Požiadavky na synchronizáciu so službou Azure AD v Apple Business Manageri
Prostredníctvom systému SCIM (System for Cross-domain Identity Management) môžete do Apple Business Managera importovať používateľov. Pri používaní tohto systému sa zlúčia vlastnosti z Apple Business Managera (napríklad pozície) s údajmi o používateľských účtoch importovanými zo služby Microsoft Azure Active Directory (Azure AD). Ak používateľov importujete prostredníctvom systému SCIM, informácie o účtoch sa pridajú v režime len na čítanie a zostanú tak, kým sa od systému SCIM neodpojíte. V danom momente sa z účtov stanú manuálne vytvorené účty a atribúty týchto účtov je možné upraviť. Úvodná synchronizácia trvá dlhšie ako neskoršie synchronizácie (tie sa opakujú približne každých 40 minút, kým je spustená služba poskytovania Azure AD). Ďalšie informácie nájdete v článku Provisioning tips (Tipy k poskytovaniu) na webovej stránke dokumentácie služby Microsoft Azure.
Oprávnenia v službe Azure AD
Synchronizovať účty cez systém SCIM do Apple Business Managera môžu v službe Azure AD nasledujúce roly:
Správca aplikácie
Správca cloudovej aplikácie
Vlastník aplikácie
Globálny správca
Pozrite si článok Azure AD built-in roles (Vstavané pozície služby Azure AD) na webovej stránke služby Microsoft Azure AD.
Nájomcovia v službe Azure AD
Ak chcete v Apple Business Manageri používať systém SCIM, vaša organizácia nesmie používať rovnakého nájomcu služby Azure AD ako iná organizácia v Apple Business Manageri. Ak chcete vo svojej organizácii používať systém SCIM, kontaktujte administrátora služby Azure AD a uistite sa, že pre systém SCIM nepoužíva rovnakého nájomcu služby Azure AD žiadna iná organizácia.
Skupiny v službe Azure AD
V službe Azure AD sa pojem skupiny používa pri oboch spôsoboch synchronizácie, ale synchronizujú sa len používateľské účty. Skupiny zo služby Azure AD môžete pridať do aplikácie Apple Business Manager v Azure AD. Ak máte napríklad v Azure AD skupiny s názvom Technici, Marketing a Predajcovia, môžete ich všetky tri pridať do aplikácie Apple Business Manager v Azure AD. Keď sa pripojíte pomocou systému SCIM, do Apple Business Managera sa synchronizujú len účty z týchto skupín.
Poznámka: Aplikácia Apple Business Manager v Azure AD nepodporuje podskupiny.
Rozsah poskytovania
Existujú dva spôsoby, ako synchronizovať účty zo služby Azure AD do Apple Business Managera.
Synchronizovať len priradených používateľov a skupiny: Táto možnosť synchronizuje do Apple Business Managera len účty, ktoré sa zobrazujú v aplikácii Apple Business Manager v Azure AD. Pri používaní tohto spôsobu synchronizácie musia mať účty zo služby Azure AD priradenú pozíciu používateľa, aby sa mohli synchronizovať s Apple Business Managerom.
Synchronizovať všetkých používateľov a skupiny: Táto možnosť synchronizuje do Apple Business Managera všetky účty, ktoré sa zobrazujú v Azure AD na karte Používatelia (synchronizácia skupín nie je podporovaná), a pre všetky združené účty z Azure AD vytvorí spravované účty Apple ID, a to aj v prípade, že chcete používať len určitý počet účtov.
Prečítajte si články podpory spoločnosti Microsoft What is automated SaaS app user provisioning in Azure AD? (Čo je automatické poskytovanie aplikácií SaaS v službe Azure AD?) a Attribute-based application provisioning with scoping filters (Poskytovanie aplikácií na základe atribútov s filtrami rozsahu).
Upozornenia poskytovania
Pri konfigurácii poskytovania by ste mali použiť emailovú adresu účtu v administratíve alebo správe osôb, aby daná osoba mohla dostávať upozornenia zo služby Azure AD.
Systém SCIM a overenie združenej identity
Ak už vo chvíli, keď sa do Apple Business Managera odosielajú účty zo služby Azure AD, máte zapnuté združenie, neuvidíte žiadnu aktivitu, ale účty sa napriek tomu budú synchronizovať zo združenej domény.
Služba Azure AD je poskytovateľom identít (IdP), ktorý overuje používateľov Apple Business Managera a vydáva im overovacie tokeny. Keďže Apple Business Manager podporuje službu Azure AD, budú s ním fungovať aj iní poskytovatelia identít, ktorí sa pripájajú k službe Azure AD, ako je napríklad služba Active Directory Federated Services (ADFS). Funkcia Overenie združenej identity využíva na prepojenie Apple Business Managera s Azure AD jazyk SAML (Security Assertion Markup Language).
Používateľské účty služby Azure AD a Apple Business Manager
Keď pomocou systému SCIM skopírujete do Apple Business Managera používateľa zo služby Azure AD, pridelí sa mu predvolená pozícia Zamestnanec. Po dokončení synchronizácie môžete upravovať iba atribút Pozície daného používateľa. Tento atribút sa ukladá s používateľským účtom v Apple Business Manageri a nezapisuje sa späť do služby Azure AD.
Mapovanie atribútov používateľov zo systému SCIM
Keď pomocou systému SCIM skopírujete do Apple Business Managera účet zo služby Azure AD, nasledujúce atribúty sa uložia v režime iba na čítanie. Táto tabuľka tiež určuje, či sa vyžaduje atribút používateľa.
Dôležité: Pridaním atribútov, ktoré v tabuľke vyššie nie sú uvedené, sa znefunkční prepojenie so systémom SCIM.
Atribút používateľa v službe Azure AD | Atribút používateľ v Apple Business Manageri | Povinné |
|---|---|---|
Meno | Meno |
|
Priezvisko | Priezvisko |
|
Hlavné meno používateľa | Spravované Apple ID a emailová adresa |
|
ID objektu | (V Apple Business Manageri sa nezobrazuje. Tento atribút sa používa len na rozpoznanie konfliktov účtov.) |
|
Oddelenie | Oddelenie |
|
ID zamestnanca | Číslo osoby |
|
Vlastný atribút (musíte ho vytvoriť v aplikácii Apple Business Manager v Azure AD) | Nákladové stredisko |
|
Vlastný atribút (musíte ho vytvoriť v aplikácii Apple Business Manager v Azure AD) | Divízia |
|
Hlavné meno používateľa
Ak sa hlavné meno používateľa (UPN) zhoduje s už vytvoreným používateľom s pozíciou administrátora, synchronizácia neprebehne a zdrojové pole sa nezmení.
ID osoby
Keď s Apple Business Managerom synchronizujete používateľa zo služby Azure AD, vytvorí sa pre daný používateľský účet v Apple Business Manageri aj ID osoby. Pomocou ID osoby a ID objektu sa rozpoznávajú konflikty účtov.
Ak pre niektorý účet importovaný pomocou systému SCIM upravíte ID osoby, daný účet už nebude spárovaný so službou Azure AD. Ak ste pre niektorý účet importovaný pomocou systému SCIM upravili ID osoby a teraz chcete účet znova pripojiť k systému SCIM, pozrite si tému Riešenie konfliktov používateľských účtov SCIM.
Odporúčania
Pri pripájaní prostredníctvom systému SCIM by ste mali používať len aplikáciu Apple Business Manager v Azure AD.
Ak máte overenú doménu, ale ešte ste nezapli overenie združenej identity, mali by ste so zapnutím združenia počkať, až kým sa neuistíte, že používatelia zo služby Azure AD sa skutočne odoslali do Apple Business Managera. To môžete urobiť kontrolou protokolov poskytovania služby Azure AD. Keď sa uistíte, že používatelia zo služby Azure AD sa skutočne odoslali, a potom zapnete združenie, dostanete upozornenie na aktivitu, keď budú používatelia zo služby Azure AD vytvorení. Ak už vo chvíli, keď sa odošlú používatelia zo služby Azure AD, už máte zapnuté združenie, neuvidíte žiadnu aktivitu, ale používatelia sa napriek tomu synchronizujú.
Ak máte v službe Azure AD nakonfigurovanú nejakú skupinu, môžete ju pridať do aplikácie Apple Business Manager v Azure AD bez toho, aby ste museli každého používateľa pridať zvlášť.
Dôležité: Nepoužívajte v aplikácii Apple Business Manager v Azure AD to isté používateľské meno po dobu 30 dní.
Kým začnete
Kým začnete, musíte vykonať nasledujúce kroky:
Nakonfigurovať a overiť doménu, ktorú chcete používať. Pozrite si tému Prepojenie s novými doménami.
Nakonfigurovať (ale nezapínať) overenie združenej identity. Prečítajte si článok Zapnutie a otestovanie funkcie Overenie združenej identity.
Poznámka: Ak už overenie združenej identity máte zapnutie, môžete napriek tomu pokračovať. Prečítajte si odporúčania v predchádzajúcej časti.
Určiť typ synchronizácie v službe Azure AD a podľa potreby vytvoriť skupiny, pomocou ktorých sa do aplikácie Apple Business Manager v Azure AD budú synchronizovať len priradené účty:
Synchronizovať len priradených používateľov.
Synchronizovať všetkých používateľov.
Mať k dispozícii pripraveného administrátora služby Azure AD, ktorý má oprávnenia na úpravu podnikových aplikácií. Keď budete obaja pripravení, pozrite si tému Import používateľov pomocou systému SCIM.