Вимоги для синхронізації за допомогою Azure AD в Apple Business Manager
Ви можете скористатися системою керування міждоменною ідентифікацією (SCIM), щоб імпортувати користувачів в Apple Business Manager. За допомогою цієї системи можна об’єднати властивості Apple Business Manager (як‑от ролі) з даними облікового запису користувача, імпортованими з Microsoft Azure Active Directory (Azure AD). Коли ви імпортуєте користувачів за допомогою SCIM, інформація про обліковий запис додається у форматі лише для читання, поки ви не від’єднаєтеся від SCIM. Після від’єднання облікові записи стають обліковими записами, створеними вручну, а їхні атрибути — доступними для редагування. Початкова синхронізація займає більше часу, ніж наступні, які здійснюються приблизно кожні 40 хвилин, поки працює служба підготовки Azure AD. Дивіться Поради з підготовки на веб-сайті документації Microsoft Azure.
Повноваження Azure AD
Наведені нижче ролі в Azure AD можуть синхронізувати облікові записи в Apple Business Manager за допомогою SCIM.
Адміністратор програми
Адміністратор хмарної програми
Власник програми
Глобальний адміністратор
Дивіться вбудовані ролі Azure AD на веб-сайті Microsoft Azure AD.
Клієнти Azure AD
Щоб використовувати SCIM з Apple Business Manager, ваша установа не повинна мати такого ж клієнта Azure AD, як жодна інша установа з Apple Business Manager. Якщо ви хочете використовувати SCIM для своєї установи, зверніться до адміністратора Azure AD, щоб переконатися, що вашого клієнта Azure AD для SCIM не використовує жодна інша установа з
Групи Azure AD
В Azure AD в обох методах синхронізації використовується слово Групи, але синхронізуються лише облікові записи користувачів. Групи Azure AD можна додати у програму Apple Business Manager Azure AD. Наприклад, якщо в Azure AD є групи, що називаються Проектування, Маркетинг і Продаж, ці три групи можна додати в програму Apple Business Manager Azure AD. Під час підключення за допомогою SCIM з Apple Business Manager синхронізуватимуться лише облікові записи у цих групах.
Примітка. Програма Apple Business Manager Azure AD не підтримує підгрупи.
Область надання доступу
Синхронізувати облікові записи з Azure AD в Apple Business Manager можна двома способами.
Синхронізувати лише призначених користувачів і групи: у цьому режимі з Apple Business Manager синхронізуються лише облікові записи, що відображаються в програмі Apple Business Manager Azure AD. Щоб використовувати цей спосіб синхронізації з Apple Business Manager, обліковим записам Azure AD має бути призначено роль користувача.
Синхронізувати всіх користувачів і групи: у цьому режимі з Apple Business Manager синхронізуються всі облікові записи, які відображаються на вкладці «Користувач» в Azure AD (синхронізація груп не підтримується), і для всіх об’єднаних облікових записів Azure AD створюються керовані Apple ID, навіть якщо ви плануєте використовувати лише деякі з них.
Перегляньте статті служби підтримки Microsoft Що таке автоматична підготовка користувачів для програм SaaS в Azure AD? та Підготовка програм на основі атрибутів із використанням фільтрів області.
Сповіщення про підготовку
Налаштовуючи підготовку, слід використовувати адресу електронної пошти користувача з роллю адміністратора або менеджера з персоналу, щоб він міг отримувати сповіщення від Azure AD.
SCIM і об’єднана автентифікація
Якщо під час надсилання облікових записів Azure AD в Apple Business Manager об’єднання вже ввімкнено, операція не відображатиметься, але облікові записи синхронізуватимуться з об’єднаними доменами.
Azure AD — це постачальник ідентифікаційних даних (IdP), що автентифікує користувачів в Apple Business Manager і видає токени автентифікації. Оскільки Apple Business Manager підтримує Azure AD, інші постачальники ідентифікаційних даних, які під’єднуються до Azure AD, як-от Active Directory Federated Services (ADFS), також працюватимуть. Об’єднана автентифікація використовує стандарт SAML для під’єднання Apple Business Manager до Azure AD.
Облікові записи користувачів Azure AD і Apple Business Manager
Якщо обліковий запис користувача копіюється з Azure AD в Apple Business Manager за допомогою SCIM, за замовчуванням йому призначається роль «Персонал». Після завершення синхронізації можна змінити наведені нижче атрибути ролей користувача. Цей атрибут зберігається з обліковим записом користувача в Apple Business Manager і не записується назад в Azure AD.
Зіставлення атрибутів користувача SCIM
Коли обліковий запис копіюється з Azure AD в Apple Business Manager за допомогою SCIM, наведені нижче атрибути користувача зберігаються лише для читання. У таблиці також зазначено, чи є атрибут користувача обов’язковим.
Важливо! Додавання атрибутів, що не вказані в таблиці, розриває з’єднання SCIM.
Атрибут користувача Azure AD | Атрибут користувача Apple Business Manager | Обов’язково |
---|---|---|
Ім’я | Ім’я | |
Прізвище | Прізвище | |
User Principal Name | Керований Apple ID й адреса електронної пошти | |
Ідентифікатор об’єкта | (Не відображається в Apple Business Manager. Цей атрибут використовується для виявлення конфліктуючих облікових записів.) | |
Відділ | Відділ | |
Ідентифікаційний номер працівника | Номер особи | |
Власний атрибут (потрібно створити в програмі Apple Business Manager Azure AD) | Центр витрат | |
Власний атрибут (потрібно створити в програмі Apple Business Manager Azure AD) | Підрозділ |
User Principal Name
Якщо ім’я User Principal Name (UPN) користувача повністю збігається з іменем наявного користувача, якому присвоєно роль адміністратора, синхронізація не здійснюватиметься, а поле джерела залишиться без змін.
ID користувача
Коли обліковий запис користувача Azure AD синхронізується з Apple Business Manager, для облікового запису користувача Apple Business Manager створюється ідентифікатор особи. Ідентифікатор особи й ідентифікатор об’єкта використовуються для виявлення конфліктуючих облікових записів.
Якщо змінити ідентифікатор особи для облікового запису, який імпортовано з SCIM, він більше не буде пов’язаний з Azure AD. Якщо ви змінили ідентифікатор особи для облікового запису, який було імпортовано з SCIM, і хочете повторно прив’язати його до SCIM, перегляньте розділ Усунення конфліктів облікових записів користувачів SCIM.
Рекомендації
Під час підключення до SCIM слід використовувати лише програму Apple Business Manager Azure AD.
Якщо ви підтвердили домен, але не ввімкнули об’єднану автентифікацію, не вмикайте об’єднання, поки не переконаєтеся, що облікові записи користувачів Azure AD надіслано в Apple Business Manager. Для цього потрібно переглянути журнали підготовки Azure AD. Переконавшись, що облікові записи користувачів Azure AD надіслано, і ввімкнувши об’єднання, ви отримаєте сповіщення від операції про те, що облікові записи користувачів Azure AD створено. Якщо під час надсилання облікових записів користувачів Azure AD об’єднання вже ввімкнено, операція не відображатиметься, але облікові записи продовжуватимуть синхронізуватися.
Якщо ви налаштували групу в Azure AD, її можна додати в програму Apple Business Manager Azure AD замість того, щоб додавати кожного користувача.
Важливо! Не використовуйте те саме ім’я користувача в програмі Apple Business Manager Azure AD повторно протягом 30 днів.
Перш ніж почати
Перш ніж почати, потрібно виконати перелічені нижче дії.
Налаштуйте та підтвердьте потрібний домен. Дивіться розділ Під’єднання до нових доменів.
Налаштуйте (але не вмикайте) об’єднану автентифікацію. Дивіться розділ Увімкнення та перевірка об’єднаної автентифікації.
Примітка. Якщо об’єднану автентифікацію вже ввімкнено, можна продовжувати. Перегляньте рекомендації, наведені в попередньому розділі.
Визначте тип синхронізації в Azure AD і за потреби створіть групи для синхронізації лише призначених облікових записів у програмі Apple Business Manager Azure AD:
синхронізувати лише призначених користувачів;
синхронізувати всіх користувачів.
Зателефонуйте адміністратору Azure AD з дозволами на редагування корпоративних програм. Коли ви з ним будете готові, перегляньте розділ Використання SCIM для імпорту користувачів.