Cerințele de sincronizare pentru Azure AD cu Apple Business Manager
Puteți utiliza Sistemul pentru gestionarea identității între domenii (SCIM) pentru a importa utilizatori în Apple Business Manager. Utilizând acest sistem, combinați proprietățile Apple Business Manager (precum roluri) cu datele contului importat din Microsoft Azure Active Directory (Azure AD). Când utilizați SCIM pentru a importa utilizatorii, informațiile contului sunt adăugate ca needitabile până când vă deconectați de la SCIM. Atunci conturile devin conturi manuale, iar atributele din aceste conturi pot fi apoi editate. Sincronizarea inițială necesită mai mult timp decât ciclurile ulterioare, care se efectuează la aproximativ fiecare 40 de minute atât timp cât se execută serviciul de asigurare a accesului la Azure AD. Consultați Sfaturi privind asigurarea accesului pe site-ul web care conține documentația pentru Microsoft Azure.
Privilegii Azure AD
Următoarele roluri în Azure AD pot utiliza SCIM pentru a sincroniza conturile cu Apple Business Manager:
Administrator de aplicații
Administrator de aplicații Cloud
Titular de aplicație
Administrator global
Consultați Roluri integrate în Azure AD pe site-ul web Microsoft Azure AD.
Entități găzduite Azure AD
Pentru a utiliza SCIM cu Apple Business Manager, organizația dvs. nu trebuie să aibă aceeași entitate găzduită Azure AD ca orice altă organizație Apple Business Manager. Dacă doriți să utilizați SCIM pentru organizația dvs., contactați administratorul Azure AD pentru a vă asigura că nicio altă organizație nu utilizează entitatea dvs. găzduită Azure AD atunci când utilizați SCIM.
Grupuri Azure AD
În Azure AD, ambele metode de sincronizare utilizează cuvântul Grupuri, dar sunt sincronizare numai conturile de utilizatori. Puteți să adăugați grupuri Azure AD la aplicația Apple Business Manager Azure AD. De exemplu, dacă aveți grupuri în Azure AD denumite Inginerie, Marketing și Vânzări, puteți să adăugați aceste trei grupuri la aplicația Apple Business Manager Azure AD. Atunci când vă conectați folosind SCIM, numai conturile din aceste grupuri vor fi sincronizate în Apple Business Manager.
Notă: Subgrupurile nu sunt acceptate în aplicația Apple Business Manager Azure AD.
Domeniul de aplicare al asigurării accesului
Există două moduri prin care puteți să sincronizați conturile dvs. din Azure AD la Apple Business Manager.
Sincronizarea a atribuit doar utilizatori și grupuri.Această opțiune sincronizează în Apple Business Manager doar conturile care apar în aplicația Apple Business Manager Azure AD. Când utilizați această metodă pentru sincronizare, conturile Azure AD trebuie să aibă rolul de utilizator pentru a le sincroniza cu Apple Business Manager.
Sincronizarea tuturor utilizatorilor și grupurilor: Această opțiune sincronizează în Apple Business Manager toate conturile (sincronizarea grupurilor nu este acceptată) care apar în fila Utilizator Azure AD și creează ID-uri Apple gestionate pentru toate conturile Azure AD asociate, chiar dacă intenționați să utilizați doar un anumit număr de conturi.
Consultați articolele Asistență Microsoft Ce este asigurarea automată a accesului pentru utilizatorii aplicației SaaS în Azure AD? și Asigurarea accesului la aplicație în funcție de atribut cu filtre pentru domeniul de aplicare.
Notificări privind asigurarea accesului
Când configurați asigurarea accesului, trebuie să utilizați adresa de e-mail unui utilizator care are rol de administrator, sau coordonator de persoane, pentru a putea primi notificări de la Azure AD.
SCIM și autentificarea federativă
Dacă asocierea este deja activată atunci când conturile Azure AD sunt trimise către Apple Business Manager, nu veți vedea o activitate, dar conturile se vor sincroniza totuși din domeniul federativ.
Azure AD este furnizorul de identități (IdP) care autentifică utilizatorul pentru Apple Business Manager și emite identificatori de autentificare. Deoarece Apple Business Manager acceptă Azure AD, vor funcționa și alți IdP-uri care efectuează conectarea la Azure AD, precum Active Directory Federated Services (ADFS). Autentificarea federativă utilizează Security Assertion Markup Language (SAML) pentru a conecta Apple Business Manager la Azure AD.
Conturile de utilizatori pentru Azure AD și Apple Business Manager
Atunci când un utilizator este copiat din Azure AD folosind SCIM în Apple Business Manager, rolul implicit este cel de membru de personal. După finalizarea sincronizării, poate fi editat numai atributul de rol al utilizatorului. Acest atribut este stocat împreună cu contul de utilizator în Apple Business Manager și nu sunt scrise în Azure AD.
Maparea atributelor utilizatorului SCIM
Atunci când un cont este copiat în Apple Business Manager din Azure AD folosind SCMI, următoarele atribute ale utilizatorului sunt stocate ca needitabile. Tabelul indică, de asemenea, dacă este necesar atributul utilizatorului.
Important: Adăugarea de atribute care nu sunt indicate în tabel întrerupe conexiunea SCIM.
Atributul utilizatorului Azure AD | Atribut utilizator Apple Business Manager | Obligatoriu |
---|---|---|
Prenume | Prenume | |
Nume | Nume | |
Numele principal al utilizatorului | ID Apple gestionat și adrese de e-mail | |
ID obiect | (Nu se afișează în Apple Business Manager. Acest atribut este utilizat pentru a identifica conturile aflate în conflict.) | |
Departament | Departament | |
ID angajat | Număr personal | |
Atribut personalizat (trebuie creat în aplicația Apple Business Manager Azure AD) | Centru de costuri | |
Atribut personalizat (trebuie creat în aplicația Apple Business Manager Azure AD) | Divizie |
Numele principal al utilizatorului
Dacă un utilizator are un Nume principal al utilizatorului (UPN) identic cu un utilizator existent care are rolul de administrator, nu este realizată nicio sincronizare, iar câmpul sursă rămâne neschimbat.
ID persoană
Când un utilizator Azure AD este sincronizat la Apple Business Manager, se creează un ID personal pentru contul de utilizator Apple Business Manager. ID-ul personal și ID-ul de obiect sunt utilizate pentru a identifica conturile aflate în conflict.
Dacă modificați ID-ul personal pentru un cont importat anterior din SCIM, contul respectiv nu va mai fi asociat cu Azure AD. Dacă ați modificat ID-ul personal pentru un cont importat anterior din SCIM și doriți să reconectați contul la SCIM, consultați Rezolvarea conflictelor legate de conturi de utilizator SCIM.
Recomandări
Atunci când vă conectați cu SCIM, trebuie să folosiți doar aplicația Apple School Business Azure AD.
Dacă aveți un domeniu verificat, dar nu ați activat autentificarea federativă, trebuie să așteptați să activați asocierea până când ați verificat că utilizatorii Azure AD au fost trimise către Apple Business Manager. Puteți efectua verificarea vizualizând jurnalele de asigurare a accesului Azure AD. După ce ați verificat dacă utilizatorii Azure AD au fost trimiși, când activați asocierea veți primi o notificare de o activitate când utilizatorii Azure AD vor avea asigurat accesul. Dacă asocierea este deja activată atunci când utilizatorii Azure AD sunt trimiși, nu veți vedea o activitate, dar conturile vor fi totuși sincronizate.
Dacă aveți un grup configurat în Azure AD, puteți adăuga grupul respectiv în aplicația Apple Business Manager Azure AD în loc să adăugați fiecare utilizator.
Important: Nu reutilizați un nume de utilizator timp de 30 de zile în aplicația Apple Business Manager Azure AD.
Înainte de a începe
Înainte de a începe, trebuie să efectuați următoarele acțiuni:
Configurați și confirmați domeniul pe care doriți să îl utilizați. Consultați Asocierea cu domenii noi.
Configurați (dar nu activați) autentificarea federativă. Consultați Activarea și testarea autentificării federative.
Notă: Dacă autentificarea federativă este deja activată, puteți totuși să continuați. Consultați recomandările din secțiunea anterioară.
Determinați tipul de sincronizare în Azure AD și dacă este necesar, creați grupuri pentru sincronizarea numai a conturilor atribuite aplicației Apple Business Manager Azure AD:
Sincronizați numai utilizatorii atribuiți.
Sincronizați toți utilizatorii.
Asigurați-vă că aveți la dispoziție un administrator Azure AD cu permisiuni de editare a aplicațiilor pentru întreprinderi. Când sunteți amândoi pregătiți, consultați Utilizarea SCIM pentru importul utilizatorilor.