Introduktion till katalogsynkronisering med Apple Business Manager
Katalogsynkronisering hjälper till att hålla data i Apple Business Manager uppdaterade med din identitetsleverantör (IdP). Med katalogsynkronisering får Apple Business Manager automatiskt information från din IdP och kan uppdatera sin information när följande händer:
Ett nytt användarkonto skapas
Användaruppgifter ändras
Ett användarkonto raderas
Du kan använda OpenID Connect (OIDC) med Apple Business Manager för att synkronisera användarkonton från följande (men bara en åt gången):
Google Workspace
Microsoft Entra ID
Din IdP
En del IdP:er kan även använda SCIM (System for Cross-domain Identity Management)
Innan du börjar
Tänk på följande innan du synkroniserar till Google Workspace, Microsoft Entra ID eller din IdP:
Synkronisering av grupper stöds inte.
Den första synkroniseringen tar längre tid att utföra än kommande cykler. I identitetsleverantörens dokumentation kan du läsa mer om hur ofta användare synkroniseras.
Krav
Verifiera vid behov en domän manuellt. Se Lägga till och verifiera en domän.
Du måste aktivera federerad autentisering. Se Introduktion till federerad autentisering.
Se till att en administratör med behörighet att redigera Google Workspace, Microsoft Entra ID eller någon annan IdP:s inställningar står i beredskap.
Apple Business Manager kräver att attributet som används för det hanterade Apple‑kontot är unikt. Det är vanligtvis användarens e‑postadress. Om en användare har ett attribut som är exakt detsamma som en befintlig Apple Business Manager-användare med rollen administratör utförs ingen synkronisering och källfältet förblir oförändrat.
När du konfigurerar den inledande anslutningen måste du använda e-postadressen till en användare som har rollen Administratör eller Personansvarig så att hen kan ta emot notiser från Google Workspace, Microsoft Entra ID eller någon annan IdP som du synkroniserar med.
IdP-specifika krav
Vid koppling till Microsoft Entra ID:
Om du vill använda OIDC med Apple Business Manager får din organisation inte ha samma Microsoft Entra ID-klient som någon annan Apple Business Manager-organisation. Om du vill använda OIDC för din organisation kontaktar du den globala administratören för Microsoft Entra ID för att se till att ingen annan organisation använder din Entra ID‑klient för OIDC.
Om ett användarkonto har ett användarhuvudnamn (User Principal Name, UPN) som är exakt samma som ett befintligt användarkonto med rollen Administratör eller Personansvarig utförs ingen synkronisering och källfältet förblir oförändrat.
Ha följande uppgifter till hands vid koppling till en annan IdP än Google Workspace eller Microsoft Entra ID:
Unikt identifierar-fält för användare: Värdet för det här attributet är vanligtvis användarens e‑postadress. Detta används för att skapa användarens hanterade Apple‑konto. Det kan till exempel vara användarnamn.
Autentiseringsmetod: SAML 2.0.
Autentiseringsläge: OAuth 2.
Single Sign-On-URL: Se din identitetsleverantörs dokumentation.
Motringnings-URL för auktorisering: Se din identitetsleverantörs dokumentation.
Automatiska ändringar
Skapande av konto
När katalogsynkronisering konfigureras, synkroniseras användarkonton till Apple Business Manager och blir tilldelade rollen Personal. De synkroniserade kontouppgifterna läggs till med skrivskydd, men ett användarkontos roller kan redigeras. Detta attribut lagras med användarkontot i Apple Business Manager och skrivs inte tillbaka till Google Workspace, Microsoft Entra ID eller din IdP.
När federerad autentisering stängs av blir konton manuella konton. Attribut för dessa konton (till exempel användarnamn) kan då ändras.
Modifiering av konto
Med katalogsynkronisering övervakas ändringar av synkroniserade attribut. Dessa uppdateras automatiskt i Apple Business Manager. Intervallet som dessa ändringar synkroniseras under beror på din IdP.
Borttagning av konto
När ett användarkonto tas bort i Google Workspace, Microsoft Entra ID eller din IdP, inaktiveras motsvarande konto i Apple Business Manager. Det flaggas också för radering. Ett inaktiverat konto loggas ut ur enheter och kan inte loggas in igen. Om kontot inte synkroniseras igen inom de närmsta 30 dagarna tas det bort automatiskt.
Om person-ID:t
Första gången ett användarkonto synkroniseras med Apple Business Manager via OIDC genereras ett person-ID automatiskt för användarkontot för att identifiera konton med konflikter.
Om du ändrar person-ID:t i Apple Business Manager för ett användarkonto som tidigare synkroniserats, kommer det användarkontot inte längre att vara kopplat till Google Workspace, Microsoft Entra ID eller din IdP. Du måste lösa person-ID-konflikten om du vill återansluta användarkontot.