Introducere în sincronizarea directoarelor cu Apple Business Manager
Sincronizarea directoarelor ajută la menținerea la zi a datelor din Apple Business Manager cu furnizorul dvs. de identitate (IdP). Folosind sincronizarea directoarelor, Apple School Manager este informat automat de către IdP-ul dvs. și își poate actualiza informațiile atunci când se întâmplă următoarele:
Este creat un cont de utilizator nou
Informațiile contului de utilizator s-au modificat
Un cont de utilizator este șters
Puteți utiliza OpenID Connect (OIDC) cu Apple Business Manager pentru a sincroniza conturile utilizatorilor din următoarele (dar numai unul la un moment dat):
Google Workspace
Microsoft Entra ID
IdP-ul dvs.
Unii IdP-uri pot utiliza și Sistemul pentru gestionarea identității între domenii (SCIM)
Înainte de a începe
Înainte de a sincroniza cu Google Workspace, Microsoft Entra ID sau furnizorul dvs. de identități (IdP), luați în considerare următoarele:
Sincronizarea grupurilor de utilizatori nu este acceptată.
Sincronizarea inițială durează mai mult decât ciclurile ulterioare. Consultați documentația IdP-ului dvs. pentru a afla cât de des sunt sincronizați utilizatorii.
Cerințe
Dacă este necesar, confirmați manual un domeniu. Consultați Adăugați și verificați un domeniu.
Trebuie să activați autentificarea federativă. Consultați Introducere în autentificarea federativă.
Asigurați-vă că aveți la dispoziție un administrator cu permisiuni pentru a edita configurările Google Workspace, Microsoft Entra ID sau ale altui IdP.
Apple Business Manager necesită ca atributul utilizat pentru contul Apple gestionat să fie unic. De obicei, acesta este adresa de e-mail a utilizatorului. Dacă un utilizator are un atribut care este identic cu un utilizator existent în Apple Business Manager cu rolul de administrator, nu se va realiza nicio sincronizare, iar câmpul sursă rămâne neschimbat.
Când configurați conexiunea inițială, trebuie să utilizați adresa de e-mail unui utilizator care are rol de Administrator sau Coordonator de persoane, pentru a putea primi notificări de la Google Workspace, Microsoft Entra ID sau un alt IdP cu care vă sincronizați.
Cerințe specifice IdP
Când asociați cu Microsoft Entra ID:
Pentru a utiliza OIDC cu Apple Business Manager, organizația dvs. nu trebuie să aibă aceeași entitate găzduită Microsoft Entra ID ca orice altă organizație Apple Business Manager. Dacă doriți să utilizați OIDC pentru organizația dvs., contactați administratorul global Microsoft Entra ID pentru a vă asigura că nicio altă organizație nu utilizează entitatea dvs. găzduită Entra ID atunci când utilizați OIDC.
Dacă un cont de utilizator are un Nume principal al utilizatorului (UPN) identic cu un utilizator existent care are rolul de administrator sau coordonator de persoane, nu este realizată nicio sincronizare, iar câmpul sursă rămâne neschimbat.
Când asociați cu un IdP care nu este Google Workspace sau Microsoft Entra ID, aveți la îndemînă următoarele informații:
Câmp de identificare unic pentru utilizatori: valoarea acestui atribut este în mod normal adresa de e-mail a utilizatorului. Acesta este folosit pentru a crea contul Apple gestionat al utilizatorului. De exemplu, poate fi nume de utilizator.
Metoda de autentificare: SAML 2.0.
Modul de autentificare: OAuth 2.
Adresa URL de conectare unică: consultați documentația IdP-ului dvs.
Adresa URL de returnare a autorizării: consultați documentația IdP-ului dvs.
Modificări automate
Crearea contului
Atunci când este configurată sincronizarea cu directorul, conturile de utilizator sunt sincronizate cu Apple Business Manager și li se atribuie rolul de Membru de personal. Informațiile contului sincronizat sunt adăugate ca fiind doar pentru citire, dar atributul Roluri al unui cont de utilizator poate fi editat. Acest atribut este stocat împreună cu contul de utilizator în Apple Business Manager și nu este scris înapoi în Google Workspace, în Microsoft Entra ID sau în IdP.
Când autentificarea federativă este dezactivată, conturile devin conturi manuale, iar atributele din aceste conturi (cum ar fi numele de utilizator) pot fi apoi editate.
Modificarea contului
Sincronizarea directorului monitorizează modificările atributelor sincronizate și le actualizează automat în Apple Business Manager. Intervalul la care sunt sincronizate aceste modificări depinde de IdP.
Eliminarea contului
Atunci când un cont de utilizator este eliminat din Google Workspace, Microsoft Entra ID sau IdP-ul dvs., contul corespunzător din Apple Business Manager este dezactivat și marcat pentru ștergere. Un cont dezactivat este deconectat de la dispozitive și nu poate fi autentificat din nou. Cu excepția cazului în care contul este sincronizat din nou în următoarele 30 de zile, acesta este eliminat automat.
Despre ID-ul de persoană
Pentru a identifica conturile în conflict, atunci când un cont de utilizator este sincronizat inițial folosind OIDC cu Apple Business Manager, un ID de persoană este generat automat pentru contul de utilizator respectiv.
Dacă modificați ID-ul de persoană în Apple Business Manager pentru un cont de utilizator sincronizat anterior, respectivul cont de utilizator nu va mai fi asociat cu Google Workspace, Microsoft Entra ID sau IdP-ul dvs. Dacă doriți să reconectați contul de utilizator, trebuie să rezolvați conflictul de ID de persoană.