Короткий огляд синхронізації каталогів в Apple Business Manager
Синхронізація каталогів допомагає підтримувати актуальність даних в Apple Business Manager відповідно до вашого постачальника ідентифікаційних даних (IdP). Під час використання синхронізації каталогів Apple Business Manager автоматично отримує дані від вашого IdP і може оновлювати інформацію в указаних нижче випадках.
Створюється новий обліковий запис користувача
Змінюється інформація облікового запису користувача
Обліковий запис користувача видаляється
Ви можете використовувати OpenID Connect (OIDC) з Apple Business Manager для синхронізації облікових записів користувачів із наведених нижче (можна синхронізувати лише один одночасно):
Google Workspace
Microsoft Entra ID
Ваш постачальник ідентифікаційних даних (IdP)
Деякі IdP також можуть використовувати систему керування міждоменною ідентифікацією (SCIM)
Перш ніж почати
Перш ніж синхронізувати дані з Google Workspace, Microsoft Entra ID або своїм IdP, врахуйте такі фактори:
Синхронізація груп користувачів не підтримується.
Початкова синхронізація займає більше часу, ніж наступні цикли. Ознайомтеся з документацією свого IdP, щоб дізнатися, як часто користувачі синхронізуються.
Вимоги
Якщо потрібно, перевірте домен вручну. Див. розділ Додайте та підтвердьте домен.
Необхідно ввімкнути об’єднану автентифікацію. Дивіться розділ Вступ до обʼєднаної автентифікації.
Запросіть адміністратора з правами на редагування налаштувань Google Workspace, Microsoft Entra ID або інших параметрів IdP.
В Apple Business Manager необхідно, щоб атрибут, що використовується для керованого облікового запису Apple, був унікальним. Зазвичай це адреса електронної пошти користувача. Якщо атрибут користувача повністю збігається з атрибутом користувача Apple Business Manager, якому присвоєно роль адміністратора, синхронізація не здійснюватиметься, а поле джерела залишиться без змін.
Під час налаштування початкового підключення необхідно використовувати адресу електронної пошти користувача з роллю адміністратора або менеджера з персоналу, щоб він міг отримувати сповіщення від Google Workspace, Microsoft Entra ID або іншого IdP, з яким ви синхронізуєте дані.
Особливі вимоги для IdP
При підключенні до Microsoft Entra ID:
Щоб використовувати OIDC з Apple Business Manager, ваша установа не може мати такого ж клієнта Microsoft Entra ID, як жодна інша установа з Apple Business Manager. Якщо ви хочете використовувати OIDC для своєї установи, зверніться до глобального адміністратора Microsoft Entra ID, щоб переконатися, що вашого клієнта Entra ID для OIDC не використовує жодна інша установа.
Якщо імʼя User Principal Name (UPN) облікового запису користувача повністю збігається з іменем наявного облікового запису користувача, якому присвоєно роль адміністратора або менеджера з персоналу, синхронізація не здійснюватиметься, а поле джерела залишиться без змін.
При підключенні до IdP, що не є Google Workspace або Microsoft Entra ID, необхідно мати наступну інформацію:
Поле унікального ідентифікатора для користувачів: зазвичай як значення для цього атрибута використовується адреса електронної пошти користувача. З її допомогою створюється керований обліковий запис Apple користувача. Наприклад, userName.
Спосіб автентифікації: SAML 2.0.
Режим автентифікації: OAuth 2.
URL-адреса єдиного входу: ознайомтеся з документацією свого IdP.
URL-адреса зворотного виклику авторизації: ознайомтеся з документацією свого IdP.
Автоматичні зміни
Створення облікового запису
Коли налаштовано синхронізацію каталогів, облікові записи користувачів синхронізуються з Apple Business Manager і їм призначається роль «Персонал». Синхронізована інформація облікового запису додається лише для читання, але атрибут «Ролі» облікового запису користувача можна редагувати. Цей атрибут зберігається з обліковим записом користувача в Apple Business Manager і не записується назад у Google Workspace, Microsoft Entra ID або ваш IdP.
Коли об’єднану автентифікацію вимкнено, облікові записи стають створеними вручну, а атрибути в цих облікових записах (наприклад, імена користувачів) потім можна редагувати.
Зміна облікового запису
Синхронізація каталогів відстежує зміни синхронізованих атрибутів і автоматично оновлює їх в Apple Business Manager. Інтервал, з яким ці зміни синхронізуються, залежить від IdP.
Видалення облікового запису
Коли обліковий запис користувача видаляється в Google Workspace, Microsoft Entra ID або IdP, відповідний обліковий запис в Apple Business Manager деактивується та позначається для видалення. Деактивований обліковий запис відключається від пристроїв і не може бути використаний для повторного входу. Якщо обліковий запис не буде синхронізовано знову протягом наступних 30 днів, він автоматично видаляється.
Про ідентифікатор особи
Щоб виявити суперечливі облікові записи, коли обліковий запис користувача спочатку синхронізується за допомогою OIDC з Apple Business Manager, для цього облікового запису автоматично генерується ідентифікатор особи.
Якщо ви зміните ідентифікатор особи в Apple Business Manager для раніше синхронізованого облікового запису користувача, цей обліковий запис більше не буде пов’язано з Google Workspace, Microsoft Entra ID або вашим IdP. Якщо ви хочете повторно пов’язати обліковий запис користувача, необхідно вирішити суперечності між ідентифікаторами особи.