Introdução à sincronização de diretórios através do Apple Business Manager
A sincronização de diretórios permite manter os dados do Apple Business Manager atualizados com o fornecedor de identidade (IdP). Ao utilizar a sincronização de diretórios, o Apple Business Manager é informado automaticamente pelo IdP e pode atualizar as informações sempre que ocorrer uma das seguintes situações:
É criada uma nova conta de utilizador
As informações da conta de utilizador são alteradas
É eliminada uma conta de utilizador
Pode utilizar o OpenID Connect (OIDC) com o Apple Business Manager para sincronizar as contas de utilizador a partir do seguinte (mas apenas uma de cada vez):
Google Workspace
Microsoft Entra ID
O IdP
Alguns IdP também podem utilizar o Sistema de gestão de identidade entre domínios (SCIM)
Antes de começar
Antes de sincronizar com o Google Workspace, o Microsoft Entra ID ou o seu IdP, considere o seguinte:
A sincronização de grupos de utilizadores não é suportada.
A sincronização inicial é mais demorada do que os ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência são sincronizados os utilizadores.
Requisitos
Se necessário, confirme manualmente um domínio. Consulte Adicionar e confirmar um domínio.
É necessário ativar a autenticação vinculada. Consulte Introdução à autenticação vinculada.
Entre em contacto com uma pessoa com a função de Administração com permissões para editar o Google Workspace, o Microsoft Entra ID ou o seu IdP, ou outras definições do IdP.
O Apple Business Manager requer que o atributo utilizado para a Conta Apple gerida seja único. Normalmente, é o endereço de e-mail do(a) utilizador(a). Se um(a) utilizador(a) tiver um atributo que seja exatamente igual ao de um(a) utilizador(a) do Apple Business Manager existente que tenha a função de Administração, não é realizada a sincronização e o campo de origem permanece inalterado.
Quando configurar a ligação inicial, é necessário utilizar o endereço de e-mail de um utilizador com função de Administração ou Gestão de pessoas, para que possa receber notificações do Google Workspace, do Microsoft Entra ID ou de outro IdP com o qual está a efetuar a sincronização.
Requisitos específicos do IdP
Ao fazer a associação ao Microsoft Entra ID:
Para utilizar o OIDC com o Apple Business Manager, a organização não pode ter o mesmo inquilino do Microsoft Entra ID de outra organização do Apple Business Manager. Se pretender utilizar o OIDC na organização, contacte a pessoa com a função de Administração global do Microsoft Entra ID para assegurar que nenhuma outra organização está a utilizar o respetivo inquilino do Entra ID para o OIDC.
Se uma conta de utilizador tiver um Nome principal de utilizador (UPN) que seja exatamente igual a uma conta de utilizador existente que tenha a função de Administração ou Gestão de pessoas, não é realizada a sincronização e o campo de origem permanece inalterado.
Quando fizer a associação a um IdP que não seja o Google Workspace ou o Microsoft Entra ID, reúna as seguintes informações:
Campo do identificador único para utilizadores: o valor deste atributo é, normalmente, o endereço de e-mail do(a) utilizador(a). Este campo é utilizado para criar a conta Apple gerida do(a) utilizador(a). Por exemplo, pode ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de Início de sessão único: consulte a documentação do seu IdP.
URL da chamada de retorno de autorização: consulte a documentação do seu IdP.
Alterações automáticas
Criação de contas
Quando a sincronização de diretórios está configurada, as contas de utilizador são sincronizadas com o Apple Business Manager, sendo-lhes atribuídas a função de Funcionário(a). As informações da conta sincronizada são adicionadas como só de leitura. Contudo, o atributo Funções de uma conta de utilizador pode ser editado. Estes atributos são armazenados com a conta de utilizador no Apple Business Manager e não são novamente gravados no Google Workspace, no Microsoft Entra ID nem no IdP.
Quando a autenticação vinculada é desativada, as contas tornam-se contas manuais e os respetivos atributos (tais como os nomes de utilizador) podem ser editados.
Modificação de contas
A sincronização de diretórios monitoriza as alterações efetuadas nos atributos sincronizados e procede à respetiva atualização automática no Apple Business Manager. O intervalo de frequência com que estas alterações são sincronizadas depende do IdP.
Remoção de contas
Quando uma conta de utilizador é removida no Google Workspace, no Microsoft Entra ID ou no IdP, a conta correspondente no Apple Business Manager é desativada e assinalada para eliminação. A sessão é terminada nos dispositivos com uma conta desativada e não é possível iniciar sessão novamente. Se a conta não for sincronizada novamente no prazo de 30 dias, será removida automaticamente.
Acerca do ID da pessoa
Para identificar contas em conflito, quando uma conta de utilizador é sincronizada inicialmente através do OIDC com o Apple Business Manager, o ID da pessoa é automaticamente gerado para essa conta de utilizador.
Se modificar o ID da pessoa no Apple Business Manager para uma conta de utilizador sincronizada anteriormente, a mesma deixará de ser emparelhada com o Google Workspace, o Microsoft Entra ID ou o IdP. Se pretender associar novamente a conta de utilizador, terá de resolver o conflito de ID da pessoa.