Sincronizar utilizadores a partir do fornecedor de identidade no Apple Business Manager
No Apple Business Manager, pode utilizar o Sistema de gestão de identidade entre domínios (SCIM) para sincronizar utilizadores a partir do seu fornecedor de identidade (IdP). Quando utiliza o SCIM para sincronizar utilizadores, as informações de conta são adicionadas como só de leitura até desligar. Nesse momento, as contas tornam-se contas manuais, sendo possível editar os respetivos atributos (tais como nomes de utilizador). A sincronização inicial é mais demorada do que os ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência são sincronizados os utilizadores com o Apple Business Manager.
Antes de iniciar
Antes de começar a criar uma ligação SCIM, já deve ter estabelecido uma ligação com êxito utilizando a autenticação vinculada. Consulte Utilizar a autenticação vinculada com o seu fornecedor de identidade. Em seguida, contacte o seu IdP e certifique-se de que dispõe das seguintes informações:
Campo do identificador único para utilizadores: o valor deste atributo é, normalmente, o endereço de e-mail do(a) utilizador(a). Este campo é utilizado para criar o ID Apple gerido do(a) utilizador(a). Por exemplo, pode ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de Início de sessão único: consulte a documentação do seu IdP.
URL de retorno de autorização: consulte a documentação do seu IdP.
SCIM e autenticação vinculada
A autenticação vinculada está ativa e poderá já estar em funcionamento. Se estiver ativa quando as contas do IdP forem enviadas para o Apple Business Manager, não verá nenhuma atividade, mas as contas continuarão a sincronizar a partir do domínio vinculado.
Contas de utilizador do IdP e Apple Business Manager
Quando uma conta é copiada do IdP através do SCIM para o Apple Business Manager, a função predefinida é Funcionário(a).
Nota: Os grupos de utilizadores do IdP não são sincronizados com o Apple Business Manager. Se pretender os mesmos grupos, pode criar novos grupos no Apple Business Manager e adicione utilizadores aos mesmos.
Atributo de início de sessão
O Apple Business Manager requer que o atributo utilizado para o ID Apple gerido seja único. Normalmente, é o endereço de e-mail do(a) utilizador(a). Se um(a) utilizador(a) tiver um atributo que seja exatamente igual ao de um(a) utilizador(a) do Apple Business Manager existente que tenha a função de Administração, não é realizada a sincronização e o campo de origem permanece inalterado.
ID da pessoa
Quando uma conta do IdP é sincronizada com o Apple Business Manager, é criado um ID de pessoa para a conta de utilizador do Apple Business Manager. Este ID de pessoa é utilizado para identificar contas de utilizador em conflito.
Considerações importantes se modificar o ID da pessoa:
Se alterar o ID de pessoa de uma conta importada a partir do SCIM, esta deixará de ser emparelhada com o IdP.
Se modificar o ID de pessoa de uma conta previamente importada a partir do SCIM e pretender restabelecer ligação à conta, tem de resolver o conflito de utilizadores.
Iniciar sessão no seu IdP
Inicie sessão no seu IdP como administrador e, em seguida, proceda de uma das seguintes formas:
Localize a app criada pelo seu IdP. Talvez possa ignorar vários passos nesta tarefa.
Navegue para o local onde pode criar uma app ou ligação.
Crie a app com as seguintes informações:
Importante: Não se esqueça do nome da aplicação SCIM porque irá ser necessário para o URL de retorno de autorização.
Apple Business Manager: utilize AppleBusinessManagerSCIM.
Tipo de aplicação: utilize SCIM.
Método de autenticação: utilize SAML 2.0.
URL de início de sessão único para o destinatário e destino: consulte a documentação do seu IdP.
URI de público: utilize o ID da entidade.
Guarde as alterações.
Configurar as definições de aprovisionamento da aplicação SCIM
Localize a secção de aprovisionamento da sua aplicação SCIM do IdP e, em seguida, introduza os seguintes valores:
URL de base do conector SCIM: https://federation.apple.com/feeds/business/scim
URI do token de acesso: https://appleid.apple.com/auth/oauth2/v2/token
URI de autorização: https://appleid.apple.com/auth/oauth2/v2/authorize
ID do cliente: 123
Segredo do cliente: 123
Importante: Uma vez que ainda não sabe qual é o ID do cliente SCIM e o segredo do cliente, 123 é utilizado como marcador de posição. Numa tarefa posterior irá substituir estes valores.
Modo de autenticação: OAuth 2.
Campo do identificador único para utilizadores: consulte a documentação do seu IdP.
Importante: Certifique-se de que utiliza corretamente as maiúsculas e minúsculas do identificador.
Ações de aprovisionamento suportadas:
Importar novos utilizadores e atualizações de perfis.
Executar novos utilizadores.
Executar atualizações de perfis.
Guarde as alterações.
Criar o URL de retorno de autorização
Tem de criar um URL de retorno autorizado para que o Apple Business Manager obtenha registos de utilizadores do seu IdP utilizando SCIM. Este URL de retorno baseia-se no nome da aplicação SCIM criada no seu IdP.
Não se esqueça do nome da sua aplicação SCIM. Por exemplo:
Apple Business Manager: AppleBusinessManagerSCIM
Cole o nome da app dentro do seguinte URL. Por exemplo:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Guarde o URL de retorno de autorização.
Na tarefa seguinte, cole-o no Apple Business Manager.
Criar e copiar informações do cliente SCIM para o IdP
No Apple Business Manager , inicie sessão com a conta de uma pessoa que tenha a função de administração ou gestão de pessoas.
Selecione o seu nome na parte inferior da barra lateral, selecione Preferências e, em seguida, selecione Sincronização de diretórios .
Selecione Ativar junto a Sincronização personalizada.
Cole o URL de retorno de autorização da tarefa anterior e, em seguida, selecione Criar.
Selecione Aplicação SCIM e, em seguida, selecione Criar.
Abra um novo ficheiro de texto ou folha de cálculo e introduza os seguintes valores do Apple Business Manager:
Para o ID do cliente OIDC, cole o ID do cliente SCIM.
Para o segredo do cliente do OIDC, cole o segredo do cliente SCIM.
Selecione Copiar junto ao ID do cliente e, em seguida, cole o ID do cliente no ficheiro.
Selecione Segredo do cliente, escolha a validade do segredo (6, 9 ou 12 meses) e, em seguida, cole o segredo do cliente no ficheiro.
Importante: Se eliminar ou se esquecer do segredo do cliente antes de o colar na aplicação SCIM do IdP, tem de criar um novo segredo do cliente.
Selecione Terminado.
Colar o ID e o segredo do cliente na aplicação SCIM do IdP e verificar a ligação
Volte à secção de aprovisionamento da aplicação SCIM do seu IdP e, em seguida, cole os seguintes valores:
ID do cliente SCIM do Apple Business Manager
Segredo do cliente SCIM do Apple Business Manager
Guarde as alterações.
Se o seu IdP permitir testar a autenticação utilizando uma conta de administrador do IdP, pode testá-la agora. Por exemplo, pode ser apresentado um botão "Autenticar com [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]" ou o nome que atribuiu à aplicação SCIM.
Introduza o nome e a palavra-passe de administrador do IdP e, em seguida, introduza o valor da autenticação de dois fatores.
Leia atentamente todas as informações da autorização. Se concordar, selecione Continuar.
Se necessário, pode agora ativar a autenticação vinculada para este domínio.
O seu IdP e o Apple Business Manager estão agora configurados para sincronizar alterações aos atributos do utilizador específicos do IdP para o Apple Business Manager.