ซิงค์ผู้ใช้จากผู้ให้บริการข้อมูลประจำตัวของคุณใน Apple Business Manager
ใน Apple Business Manager คุณสามารถใช้ระบบสำหรับการจัดการข้อมูลประจำตัวข้ามโดเมน (SCIM) เพื่อซิงค์ผู้ใช้จากผู้ให้บริการข้อมูลประจำตัว (IdP) ของคุณได้ เมื่อคุณใช้ SCIM ในการซิงค์ผู้ใช้ ข้อมูลบัญชีจะถูกเพิ่มเป็นแบบอ่านอย่างเดียวจนกว่าคุณจะยกเลิกการเชื่อมต่อ ในเวลานั้น บัญชีดังกล่าวจะกลายเป็นบัญชีแบบดำเนินการด้วยตนเองและจะสามารถแก้ไขค่าของคุณลักษณะในบัญชีเหล่านี้ (เช่น ชื่อผู้ใช้) ได้ การซิงค์รอบแรกจะใช้เวลาดำเนินการนานกว่ารอบที่ต่อๆ ไป โปรดศึกษาเอกสารประกอบจาก IdP ของคุณเพื่อดูว่าพวกเขาซิงค์ผู้ใช้กับ Apple Business Manager บ่อยแค่ไหน
ก่อนที่คุณจะเริ่ม
ก่อนที่คุณจะเริ่มสร้างการเชื่อมต่อ SCIM คุณควรเชื่อมต่อเรียบร้อยแล้วโดยใช้การรับรองความถูกต้องแบบรวมศูนย์ โปรดดู ใช้การรับรองความถูกต้องแบบรวมศูนย์กับผู้ให้บริการข้อมูลประจำตัวของคุณ จากนั้นติดต่อ IdP ของคุณและตรวจสอบว่าคุณมีข้อมูลต่อไปนี้:
ช่องตัวระบุที่ไม่ซ้ำกันสำหรับผู้ใช้: โดยทั่วไป ค่าของคุณลักษณะนี้จะเป็นที่อยู่อีเมลของผู้ใช้ ซึ่งจะใช้เพื่อสร้าง Apple ID ที่ได้รับการจัดการของผู้ใช้ ตัวอย่างเช่น อาจเป็น userName
วิธีการรับรองความถูกต้อง: SAML 2.0
โหมดการรับรองความถูกต้อง: OAuth 2
URL การลงชื่อเข้าแบบครั้งเดียว: ศึกษาเอกสารประกอบจาก IdP ของคุณ
URL การเรียกกลับการอนุญาต: ศึกษาเอกสารประกอบจาก IdP ของคุณ
SCIM และการรับรองความถูกต้องแบบรวมศูนย์
การรับรองความถูกต้องแบบรวมศูนย์เปิดใช้งานอยู่และอาจเปิดใช้อยู่แล้ว หากเปิดใช้อยู่ เมื่อบัญชี IdP ถูกส่งไปยัง Apple Business Manager คุณจะไม่เห็นกิจกรรม แต่บัญชีจะยังคงซิงค์จากโดเมนแบบรวมศูนย์อยู่
บัญชีผู้ใช้ IdP และ Apple Business Manager
เมื่อมีการคัดลอกผู้ใช้จาก IdP ของคุณไปยัง Apple Business Manager โดยใช้ SCIM บทบาทตามค่าเริ่มต้นจะเป็นเจ้าหน้าที่
หมายเหตุ: กลุ่มผู้ใช้จาก IdP ของคุณจะไม่ซิงค์กับ Apple Business Manager หากคุณต้องการให้มีกลุ่มเหมือนกัน คุณสามารถสร้างกลุ่มใหม่ใน Apple Business Manager และเพิ่มผู้ใช้ลงในกลุ่มได้
คุณลักษณะการลงชื่อเข้า
Apple Business Manager กำหนดให้คุณลักษณะที่ใช้สำหรับ Apple ID ที่ได้รับการจัดการต้องไม่ซ้ำกัน ซึ่งโดยทั่วไปจะเป็นที่อยู่อีเมลของผู้ใช้ หากผู้ใช้มีคุณลักษณะที่เหมือนกันทุกประการกับผู้ใช้ Apple Business Manager ที่มีอยู่ ซึ่งมีบทบาทเป็นผู้ดูแลระบบ ระบบจะไม่ซิงค์ข้อมูลและช่องแหล่งที่มาจะไม่มีการเปลี่ยนแปลง
ID บุคคล
เมื่อผู้ใช้ IdP ซิงค์กับ Apple Business Manager ระบบจะสร้าง ID บุคคลสำหรับบัญชีผู้ใช้ Apple Business Manager ID บุคคลใช้เพื่อระบุบัญชีผู้ใช้ที่ขัดแย้งกัน
ข้อควรพิจารณาที่สำคัญหากคุณแก้ไข ID บุคคลมีดังนี้:
หากคุณแก้ไข ID บุคคลสำหรับบัญชีที่นำเข้าจาก SCIM ก่อนหน้านี้ บัญชีดังกล่าวจะไม่จับคู่กับ IdP อีกต่อไป
หากคุณแก้ไข ID บุคคลสำหรับบัญชีที่นำเข้าจาก SCIM ก่อนหน้านี้และต้องการเชื่อมต่อบัญชีอีกครั้ง คุณต้องแก้ไขข้อขัดแย้งของผู้ใช้
ลงชื่อเข้า IdP
ลงชื่อเข้า IdP ในฐานะผู้ดูแลระบบ แล้วดำเนินการข้อใดข้อหนึ่งดังต่อไปนี้:
ค้นหาแอปที่ IdP ของคุณสร้างขึ้น คุณอาจข้ามหลายขั้นตอนในงานนี้ได้
ไปที่ที่คุณสามารถสร้างแอปหรือการเชื่อมต่อได้
สร้างแอปด้วยข้อมูลต่อไปนี้:
สิ่งสำคัญ: โปรดจำชื่อแอป SCIM ไว้ เพราะคุณอาจต้องใช้สำหรับ URL การเรียกกลับการอนุญาต
Apple Business Manager: ใช้ AppleBusinessManagerSCIM
ประเภทแอป: ใช้ SCIM
วิธีการรับรองความถูกต้อง: ใช้ SAML 2.0
URL การลงชื่อเข้าแบบครั้งเดียวที่ใช้สำหรับผู้รับและปลายทาง: ศึกษาเอกสารประกอบจาก IdP ของคุณ
URI กลุ่มเป้าหมาย: ใช้ ID เอนทิตี
บันทึกการเปลี่ยนแปลง
กำหนดการตั้งค่าการจัดสรรแอป SCIM
ค้นหาส่วนการจัดสรรของแอป SCIM จาก IdP ของคุณ จากนั้นป้อนค่าต่อไปนี้:
URL ฐานของตัวเชื่อมต่อ SCIM: https://federation.apple.com/feeds/business/scim
URI โทเค็นการเข้าถึง: https://appleid.apple.com/auth/oauth2/v2/token
URI การอนุญาต: https://appleid.apple.com/auth/oauth2/v2/authorize
ID ไคลเอนต์: 123
ข้อมูลลับไคลเอนต์: 123
สิ่งสำคัญ: เนื่องจากคุณยังไม่ทราบ ID ไคลเอนต์ SCIM และข้อมูลลับไคลเอนต์ที่แท้จริง จึงใช้ 123 เป็นตัวยึดตำแหน่ง คุณจะแทนที่ค่าเหล่านี้ในขั้นตอนถัดไป
โหมดการรับรองความถูกต้อง: OAuth 2
ช่องตัวระบุที่ไม่ซ้ำกันสำหรับผู้ใช้: ศึกษาเอกสารประกอบจาก IdP ของคุณ
สิ่งสำคัญ: โปรดระบุตัวพิมพ์ให้ตรงกับตัวระบุ
การดำเนินการจัดสรรที่รองรับ:
นำเข้าผู้ใช้ใหม่และการอัปเดตโปรไฟล์
เพิ่มผู้ใช้ใหม่
อัปเดตโปรไฟล์
บันทึกการเปลี่ยนแปลง
สร้าง URL การเรียกกลับการอนุญาต
คุณต้องสร้าง URL การเรียกกลับการอนุญาตสำหรับ Apple Business Manager เพื่อรับบันทึกผู้ใช้จาก IdP ของคุณโดยใช้ SCIM URL การเรียกกลับนี้อิงตามชื่อของแอป SCIM ที่คุณสร้างใน IdP ของคุณ
โปรดจำชื่อแอป SCIM ของคุณไว้ ตัวอย่างเช่น:
Apple Business Manager: AppleBusinessManagerSCIM
วางชื่อแอปใน URL ต่อไปนี้ ตัวอย่างเช่น:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
บันทึก URL การเรียกกลับการอนุญาต
คุณจะวาง URL ดังกล่าวลงใน Apple Business Manager ในขั้นตอนถัดไป
สร้างและคัดลอกข้อมูลไคลเอนต์ SCIM ไปยัง IdP ของคุณ
ใน Apple Business Manager ให้ลงชื่อเข้าด้วยผู้ใช้ที่มีบทบาทผู้ดูแลระบบหรือผู้จัดการบุคคล
เลือกชื่อของคุณที่ด้านล่างของแถบด้านข้าง แล้วเลือก "การตั้งค่า" จากนั้นเลือก "การซิงค์ไดเรกทอรี"
เลือก "เปิดใช้งาน" ถัดจาก "การซิงค์ที่กำหนดเอง"
วาง URL การเรียกกลับการอนุญาตจากขั้นตอนก่อนหน้า จากนั้นเลือก "สร้าง"
เลือกแอปพลิเคชัน SCIM จากนั้นเลือก "สร้าง"
เปิดไฟล์ข้อความหรือสเปรดชีตใหม่ จากนั้นป้อนค่าต่อไปนี้จาก Apple Business Manager:
สำหรับ ID ไคลเอนต์ OIDC ให้วาง ID ไคลเอนต์ SCIM
สำหรับข้อมูลลับไคลเอนต์ OIDC ให้วางข้อมูลลับไคลเอนต์ SCIM
เลือก "คัดลอก" ถัดจาก ID ไคลเอนต์ จากนั้นวาง ID ไคลเอนต์ลงในไฟล์
เลือก "ข้อมูลลับไคลเอนต์" เลือกระยะเวลาที่ข้อมูลลับจะทำงานก่อนที่จะหมดอายุ (6, 9 หรือ 12 เดือน) จากนั้นวางข้อมูลลับไคลเอนต์ลงในไฟล์
สิ่งสำคัญ: หากคุณลบหรือลืมข้อมูลลับไคลเอนต์ก่อนที่จะวางลงในแอป SCIM จาก IdP ของคุณ คุณต้องสร้างข้อมูลลับไคลเอนต์ใหม่
เลือก "เสร็จสิ้น"
วาง ID ไคลเอนต์และข้อมูลลับไคลเอนต์ในแอป SCIM จาก IdP ของคุณ และตรวจสอบยืนยันการเชื่อมต่อ
กลับไปที่ส่วนการจัดสรรของแอป SCIM จาก IdP ของคุณ จากนั้นวางค่าต่อไปนี้:
ID ไคลเอนต์ SCIM ของ Apple Business Manager
ข้อมูลไคลเอนต์ SCIM ของ Apple Business Manager
บันทึกการเปลี่ยนแปลง
หาก IdP ของคุณอนุญาตให้คุณทดสอบการรับรองความถูกต้องโดยใช้บัญชีผู้ดูแลระบบ IdP คุณสามารถทดสอบได้เลย ตัวอย่างเช่น อาจมีปุ่ม "รับรองความถูกต้องด้วย [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]" หรือชื่อใดก็ตามที่คุณใช้ตั้งชื่อแอป SCIM ของคุณ
ป้อนชื่อและรหัสผ่านผู้ดูแลระบบ IdP ของคุณ จากนั้นป้อนค่าการตรวจสอบสิทธิ์แบบสองปัจจัย
โปรดอ่านข้อมูลการอนุญาตทุกรายการอย่างรอบคอบ หากคุณยอมรับ ให้เลือก "ดำเนินการต่อ"
หากจำเป็น คุณสามารถเปิดการรับรองความถูกต้องแบบรวมศูนย์สำหรับโดเมนนี้ได้
ขณะนี้ IdP และ Apple Business Manager ของคุณได้รับการกำหนดค่าให้ซิงค์การเปลี่ยนแปลงคุณลักษณะผู้ใช้เฉพาะจาก IdP ของคุณไปยัง Apple Business Manager แล้ว