Introdução à sincronização de diretório com o Apple Business Manager
Você pode usar o OpenID Connect (OIDC) com o Apple Business Manager para sincronizar contas de usuários a partir de:
Google Workspace
Microsoft Entra ID
Seu provedor de identidade (IdP)
Alguns IdPs também podem usar o Sistema para gerenciamento de identidades entre domínios (SCIM)
Nota: Você pode sincronizar com o Google Workspace, Microsoft Entra ID ou IdP, mas somente um por vez.
Antes de começar
Antes de sincronizar com o Google Workspace, Microsoft Entra ID ou seu IdP, considere o seguinte:
a sincronização de grupos de usuários não é compatível.
Requisitos
Se necessário, verifique um domínio manualmente. Consulte Adicione e verifique um domínio.
Você deve ativar a autenticação federada. Consulte Introdução à autenticação federada.
É necessário ter um administrador na chamada com permissões para editar configurações do Google Workspace, Microsoft Entra ID ou outro IdP.
O Apple Business Manager exige que o atributo usado para a Conta Apple gerenciada seja exclusivo. Esse dado costuma ser o endereço de e-mail. Se um usuário tiver um atributo idêntico ao de um usuário existente do Apple Business Manager com a função de Administrador, a sincronização não ocorrerá e o campo fonte permanecerá inalterado.
Ao configurar a conexão inicial, você deve usar o endereço de e-mail de um usuário que tenha a função de Administrador ou Gerente de pessoas para que ele possa receber notificações do Google Workspace, Microsoft Entra ID ou outro IdP com o qual você esteja sincronizando.
Requisitos específicos de IdP
Ao vincular ao Microsoft Entra ID:
Para usar OIDC com Apple Business Manager, a organização não deve ter o mesmo locatário do Microsoft Entra ID como qualquer outra organização do Apple Business Manager. Se você quiser usar o OIDC para sua empresa, entre em contato com o administrador do Microsoft Entra ID para garantir que nenhuma outra empresa do esteja usando seu locatário do Entra ID para OIDC.
Se uma conta de usuário tiver um Nome principal do usuário (UPN) idêntico ao de um usuário existente do que tem a função de Administrador ou Gerente de pessoas, nenhuma sincronização ocorrerá e o campo fonte permanecerá inalterado.
Ao vincular com um IdP que não seja Google Workspace ou Microsoft Entra ID, tenha as seguintes informações:
Campo de identificação exclusivo para usuários: em geral, o valor deste atributo é o endereço de e-mail do usuário. Ele é usado para criar a Conta Apple gerenciada do usuário. Por exemplo, ele poderá ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de single sign-on: consulte a documentação do seu IdP.
URL da callback de autorização: consulte a documentação do seu IdP.
Alterações automáticas
Monitora as alterações na conta de usuário e sincroniza automaticamente essas alterações no Apple Business Manager.
Remove automaticamente Contas Apple Gerenciadas quando as contas de usuários correspondentes forem removidas do Google Workspace, Microsoft Entra ID ou de seu IdP.
Quando uma conta de usuário for sincronizada com o Apple Business Manager, a função padrão será Equipe. Após a conclusão da sincronização, apenas o atributo de conta de usuário Funções pode ser editado. Esse atributo é armazenado com a conta de usuário no Apple Business Manager e não é gravado no Google Workspace, Microsoft Entra ID ou em seu IdP.
As informações da conta sincronizadas são adicionadas como somente leitura até que você desative a sincronização. Nesse momento, as contas se tornam contas manuais e os atributos nessas contas (como nomes de usuário) podem então ser editados.
Nota: A sincronização inicial demora mais do que ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência eles sincronizam usuários.
Sobre o ID de pessoa
Para identificar contas em conflito, quando uma conta de usuário for inicialmente sincronizada usando OIDC ou SIS para o Apple Business Manager, um ID de pessoa é automaticamente gerado para essa conta de usuário.
Se você modificar o ID de pessoa no Apple Business Manager para uma conta de usuário sincronizada anteriormente, essa conta de usuário não será mais emparelhada com o Google Workspace, Microsoft Entra ID ou seu IdP. Se você quiser reconectar a conta de usuário, você deverá resolver o conflito do ID de pessoa.