Sincronize usuários do seu provedor de identidade no Apple Business Manager
No Apple Business Manager é possível usar o System for Cross-domain Identity Management (SCIM) para sincronizar usuários de seu fornecedor de identidade (IdP). Quando você usa o SCIM para importar usuários, as informações da conta são adicionadas como somente leitura até que você se desconecte do SCIM. Nesse momento, as contas se tornam contas manuais e os atributos nessas contas (como nomes de usuário) podem então ser editados. A sincronização inicial demora mais do que ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência os usuários são sincronizados para o Apple Business Manager.
Antes de começar
Antes de começar a criar uma conexão de SCIM, é necessário já ter uma conexão bem-sucedida por meio da autenticação federada. Consulte Use a autenticação federada com seu provedor de identidade. Depois, entre em contato com seu IdP e tenha as seguintes informações:
Campo de identificação exclusivo para usuários: em geral, o valor deste atributo é o endereço de e-mail do usuário. Ele é usado para criar o ID Apple gerenciado do usuário. Por exemplo, ele poderá ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de single sign-on: consulte a documentação do seu IdP.
URL da callback de autorização: consulte a documentação do seu IdP.
SCIM e autenticação federada
A Autenticação federada está ativada e pode ser que já esteja ativada. Se estiver ativada quando as contas do IdP forem enviadas para o Apple Business Manager, você não verá uma atividade, mas as contas ainda serão sincronizadas do domínio federado.
Contas de usuário do IdP e do Apple Business Manager
Quando um usuário é copiado do seu IdP usando SCIM para o Apple Business Manager, a função predefinida é Equipe.
Nota: Os grupos de usuários do seu IdP não estão sincronizados ao Apple Business Manager. Se quiser usar os mesmos grupos, é possível criar novos grupos no Apple Business Manager e adicionar usuários a eles.
Atributo de início de sessão
O Apple Business Manager exige que o atributo usado para o ID Apple gerenciado seja exclusivo. Esse dado costuma ser o endereço de e-mail. Se um usuário tiver um atributo idêntico ao de um usuário existente do Apple Business Manager com a função de Administrador, a sincronização não ocorrerá e o campo fonte permanecerá inalterado.
ID de pessoa
Quando um usuário do IdP é sincronizado com o Apple Business Manager, é criado um ID de pessoa para a conta de usuário do Apple Business Manager. O ID de pessoa é usado para identificar contas com conflito.
Considerações importantes no caso de modificação do ID da pessoa:
Se você modificar o ID da pessoa para uma conta importada anteriormente do SCIM, essa conta não será mais emparelhada com o IdP.
Se você modificar o ID de pessoa de uma conta importada anteriormente de SCIM e quiser reconectar a conta, será necessário resolver os conflitos de conta de usuário.
Iniciar sessão no IdP
Inicie sessão com seu IdP como administrador e faça um dos seguintes:
Localize o app criado pelo IdP. Você pode ignorar várias etapas nessa tarefa.
Navegue para onde você cria um app ou uma conexão.
Crie o app com as seguintes informações:
Importante: Lembre-se do nome do app SCIM porque talvez ele seja necessário para o URL da callback de autorização.
Apple Business Manager: use o AppleBusinessManagerSCIM.
Tipo do app: use o SCIM.
Método de autenticação: use o SAML 2.0.
URL de single sign-on usado para o destinatário e destino: consulte a documentação do IdP.
URI de público: use o ID de entidade.
Salve as alterações.
Configurar os ajustes de provisionamento do app SCIM
Localize a seção de provisionamento do app SCIM do IdP e insira os seguintes valores:
URL de conexão base do SCIM: https://federation.apple.com/feeds/business/scim
URI de token de acesso: https://appleid.apple.com/auth/oauth2/v2/token
URI de autorização: https://appleid.apple.com/auth/oauth2/v2/authorize
ID de cliente: 123
Segredo do cliente: 123
Importante: Como você ainda não sabe o real ID de cliente SCIM e o segredo de cliente, 123 é usado como um espaço reservado. Você substituirá esses valores em uma tarefa posterior.
Modo de autenticação: OAuth 2.
Campo de identificador exclusivo para usuários: consulte a documentação do seu IdP.
Importante: Certifique-se de corresponder as letras maiúsculas e minúsculas.
Ações de provisionamento compatíveis:
Importar novos usuários e atualizações de perfil.
Enviar novos usuários.
Enviar atualizações de perfil.
Salve as alterações.
Criar o URL da callback de autorização
É necessário criar um URL da callback de autorização para o Apple Business Manager para obter registros de usuários do seu IdP que usa o SCIM. Esse URL de callback é baseado no nome do app SCIM criado no IdP.
Lembre-se do nome para o seu app SCIM. Por exemplo:
Apple Business Manager: AppleBusinessManagerSCIM
Cole o nome dentro do seguinte URL. Por exemplo:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Salve o URL da callback de autorização.
Você colará o URL no Apple Business Manager na próxima tarefa.
Criar e copiar informações do cliente SCIM no IdP
No Apple Business Manager , inicie sessão com um usuário que tenha a função de Administrador ou Gerente de pessoas.
Selecione seu nome na parte inferior da barra lateral, selecione Preferências e depois Directory Sync .
Selecione Ativar ao lado de Sincronização personalizada.
Cole o URL da callback de autorização da tarefa anterior e selecione Criar.
Selecione o aplicativo SCIM e depois, Criar.
Abra um novo arquivo de texto ou uma nova planilha e insira os seguintes valores do Apple Business Manager:
Para o ID do cliente OIDC, cole o ID do cliente SCIM.
Para o segredo do ID do cliente OIDC, cole o segredo do ID do cliente SCIM.
Selecione Copiar ao lado do ID do cliente e depois cole o ID do cliente no arquivo.
Selecione Segredo do cliente, escolha por quanto tempo o segredo precisa estar ativo antes de expirar (6, 9 ou 12 meses) e depois cole o segredo do cliente no arquivo.
Importante: Se você apagar ou esquecer o segredo do cliente antes de colá-lo no app SCIM do IdP, será necessário criar um novo segredo de cliente.
Selecione Concluído.
Cole o ID do cliente e o segredo do cliente em seu app SCIM do IdP e verifique a conexão
Volte à seção de provisionamento do app SCIM do IdP e insira os seguintes valores:
ID do cliente SCIM do Apple Business Manager
Segredo do cliente SCIM do Apple Business Manager
Salve as alterações.
Se seu IdP permitir testar a autenticação usando uma conta de administrador do IdP, teste-a agora. Por exemplo, pode haver um botar “Autenticar com [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]” ou o nome de sua escolha para o app SCIM.
Insira seu nome e senha de administrador do IdP e, em seguida, insira o valor da autenticação de dois fatores.
Leia as informações de autorização com atenção. Se concordar, selecione Continuar.
Se necessário, agora será possível ativar a autenticação federada para este domínio.
Agora, o IdP e o Apple Business Manager estão configurados para sincronizar alterações específicas de atributos de usuário em seu IdP para o Apple Business Manager.