Короткий огляд синхронізації каталогів в Apple Business Manager
Ви можете використовувати OpenID Connect (OIDC) з Apple Business Manager для синхронізації облікових записів користувачів із наведених нижче:
Google Workspace
Microsoft Entra ID
Ваш постачальник ідентифікаційних даних (IdP)
Деякі IdP також можуть використовувати систему керування міждоменною ідентифікацією (SCIM)
Примітка. Ви можете синхронізувати дані з Google Workspace, Microsoft Entra ID або своїм IdP, але лише по черзі.
Перш ніж почати
Перш ніж синхронізувати дані з Google Workspace, Microsoft Entra ID або своїм IdP, врахуйте такі фактори:
Синхронізація груп користувачів не підтримується.
Вимоги
Якщо потрібно, перевірте домен вручну. Див. розділ Додайте та підтвердьте домен.
Необхідно ввімкнути об’єднану автентифікацію. Дивіться розділ Вступ до обʼєднаної автентифікації.
Запросіть адміністратора з правами на редагування налаштувань Google Workspace, Microsoft Entra ID або інших параметрів IdP.
В Apple Business Manager необхідно, щоб атрибут, що використовується для керованого облікового запису Apple, був унікальним. Зазвичай це адреса електронної пошти користувача. Якщо атрибут користувача повністю збігається з атрибутом користувача Apple Business Manager, якому присвоєно роль адміністратора, синхронізація не здійснюватиметься, а поле джерела залишиться без змін.
Під час налаштування початкового підключення слід використовувати адресу електронної пошти користувача з роллю адміністратора або менеджера з персоналу, щоб він міг отримувати сповіщення від Google Workspace, Microsoft Entra ID або іншого IdP, з яким ви синхронізуєте дані.
Особливі вимоги для IdP
При підключенні до Microsoft Entra ID:
Щоб використовувати OIDC з Apple Business Manager, ваша установа не повинна мати такого ж клієнта Microsoft Entra ID, як жодна інша установа з Apple Business Manager. Якщо ви хочете використовувати OIDC для своєї установи, зверніться до глобального адміністратора Microsoft Entra ID, щоб переконатися, що вашого клієнта Entra ID для OIDC не використовує жодна інша установа.
Якщо імʼя User Principal Name (UPN) облікового запису користувача повністю збігається з іменем наявного облікового запису користувача, якому присвоєно роль адміністратора або менеджера з персоналу, синхронізація не здійснюватиметься, а поле джерела залишиться без змін.
При підключенні до IdP, що не є Google Workspace або Microsoft Entra ID, необхідно мати наступну інформацію:
Поле унікального ідентифікатора для користувачів: зазвичай як значення для цього атрибута використовується адреса електронної пошти користувача. З її допомогою створюється керований обліковий запис Apple користувача. Наприклад, userName.
Спосіб автентифікації: SAML 2.0.
Режим автентифікації: OAuth 2.
URL-адреса єдиного входу: ознайомтеся з документацією свого IdP.
URL-адреса зворотного виклику авторизації: ознайомтеся з документацією свого IdP.
Автоматичні зміни
Моніторинг змін в облікових записах користувачів і автоматична синхронізація змін з Apple Business Manager.
Автоматичне видалення керованих облікових записів Apple, коли відповідні облікові записи видаляються в Google Workspace, Microsoft Entra ID або вашому IdP.
Якщо обліковий запис користувача синхронізується з Apple Business Manager, за умовчанням йому призначається роль «Персонал». Після завершення синхронізації можна змінити наведені нижче атрибути ролей облікового запису користувача. Цей атрибут зберігається з обліковим записом користувача в Apple Business Manager і не записується назад у Google Workspace, Microsoft Entra ID або ваш IdP.
Синхронізовані дані облікового запису додаються як доступні лише для читання, доки ви не вимкнете синхронізацію. Після відʼєднання облікові записи стають обліковими записами, створеними вручну, а їхні атрибути (як-от імʼя користувача) — доступними для редагування.
Примітка. Початкова синхронізація займає більше часу, ніж наступні цикли. Ознайомтеся з документацією свого IdP, щоб дізнатися, як часто користувачі синхронізуються.
Про ідентифікатор особи
Щоб виявити суперечливі облікові записи, коли обліковий запис користувача спочатку синхронізується за допомогою OIDC з Apple Business Manager, для цього облікового запису автоматично генерується ідентифікатор особи.
Якщо ви зміните ідентифікатор особи в Apple Business Manager для раніше синхронізованого облікового запису користувача, цей обліковий запис більше не буде пов’язано з Google Workspace, Microsoft Entra ID або вашим IdP. Якщо ви хочете повторно пов’язати обліковий запис користувача, необхідно вирішити суперечності між ідентифікаторами особи.