko do odczytu, dopóki nie wyłączysz synchronizacji. W tym czasie konta stają się kontami dodawanymi ręcznie, co umożliwia edycję atrybutów dostępnych na tych kontach (takich jak nazwy użytkowników).
Uwaga: Początkowa synchronizacja trwa dłużej niż kolejne cykle. Zapoznaj się z dokumentacją dostawcy tożsamości, aby dowiedzieć się, jak często synchronizuje on użytkowników.
Informacje o ID osoby
Aby zidentyfikować konta powodujące konflikt, gdy konto użytkownika jest początkowo synchronizowane za pomocą protokołu OIDC z usługą Apple Business Manager, dla tego konta użytkownika automatycznie generowany jest ID osoby.
Jeśli zmienisz ID osoby w usłudze Apple Business Manager dla konta użytkownika, które zostało wcześniej zsynchronizowane, konto to nie będzie już sparowane z Google Workspace, Microsoft Entra ID ani dostawcą tożsamości. Jeśli chcesz ponownie połączyć konto użytkownika, musisz rozwiązać konflikt ID osoby.