Använda federerad autentisering med din identitetsleverantör i Apple Business Manager
I Apple Business Manager kan du koppla din identitetsleverantör (IdP) för att tillåta att användare loggar in på Apple-enheter med sina IdP‑användarnamn och -lösenord. Då kan dina användare bruka sina användarnamn och lösenord från identitetsleverantören som hanterade Apple‑ID:n. De kan använda sina inloggningsuppgifter för att logga in på sina tilldelade iPhone-, iPad- eller Mac-enheter, och även på iCloud på webben.
Den här processen innehåller fyra grundsteg:
1. Verifiera en domän
2. Logga in i din identitetsleverantör och skapa en ny OIDC-app (Open ID Connect-app) eller anslutning
3. Ställ in och testa appen eller anslutningen
4. Aktivera federerad autentisering
Innan du börjar
Innan du börjar bör du veta om du planerar att synkronisera med din identitetsleverantör via SCIM eller om du planerar att endast använda federerad autentisering. Om du planerar att synkronisera med din identitetsleverantör via SCIM ska du vänta med att aktivera federerad autentisering tills SCIM-anslutningen har upprättats.
Om du endast ska använda federerad autentisering behöver du ha följande information:
Inloggningsmetod: Använd Open ID Connect (OIDC).
Åtkomstomfattning: Åtkomst måste ges till
ssf.manage
ochssf.read
.Webbadress för SSF-konfiguration (Shared Signals Framework): Se identitetsleverantörens dokumentation.
Webbadress för OpenID-konfiguration: Se identitetsleverantörens dokumentation.
Steg 1: Verifiera en domän
Innan du kan visa dina IdP‑användare med Apple Business Manager måste du lägga till och verifiera den domän som du vill använda. Du lägger till och verifierar domäner i Apple Business Manager.
Obs! Denna verifieringsprocess säkerställer att det är din organisation som har behörighet att modifiera domännamnstjänstens (DNS) poster för din domän. Om du till exempel vill använda betterbag.com som din domän lägger du till en specifik TXT‑post i din domännamnsservers zonfil inom 14 kalenderdagar efter påbörjad verifieringsprocess (som börjar när du väljer knappen Verifiera).
Steg 2: Skapa en ny OIDC‑app eller anslutning
För att kunna ansluta till Apple Business Manager måste din identitetsleverantör ha eller skapa en app som innehåller specifika inställningar för koppling till Apple Business Manager. Eftersom olika identitetsleverantörer har olika metoder för att skapa en app och en plats där specifika inställningar lagras kan du läsa i din identitetsleverantörs dokumentation om hur du slutför processen.
Logga in på din identitetsleverantör som administratör och gör sedan något av följande:
Leta reda på appen som din identitetsleverantör har skapat. Det kan hända att du kan hoppa över flera steg i den här uppgiften.
Navigera till stället där du kan skap en app eller anslutning.
Skapa appen eller anslutningen med följande information:
Apple Business Manager: AppleBusinessManagerOIDC.
Inloggningsmetod: Open ID Connect (OIDC).
Apptyp: Webbapp.
Beviljandetyp: Refresh-token.
Omdirigerings-URL vid inloggning: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Åtkomst: Tillåt specifika användare.
Åtkomstomfattning: Åtkomst måste ges till
ssf.manage
ochssf.read
.
Spara ändringarna.
Senare på den här sidan måste du klistra in viss information i Apple Business Manager. Nästa uppgift är att kopiera in den informationen i en textfil eller ett kalkylblad.
Öppna en ny textfil eller ett nytt kalkylblad och ange följande värden från identitetsleverantören:
För OIDC-klientens ID klistrar du in ID:t för OIDC‑klienten.
För OIDC‑klienthemligheten klistrar du in OIDC‑klienthemligheten.
Spara filen på en säker plats.
Steg 3: Konfigurera och testa anslutningen
Logga in på Apple Business Manager med ett konto som har rollen administratör eller personansvarig.
Välj ditt namn längst ned i sidofältet, välj Inställningar och välj sedan Konton .
Bredvid Federerad autentisering väljer du Redigera. Välj sedan Anpassad identitetsleverantör och Anslut.
Ange ett namn på din federerade autentiseringsanslutning.
Du kan använda upp till 128 tecken.
Kopiera in klient‑ID:t och klienthemligheten i Apple Business Manager från textfilen eller kalkylbladet du sparade i det förra avsnittet.
Kontakta din identitetsleverantör för att få URL‑adresser för dessa två konfigurationer:
Shared Signals Framework (SSF)
OpenID
Välj Fortsätt.
Om alla värden du har angett var giltiga visas identitetsleverantörens inloggningssida. Fortsätt till steg 8.
Logga in med användarnamnet och lösenordet för en IdP‑administratör.
Välj Klar.
Steg 4: Aktivera federerad autentisering
Logga in på Apple Business Manager med ett konto som har rollen administratör eller personansvarig.
Välj ditt namn längst ned i sidofältet, välj Inställningar och välj sedan Konton .
Välj Redigera i avsnittet Domäner och välj sedan Federera bredvid den domän du vill federera med din identitetsleverantör.
Vänta tills processen har slutförts.