Wprowadzenie do uwierzytelniania federacyjnego w usłudze Apple Business Manager
Uwierzytelnianie federacyjne pozwala połączyć usługę Apple Business Manager z następującymi usługami:
Google Workspace
Microsoft Entra ID
Dostawca tożsamości (IdP)
Uwaga: Możesz połączyć się z usługą Google Workspace, usługą Microsoft Entra ID lub dostawcą tożsamości, ale tylko z jedną usługą naraz.
Dzięki temu użytkownicy mogą logować się do przydzielonego im iPhone’a, iPada, Maca, Apple Vision Pro i do Wspólnego iPada, używając istniejącej nazwy użytkownika (zazwyczaj adresu email) i hasła. Po zalogowaniu się na jednym z tych urządzeń mogą oni również zalogować się do usługi iCloud w Internecie na Macu (aplikacja iCloud dla Windows nie obsługuje zarządzanych kont Apple).
Ważne: Gdy połączenie wygaśnie, federacja i synchronizacja kont użytkowników przestaje działać. Aby nadal korzystać z uwierzytelniania federacyjnego i synchronizacji, musisz połączyć się ponownie.
Istnieją określone przypadki, w których można użyć uwierzytelniania federacyjnego:
Tylko uwierzytelnianie federacyjne
Po połączeniu usługi Apple Business Manager z usługą Google Workspace, Microsoft Entra ID lub dostawcą tożsamości zarządzane konta Apple są automatycznie tworzone dla użytkowników. Następnie użytkownicy mogą logować się przy użyciu swojej dotychczasowej nazwy użytkownika (zazwyczaj adresu email) i hasła.
Zobacz następujące artykuły:
Uwierzytelnianie federacyjne z synchronizacją katalogu
Możesz też synchronizować konta użytkowników z usługi Google Workspace, Microsoft Entra ID lub dostawcy tożsamości do usługi Apple Business Manager. Po skonfigurowaniu połączenia synchronizacji katalogu możesz dodać właściwości usługi Apple Business Manager (takie jak role) do danych konta użytkownika zaimportowanych z jednej z tych usług. Dane konta użytkownika usług są dodawane jako tylko do odczytu, dopóki nie wyłączysz synchronizacji. W tym czasie konta stają się kontami dodawanymi ręcznie, a atrybuty na tych kontach można edytować. Jeśli konto użytkownika zostanie usunięte z jednej z tych usług, można usunąć je z usługi Apple Business Manager. Zobacz następujące artykuły:
Uwierzytelnianie federacyjne ze Wspólnym iPadem
Podczas korzystania z uwierzytelniania federacyjnego w połączeniu ze Wspólnym iPadem proces logowania różni się w zależności od tego, czy konto użytkownika istnieje już w usłudze Apple Business Manager, czy nie. Aby zapoznać się ze scenariuszami logowania, zobacz Logowanie się do Wspólnego iPada.
Jeśli użytkownik nie pamięta swojego kodu, musisz wyzerować jego kod Wspólnego iPada.
Przed rozpoczęciem
Przed użyciem uwierzytelniania federacyjnego z usługą Google Workspace, usługą Microsoft Entra ID lub dostawcą tożsamości rozważ następujące kwestie:
Wymagania
Urządzenia Apple muszą spełniać następujące minimalne wymagania dotyczące systemu operacyjnego:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Należy zablokować domenę i włączyć proces przejmowania domeny. Zobacz Blokowanie domeny.
Nie występują żadne konflikty zarządzanego konta Apple. Zobacz Konflikty zarządzanych kont Apple.
Konta użytkowników z rolą administratora lub menedżera użytkowników nie mogą logować się za pomocą uwierzytelniania federacyjnego; mogą jedynie zarządzać procesem federowania.
W przypadku korzystania z uwierzytelniania federacyjnego ustawienie Domyślny format zarządzanego konta Apple nie ma zastosowania.
Wymagania specyficzne dla dostawcy tożsamości
W przypadku łączenia z Google Workspace:
W przypadku uwierzytelniania federacyjnego jako nazwy użytkownika należy używać adresu email użytkownika. Aliasy nie są obsługiwane.
W przypadku łączenia z Microsoft Entra ID:
Aby wykonać poniższe zadanie Zatwierdzenie uwierzytelniania federacyjnego, należy użyć użytkownika z rolą Administrator globalny Entra ID. Po pomyślnym nawiązaniu połączenia można zmienić rolę użytkownika z administratora globalnego na inną rolę z wymaganymi uprawnieniami w celu utrzymania połączenia. Aby uzyskać więcej informacji, zobacz Domyślne role Microsoft obsługujące domeny, synchronizację katalogów i odczyt domeny.
Uwierzytelnianie federacyjne z Microsoft Entra ID wymaga, aby nazwa userPrincipalName (UPN) użytkownika odpowiadała jego adresowi email. Aliasy userPrincipalName i alternatywne identyfikatory nie są obsługiwane.
W przypadku łączenia z dostawcą tożsamości musisz mieć następujące informacje:
Zweryfikowana domena, której chcesz użyć. Zobacz Dodawanie i weryfikowanie domeny.
Metoda logowania: protokół Open ID Connect (OIDC).
Zakres dostępu: dostęp należy przyznać do
ssf.manageissf.read.Adres URL konfiguracji Shared Signals Framework (SSF): należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Adres URL konfiguracji OpenID: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Automatyczne zmiany
W przypadku istniejących użytkowników usługi Apple Business Manager z adresem email w domenie sfederowanej ich zarządzane konto Apple jest automatycznie zmieniane, aby pasowało do tego adresu email.