Introduktion till federerad autentisering Apple Business Manager
Du kan använda federerad autentisering för att koppla Apple Business Manager till följande:
Google Workspace
Microsoft Entra ID
Din identitetsleverantör (IdP)
Obs! Du kan koppla till Google Workspace, Microsoft Entra ID eller din IdP, men bara en åt gången.
Det innebär att användarna kan logga in på sin tilldelade iPhone, iPad, Mac, Apple Vision Pro och i Delad iPad med sitt befintliga användarnamn (vanligtvis sin e-postadress) och lösenord. När de har loggat in på en av dessa enheter kan de också logga in på iCloud på webben på en Mac (iCloud för Windows stöder inte hanterade Apple‑konton).
Viktigt: När anslutningen går ut federeras och synkroniseras användarkonton inte längre. Du måste återansluta för att fortsätta använda federerad autentisering och synkronisering.
Det finns specifika instanser då du kan använda federerad autentisering:
Endast federerad autentisering
När Apple Business Manager och Google Workspace, Microsoft Entra ID eller din IdP är kopplade skapas hanterade Apple‑konton automatiskt för användare. De kan sedan logga in med sina befintliga användarnamn (vanligtvis sina e‑postadresser) och lösenord.
Se följande:
Federerad autentisering med katalogsynkronisering
Du kan även synkronisera användarkonton från Google Workspace, Microsoft Entra ID eller din IdP till Apple Business Manager. När du skapar en anslutning för katalogsynkronisering kan du lägga till Apple Business Manager-egenskaper (såsom roller) till användarkontodata som importeras från en av tjänsterna. Tjänsternas information om användarkonton läggs till som skrivskyddad (läsa men inte ändra) tills du stänger av synkronisering. Då blir kontona manuella konton och attribut i dessa konton kan då redigeras. Om ett användarkonto tas bort från en av tjänsterna kan användarkontot tas bort från Apple Business Manager. Se följande:
Federerad autentisering med Delad iPad
När du använder federerad autentisering med en delad iPad är inloggningsprocessen annorlunda beroende på om användarkontot redan finns i Apple Business Manager eller inte. Du kan se scenarier för inloggning i Logga in på en delad iPad.
Glömmer användaren sin lösenkod måste du nollställa lösenkoden för delad iPad.
Innan du börjar
Tänk på följande innan du använder federerad autentisering med Google Workspace, Microsoft Entra ID eller din IdP:
Krav
Apple-enheter måste uppfylla följande minimikrav för operativsystemet:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Du måste låsa och aktivera processen för domänregistrering. Se Låsa en domän.
Det finns inga konflikter med hanterade Apple-konton. Se Konflikter mellan hanterade Apple-konton.
Användarkonton med rollen Administratör eller Personansvarig kan inte logga in med federerad autentisering. De kan endast hantera federeringsprocessen.
När federerad autentisering används gäller inte den standardmässiga formatinställningen för hanterade Apple-konton.
IdP-specifika krav
Vid koppling till Google Workspace:
Vid federerad autentisering ska användarens e‑postadress användas som användarnamn. Alias kan inte användas.
Vid koppling till Microsoft Entra ID:
Du måste använda en användare med roll som global Entra ID-administratör för att slutföra uppgiftenGodkänn federerad autentisering nedan. Efter att anslutningen har upprättats kan du ändra användarens roll från global administratör till en annan roll med de behörigheter som krävs för att upprätthålla anslutningen. Mer information finns i Microsoft-standardroller som har stöd för domäner, katalogsynkronisering och domänläsning.
För federerad autentisering med Microsoft Entra ID måste en användares userPrincipalName (UPN) matcha hens e-postadress. Alias för userPrincipalName och alternativa ID:n stöds inte.
Du måste ha följande uppgifter vid koppling till en IdP:
En verifierad domän som du vill använda. Se Lägga till och verifiera en domän.
Inloggningsmetod: Använd Open ID Connect (OIDC).
Åtkomstomfattning: Åtkomst måste ges till
ssf.manageochssf.read.Webbadress för SSF-konfiguration (Shared Signals Framework): Se identitetsleverantörens dokumentation.
Webbadress för OpenID-konfiguration: Se identitetsleverantörens dokumentation.
Automatiska ändringar
Hanterade Apple‑konton för befintliga Apple Business Manager-användare som har en e‑postadress i den federerade domänen ändras automatiskt för att motsvara e‑postadressen.