Синхронізація користувачів із постачальника ідентифікаційних даних в Apple Business Manager
В Apple Business Manager можна використовувати систему керування міждоменними ідентифікаційними даними (System for Cross-domain Identity Management, SCIM), щоб синхронізувати користувачів із постачальника ідентифікаційних даних (IdP). Коли ви синхронізуєте користувачів за допомогою SCIM, інформація про обліковий запис додається у форматі лише для читання, поки ви не відʼєднаєтеся. Після відʼєднання облікові записи стають обліковими записами, створеними вручну, а їхні атрибути (як-от імʼя користувача) — доступними для редагування. Початкова синхронізація займає більше часу, ніж наступні цикли. Ознайомтеся з документацією свого IdP, щоб дізнатися, як часто користувачі синхронізуються з Apple Business Manager.
Перш ніж почати
Перш ніж перейти до створення SCIM-підключення, ви маєте підключитися за допомогою обʼєднаної автентифікації. Див. Використання обʼєднаної автентифікації за допомогою постачальника ідентифікаційних даних. Потім зверніться до свого IdP та переконайтеся, що у вас є наведена далі інформація.
Поле унікального ідентифікатора для користувачів: зазвичай як значення для цього атрибута використовується адреса електронної пошти користувача. З її допомогою створюється керований Apple ID користувача. Наприклад, userName.
Спосіб автентифікації: SAML 2.0.
Режим автентифікації: OAuth 2.
URL-адреса єдиного входу: ознайомтеся з документацією свого IdP.
URL-адреса зворотного виклику авторизації: ознайомтеся з документацією свого IdP.
SCIM і обʼєднана автентифікація
Обʼєднану автентифікацію активовано, тепер її можна ввімкнути. Якщо під час надсилання облікових записів IdP в Apple Business Manager автентифікацію вже ввімкнено, операція не відображатиметься, але облікові записи синхронізуватимуться з обʼєднаними доменами.
Облікові записи користувачів IdP йApple Business Manager
Якщо обліковий запис користувача копіюється з IdP в Apple Business Manager за допомогою SCIM, стандартно йому призначається роль «Персонал».
Примітка. Групи користувачів з IdP не синхронізуються з Apple Business Manager. Якщо ви хочете використовувати ті самі групи, їх можна створити в Apple Business Manager, а потім додати в них користувачів.
Атрибути входу
В Apple Business Manager необхідно, щоб атрибут, що використовується для керованого Apple ID, був унікальним. Зазвичай це адреса електронної пошти користувача. Якщо атрибут користувача повністю збігається з атрибутом користувача Apple Business Manager, якому присвоєно роль адміністратора, синхронізація не здійснюватиметься, а поле джерела залишиться без змін.
Ідентифікатор особи
Коли обліковий запис користувача IdP синхронізується з Apple Business Manager, для облікового запису користувача Apple Business Manager створюється ідентифікатор особи. Цей ідентифікатор використовується для виявлення облікових записів користувачів, що мають конфлікт.
Нижче наведено важливі моменти, які варто врахувати під час змінення ідентифікатора особи.
Якщо змінити ідентифікатор особи для облікового запису, який імпортовано з SCIM, його більше не буде пов’язано з IdP.
Якщо ви змінили ідентифікатор особи для облікового запису, який було імпортовано з SCIM, і хочете повторно прив’язати його, спершу потрібно усунути конфлікт.
Вхід в обліковий запис IdP
Увійдіть у свій IdP як адміністратор, а потім виконайте одну з указаних нижче дій.
Знайдіть програму, створену вашим постачальником ідентифікаційних даних. Ви можете пропустити кілька кроків у цьому завданні.
Перейдіть до розташування, де можна створити програму або підключення.
Створіть програму з наведеною далі інформацією.
Важливо! Запамʼятайте назву програми SCIM, оскільки вона може знадобитися для URL-адреси зворотного виклику авторизації.
Apple Business Manager: виберіть AppleBusinessManagerSCIM.
Тип програми: виберіть SCIM.
Спосіб автентифікації: виберіть SAML 2.0.
URL-адреса єдиного входу, що використовується для отримувача й адресата: ознайомтеся з документацією свого IdP.
URL-адреса аудиторії: виберіть ідентифікатор установи.
Збережіть зміни.
Конфігурування параметрів надання доступу програми SCIM
Знайдіть розділ надання доступу програми SCIM свого IdP та введіть указані далі значення.
URL-адреса бази конекторів SCIM: https://federation.apple.com/feeds/business/scim
URL-адреса токена доступу: https://appleid.apple.com/auth/oauth2/v2/token
URL-адреса авторизації: https://appleid.apple.com/auth/oauth2/v2/authorize
Ідентифікатор клієнта: 123
Пароль клієнта: 123
Важливо! Оскільки у вас іще немає дійсного ідентифікатора та пароля клієнта SCIM, 123 використовується як заповнювач. Ці значення потрібно буде замінити в одному з наступних завдань.
Режим автентифікації: OAuth 2.
Поле унікального ідентифікатора для користувачів: ознайомтеся з документацією свого IdP.
Важливо! Переконайтеся, що регістр ідентифікатора збігається.
Нижче наведено дії з надання доступу, що підтримуються.
Імпортуйте нових користувачів і оновлення профілів.
Синхронізуйте нових користувачів.
Синхронізуйте оновлення профілів.
Збережіть зміни.
Створення URL-адреси зворотного виклику авторизації
Щоб отримувати записи користувачів з IdP за допомогою SCIM, вам потрібно створити URL-адресу зворотного виклику авторизації для Apple Business Manager. За основу цієї URL-адреси береться назва програми SCIM, яку ви створили в IdP.
Запам’ятайте назву програми SCIM. Наприклад:
Apple Business Manager: AppleBusinessManagerSCIM
Вставте назву програми в наведену нижче URL-адресу. Наприклад:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Збережіть URL-адресу зворотного виклику авторизації.
Її потрібно буде вставити в Apple Business Manager в наступному завданні.
Створення та копіювання інформації про клієнт SCIM в IdP
В Apple Business Manager увійдіть в обліковий запис користувача, що має роль адміністратора або менеджера з персоналу.
Виберіть своє імʼя в нижній частині бічної панелі, натисніть «Уподобання» , а потім — «Синхронізація каталогів» .
Натисніть «Увімкнути» поруч із функцією «Власна синхронізація».
Вставте URL-адресу зворотного виклику авторизації, скопійовану під час попереднього завдання, і натисніть «Створити».
Виберіть програму SCIM і натисніть «Створити».
Відкрийте новий текстовий файл або електронну таблицю та введіть туди значення з Apple Business Manager, указані нижче.
У поле ідентифікатора клієнта OIDC вставте ідентифікатор клієнта SCIM.
У поле пароля клієнта OIDC вставте пароль клієнта SCIM.
Поруч з ідентифікатором клієнта натисніть «Скопіювати» й вставте ідентифікатор у файл.
Натисніть «Пароль клієнта», виберіть його довжину й термін дії (6, 9 або 12 місяців), а потім вставте пароль клієнта у файл.
Важливо! Якщо ви видалите або забудете пароль клієнта до того, як вставите його в програму SCIM свого IdP, вам потрібно буде створити новий пароль.
Натисніть «Готово».
Вставлення ідентифікатора та пароля клієнта в програму SCIM свого IdP й перевірка підключення
Поверніться в розділ надання доступу програми SCIM свого IdP та вставте вказані далі значення.
Ідентифікатор клієнта Apple Business Manager в SCIM
Пароль клієнта Apple Business Manager в SCIM
Збережіть зміни.
Якщо ваш IdP дає змогу перевірити підключення за допомогою облікового запису адміністратора IdP, ви можете перевірити його зараз. Наприклад, може відображатися кнопка «Перевірити за допомогою [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM]» залежно від того, як ви назвали програму SCIM.
Укажіть імʼя та пароль облікового запису адміністратора IdP, а потім введіть значення двофакторної автентифікації.
Уважно прочитайте інформацію щодо авторизації. Якщо ви погоджуєтеся з нею, натисніть «Продовжити».
За потреби для цього домену тепер можна ввімкнути обʼєднану автентифікацію.
Тепер IdP і Apple School Manager сконфігуровані для синхронізації певних змін атрибутів користувача з вашого IdP до Apple School Manager.