Sincronize contas de usuário do seu provedor de identidade no Apple Business Manager
No Apple Business Manager é possível usar o OpenID Connect (OIDC) ou System for Cross-domain Identity Management (SCIM) para sincronizar contas de usuário de seu fornecedor de identidade (IdP). Com esse sistema, você combinará as propriedades do Apple Business Manager (como funções) com dados de conta de usuário importados do IdP. Quando você usa o SCIM para importar usuários, as informações da conta são adicionadas como somente leitura até que você se desconecte do SCIM. Nesse momento, as contas se tornam contas manuais e os atributos nessas contas (como nomes de usuário) podem então ser editados. A sincronização inicial demora mais do que ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência os usuários são sincronizados para o Apple Business Manager.
Importante: Você tem apenas 4 dias corridos para concluir a transferência do token para seu IdP e estabelecer uma conexão com sucesso. Caso contrário, você deverá iniciar o processo novamente.
Antes de começar
Antes de sincronizar para o IdP por meio de uma conexão OIDC, faça o seguinte:
Configure e verifique o domínio que você deseja usar. Confira Vincule a novos domínios.
Configure, faça a federação e ative um domínio. Consulte Use a autenticação federada com seu provedor de identidade.
Tenha um administrador do IdP disponível com permissões para editar configurações.
Confira se você tem as seguintes informações e depois entre em contato com o IdP:
Campo de identificação exclusivo para usuários: em geral, o valor deste atributo é o endereço de e-mail do usuário. Ele é usado para criar o ID Apple gerenciado do usuário. Por exemplo, ele poderá ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de single sign-on: consulte a documentação do seu IdP.
URL da callback de autorização: consulte a documentação do seu IdP.
Contas de usuário do IdP e do Apple Business Manager
Quando um usuário é copiado do seu IdP usando SCIM para o Apple Business Manager, a função predefinida é Equipe.
Nota: Os grupos de usuários do seu IdP não estão sincronizados ao Apple Business Manager. Se quiser usar os mesmos grupos, é possível criar novos grupos no Apple Business Manager e adicionar usuários a eles.
Atributo de início de sessão
O Apple Business Manager exige que o atributo usado para o ID Apple gerenciado seja exclusivo. Esse dado costuma ser o endereço de e-mail. Se um usuário tiver um atributo idêntico ao de um usuário existente do Apple Business Manager com a função de Administrador, a sincronização não ocorrerá e o campo fonte permanecerá inalterado.
ID de pessoa
Quando uma conta de usuário do IdP for sincronizada com o Apple Business Manager, será criado um ID de pessoa para a conta de usuário do Apple Business Manager. O ID de pessoa é usado para identificar contas de usuário com conflito.
Considerações importantes no caso de modificação do ID da pessoa:
Se você modificar o ID da pessoa para uma conta de usuário importada anteriormente do IdP, essa conta não será mais emparelhada com o IdP.
Se você modificar o ID de pessoa de uma conta de usuário importada anteriormente do IdP e quiser reconectar a conta de usuário, será necessário resolver o conflito.
Iniciar sessão no IdP
Inicie sessão com seu IdP como administrador e faça um dos seguintes:
Localize o app criado pelo IdP. Você pode ignorar várias etapas nessa tarefa.
Navegue para onde você cria um app ou uma conexão.
Crie o app com as seguintes informações:
Importante: Lembre-se do nome do app SCIM porque talvez ele seja necessário para o URL da callback de autorização.
Apple Business Manager: use o AppleBusinessManagerSCIM.
Tipo do app: use o SCIM.
Método de autenticação: use o SAML 2.0.
URL de single sign-on usado para o destinatário e destino: consulte a documentação do IdP.
URI de público: use o ID de entidade.
Salve as alterações.
Configurar os ajustes de provisionamento do app SCIM
Localize a seção de provisionamento do app SCIM do IdP e insira os seguintes valores:
URL de conexão base do SCIM: https://federation.apple.com/feeds/business/scim
URI de token de acesso: https://appleid.apple.com/auth/oauth2/v2/token
URI de autorização: https://appleid.apple.com/auth/oauth2/v2/authorize
ID de cliente: 123
Segredo do cliente: 123
Importante: Como você ainda não sabe o real ID de cliente SCIM e o segredo de cliente, 123 é usado como um espaço reservado. Você substituirá esses valores em uma tarefa posterior.
Modo de autenticação: OAuth 2.
Campo de identificador exclusivo para usuários: consulte a documentação do seu IdP.
Importante: Certifique-se de corresponder as letras maiúsculas e minúsculas.
Ações de provisionamento compatíveis:
Importar novos usuários e atualizações de perfil.
Enviar novos usuários.
Enviar atualizações de perfil.
Salve as alterações.
Criar o URL da callback de autorização
É necessário criar um URL da callback de autorização para o Apple Business Manager para obter registros de usuários do seu IdP que usa o SCIM. Esse URL de callback é baseado no nome do app SCIM criado no IdP.
Lembre-se do nome para o seu app SCIM. Por exemplo:
Apple Business Manager: AppleBusinessManagerSCIM
Cole o nome dentro do seguinte URL. Por exemplo:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Salve o URL da callback de autorização.
Você colará o URL no Apple Business Manager na próxima tarefa.
Criar e copiar informações do cliente SCIM no IdP
No Apple Business Manager
, inicie sessão com uma conta que tenha a função de Administrador ou Gerente de pessoas.Selecione seu nome na parte inferior da barra lateral, selecione Preferências
e depois selecione IDs Apple Gerenciados
.Selecione Ativar ao lado de Sincronização personalizada.
Cole o URL da callback de autorização da tarefa anterior e selecione Criar.
Selecione o aplicativo SCIM e depois, Criar.
Abra um novo arquivo de texto ou uma nova planilha e insira os seguintes valores do Apple Business Manager:
Para o ID do cliente OIDC, cole o ID do cliente SCIM.
Para o segredo do ID do cliente OIDC, cole o segredo do ID do cliente SCIM.
Selecione Copiar ao lado do ID do cliente e depois cole o ID do cliente no arquivo.
Selecione Segredo do cliente, escolha por quanto tempo o segredo precisa estar ativo antes de expirar (6, 9 ou 12 meses) e depois cole o segredo do cliente no arquivo.
Importante: Se você apagar ou esquecer o segredo do cliente antes de colá-lo no app SCIM do IdP, será necessário criar um novo segredo de cliente.
Selecione Concluído.
Cole o ID do cliente e o segredo do cliente em seu app SCIM do IdP e verifique a conexão
Volte à seção de provisionamento do app SCIM do IdP e insira os seguintes valores:
ID do cliente SCIM do Apple Business Manager
Segredo do cliente SCIM do Apple Business Manager
Salve as alterações.
Se seu IdP permitir testar a autenticação usando uma conta de administrador do IdP, teste-a agora. Por exemplo, pode haver um botar “Autenticar com [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]” ou o nome de sua escolha para o app SCIM.
Insira seu nome e senha de administrador do IdP e, em seguida, insira o valor da autenticação de dois fatores.
Leia as informações de autorização com atenção. Se concordar, selecione Continuar.
Se necessário, agora será possível ativar a autenticação federada para este domínio.
Agora, o IdP e o Apple Business Manager estão configurados para sincronizar alterações específicas de atributos de usuário em seu IdP para o Apple Business Manager.