Introducere în autentificarea federativă cu Apple Business Manager
Puteți să utilizați autentificare federativă pentru a asocia Apple Business Manager la următoarele:
Google Workspace
Microsoft Entra ID
Furnizorul dvs. de identități (IdP)
Notă: Puteți să realizați asocierea cu Google Workspace, Entra ID sau IdP, dar nu simultan.
Ca urmare, utilizatorii se pot autentifica apoi pe dispozitivele lor atribuite iPhone, iPad, Mac, Apple Vision Pro și iPad partajat folosindu-și numele de utilizator existent (în general, adresa de e-mail) și parola. După ce s-au autentificat pe unul dintre aceste dispozitive, se pot conecta și la iCloud pe web de pe un Mac (iCloud pentru Windows nu acceptă conturi Apple gestionate).
Important: Când conexiunea a expirat, asocierea și sincronizarea conturilor de utilizator încetează. Pentru a continua să utilizați autentificarea federativă și sincronizarea, trebuie să vă reconectați.
Există situații specifice în care este posibil să utilizați autentificarea federativă:
Numai autentificarea federativă
Când Apple Business Manager și Google Workspace, Microsoft Entra ID sau IdP-ul dvs. sunt asociate, conturile Apple gestionate sunt create automat pentru utilizatori. Aceștia pot apoi să se autentifice folosind numele de utilizator existent (în general, adresa de e‑mail) și parola respectivă.
Consultați următoarele articole:
Autentificarea federativă cu sincronizarea directorului
De asemenea, puteți sincroniza conturile de utilizator din Google Workspace, Microsoft Entra ID sau din IdP‑ul dvs. cu Apple Business Manager. Când configurați o conexiune de sincronizare a directorului, puteți adăuga proprietăți ale Apple Business Manager (cum ar fi rolurile) cu datele contului de utilizator importate din unul dintre servicii respective. Informațiile contului de utilizator cu privire la servicii sunt adăugate ca needitabile până când dezactivați sincronizarea. Atunci conturile devin conturi manuale, iar atributele din aceste conturi pot fi apoi editate. Dacă un cont de utilizator este eliminat din unul dintre respectivele servicii, acest cont de utilizator poate fi eliminat și din Apple Business Manager. Consultați următoarele articole:
Autentificareafederativă cu iPad partajat
Atunci când utilizați autentificarea federativă de pe un iPad partajat, procesul de autentificare variază în funcție de prezența sau absența contului de utilizator în/din Apple Business Manager. Pentru a vizualiza scenariile de autentificare, consultați Autentificarea pe un iPad partajat.
Dacă utilizatorul uită codul de acces, trebuie să îi Resetați codul de acces pentru dispozitivul iPad partajat.
Înainte de a începe
Înainte de a utiliza autentificarea federativă cu Google Workspace, Microsoft Entra ID sau furnizorul dvs. de identități (IdP), luați în considerare următoarele:
Cerințe
Dispozitivele Apple trebuie să îndeplinească următoarele cerințe minime de sistem de operare:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Trebuie să blocați și să activați procesul de capturare a domeniului. Consultați Blocarea unui domeniu.
Nu există conflicte cu contul Apple gestionat. Consultați Conflicte de cont Apple gestionat
Conturile de utilizatori cu rol de administrator sau coordonator de persoane nu se pot autentifica folosind autentificarea federativă; pot doar gestiona procesul de asociere.
Când utilizați autentificarea federativă, setarea pentru formatul implicit al contului Apple gestionat nu se aplică.
Cerințe specifice IdP
Când asociați cu Google Workspace:
Autentificarea federativă ar trebui să folosească adresa de e‑mail a utilizatorului ca nume de utilizator. Aliasurile nu sunt acceptate.
Când asociați cu Microsoft Entra ID:
Trebuie să folosiți un utilizator cu rolul de administrator global Entra ID pentru a finaliza sarcina Aprobați autentificarea federativă mai jos. După ce conexiunea este stabilită cu succes, puteți să modificați rolul utilizatorului din administrator global într-un alt rol cu privilegii necesare pentru menținerea conexiunii. Pentru informații suplimentare, consultați Rolurile implicite Microsoft care acceptă domenii, sincronizarea directorului și citirea domeniilor.
Autentificarea federativă cu Microsoft Entra ID necesită un Nume principal utilizator (UPN) identic cu adresa de e-mail a utilizatorului. Aliasurile Nume principal utilizator și ID-urile alternative nu sunt acceptate.
Când asociați cu un IdP, trebuie să aveți următoarele informații:
Un domeniu confirmat pe care doriți să-l utilizați. Consultați Adăugați și verificați un domeniu.
Metoda de autentificare: Utilizați Open ID Connect (OIDC).
Accesul în domeniul de aplicare: trebuie să se acorde acces pentru
ssf.manageșissf.read.Adresa URL de configurare Shared Signals Framework (SSF): consultați documentația IdP-ului dvs.
Adresa URL de configurare OpenID: consultați documentația IdP-ului dvs.
Modificări automate
Pentru utilizatorii Apple Business Manager existenți cu o adresă de email în domeniul asociat, conturile Apple gestionate sunt automat modificate pentru a se potrivi cu adresa de e-mail respectivă.