Introdução à sincronização de diretórios com o Apple Business Manager
A sincronização de diretório ajuda a manter os dados no Apple Business Manager atualizados com o seu provedor de identidade (IdP). Com a sincronização de diretório, o Apple Business Manager é informado automaticamente pelo seu IdP e pode atualizar as informações quando ocorre o seguinte:
Uma nova conta de usuário foi criada
Informações da conta do usuário alteradas
Uma conta de usuário foi apagada
Você pode usar o OpenID Connect (OIDC) com o Apple Business Manager para sincronizar contas de usuários dos seguintes (mas apenas uma de cada vez):
Google Workspace
Microsoft Entra ID
Seu IdP
Alguns IdPs também podem usar o Sistema para gerenciamento de identidades entre domínios (SCIM)
Antes de começar
Antes de sincronizar com o Google Workspace, Microsoft Entra ID ou seu IdP, considere o seguinte:
a sincronização de grupos de usuários não é compatível.
A sincronização inicial demora mais do que ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência eles sincronizam usuários.
Requisitos
Se necessário, verifique um domínio manualmente. Consulte Adicione e verifique um domínio.
Você precisa ativar a autenticação federada. Consulte Introdução à autenticação federada.
É necessário ter um administrador na chamada com permissões para editar configurações do Google Workspace, Microsoft Entra ID ou outro IdP.
O Apple Business Manager exige que o atributo usado para a Conta Apple gerenciada seja exclusivo. Esse dado costuma ser o endereço de e-mail. Se um usuário tiver um atributo idêntico ao de um usuário existente do Apple Business Manager com a função de Administrador, a sincronização não ocorrerá e o campo fonte permanecerá inalterado.
Ao configurar a conexão inicial, você precisa usar o endereço de e-mail de um usuário com a função de Administrador ou Gerente de pessoas para que ele possa receber notificações do Google Workspace, Microsoft Entra ID ou outro IdP com o qual você esteja sincronizando.
Requisitos específicos de IdP
Ao vincular ao Microsoft Entra ID:
Para usar OIDC com Apple Business Manager, a organização não precisa ter o mesmo locatário do Microsoft Entra ID como qualquer outra organização do Apple Business Manager. Se você quiser usar o OIDC para sua empresa, entre em contato com o administrador do Microsoft Entra ID para garantir que nenhuma outra empresa do esteja usando seu locatário do Entra ID para OIDC.
Se uma conta de usuário tiver um Nome principal do usuário (UPN) idêntico ao de um usuário existente do que tem a função de Administrador ou Gerente de pessoas, nenhuma sincronização ocorrerá e o campo fonte permanecerá inalterado.
Ao vincular com um IdP que não seja Google Workspace ou Microsoft Entra ID, tenha as seguintes informações:
Campo de identificação exclusivo para usuários: em geral, o valor deste atributo é o endereço de e-mail do usuário. Ele é usado para criar a Conta Apple gerenciada do usuário. Por exemplo, ele poderá ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de single sign-on: consulte a documentação do seu IdP.
URL da callback de autorização: consulte a documentação do seu IdP.
Alterações automáticas
Criação de conta
Quando a sincronização de diretórios é configurada, as contas de usuário são sincronizadas com o Apple Business Manager e recebem a função de Funcionário. As informações da conta sincronizada são adicionadas como somente leitura, mas o atributo Funções de uma conta de usuário pode ser editado. Esse atributo é armazenado com a conta de usuário no Apple Business Manager e não são gravados no Google Workspace, Microsoft Entra ID ou em seu IdP.
Quando a autenticação federada é desativada, as contas se tornam contas manuais, e os atributos nessas contas (como nomes de usuário) podem ser editados.
Modificação de conta
A sincronização de diretórios monitora alterações nos atributos sincronizados e os atualiza automaticamente no Apple Business Manager. O intervalo em que essas alterações são sincronizadas depende do IdP.
Remoção de conta
Quando uma conta de usuário é removida no Google Workspace, no Microsoft Enterprise ID ou no seu IdP, a conta correspondente no Apple Business Manager é desativada e sinalizada para exclusão. Uma conta desativada é desconectada dos dispositivos e não pode ser conectada novamente. A menos que a conta seja sincronizada novamente nos próximos 30 dias, ela será removida automaticamente.
Sobre o ID de pessoa
Para identificar contas em conflito, quando uma conta de usuário for inicialmente sincronizada usando OIDC ou SIS para o Apple Business Manager, um ID de pessoa é automaticamente gerado para essa conta de usuário.
Se você modificar o ID de pessoa no Apple Business Manager para uma conta de usuário sincronizada anteriormente, essa conta de usuário não será mais emparelhada com o Google Workspace, Microsoft Entra ID ou seu IdP. Se você quiser reconectar a conta de usuário, você precisará resolver o conflito do ID de pessoa.