Yêu Cầu Đối Với Quá Trình Đồng Bộ Hóa Bằng Azure Ad Cho Apple Business Manager
Bạn có thể dùng Hệ thống quản lý nhận dạng liên miền (SCIM) để nhập người dùng vào Apple Business Manager. Khi sử dụng hệ thống này, bạn sẽ hợp nhất các thuộc tính của Apple Business Manager (chẳng hạn như vai trò) với dữ liệu tài khoản người dùng được nhập từ Microsoft Azure Active Directory (Azure AD). Khi bạn dùng SCIM để nhập người dùng, thông tin tài khoản sẽ được thêm ở dạng chỉ đọc cho đến khi bạn ngắt kết nối khỏi SCIM. Tại thời điểm đó, các tài khoản này sẽ trở thành tài khoản thủ công và khi đó, bạn có thể sửa thuộc tính trong những tài khoản này. Quá trình đồng bộ hóa lần đầu mất nhiều thời gian để thực hiện hơn so với các chu trình tiếp theo. Các chu trình này diễn ra khoảng 40 phút một lần chừng nào dịch vụ cấp quyền Azure AD còn đang hoạt động. Xem phần Provisioning tips (Mẹo cấp quyền) trên trang web tài liệu về Microsoft Azure.
Đặc quyền đối với Azure AD
Các vai trò sau đây trong Azure AD có thể dùng SCIM để đồng bộ hóa tài khoản với Apple Business Manager:
Quản trị viên ứng dụng
Quản trị viên ứng dụng đám mây
Chủ sở hữu ứng dụng
Quản trị viên toàn cầu
Xem Các vai trò tích hợp sẵn trong Azure AD tại trang web về Microsoft Azure AD.
Đối tượng thuê Azure AD
Để dùng SCIM với Apple Business Manager, tổ chức của bạn không được sử dụng đối tượng thuê Azure AD giống với bất kỳ tổ chức Apple Business Manager nào khác. Nếu bạn muốn dùng SCIM cho tổ chức của mình, hãy liên hệ với quản trị viên Azure AD để đảm bảo không có tổ chức nào khác đang dùng đối tượng thuê Azure AD của bạn cho SCIM.
Các nhóm trong Azure AD
Trong Azure AD, cả hai phương pháp đồng bộ hóa đều sử dụng từ Nhóm, nhưng chỉ tài khoản người dùng mới được đồng bộ hóa. Bạn có thể thêm nhóm Azure AD vào ứng dụng Apple Business Manager Azure AD. Ví dụ: nếu bạn có các nhóm trong Azure AD tên là Kỹ thuật, Tiếp thị và Bán hàng, thì bạn có thể thêm ba nhóm đó vào ứng dụng Apple Business Manager Azure AD. Khi bạn kết nối bằng SCIM, chỉ những tài khoản trong các nhóm đó mới được đồng bộ hóa với Apple Business Manager.
Ghi chú: Các nhóm phụ không được hỗ trợ trong ứng dụng Apple Business Manager Azure AD.
Phạm vi cấp quyền
Có 2 cách đồng bộ hóa tài khoản từ Azure AD sang Apple Business Manager.
Chỉ đồng bộ hóa người dùng và nhóm được chỉ định: Tùy chọn này chỉ đồng bộ hóa các tài khoản xuất hiện trong ứng dụng Apple Business Manager Azure AD với Apple Business Manager. Khi dùng phương pháp này để đồng bộ hóa, các tài khoản Azure AD phải có vai trò người dùng để đồng bộ hóa với Apple Business Manager.
Đồng bộ hóa tất cả người dùng và nhóm: Tùy chọn này đồng bộ hóa tất cả tài khoản (không hỗ trợ đồng bộ hóa nhóm) xuất hiện trong tab Người dùng Azure AD với Apple Business Manager và tạo ID Apple được quản lý cho tất cả tài khoản Azure AD đã liên kết, kể cả khi bạn chỉ có ý định sử dụng số lượng tài khoản cụ thể.
Hãy xem bài viết trên trang Hỗ trợ của Microsoft What is automated SaaS app user provisioning in Azure AD? (Tự động cấp người dùng ứng dụng SaaS trong Azure AD là gì)? và Attribute-based application provisioning with scoping filters (Cấp ứng dụng theo thuộc tính bằng bộ lọc phạm vi).
Thông báo cấp quyền
Khi cấu hình tính năng cấp quyền, bạn nên sử dụng địa chỉ email của người dùng có vai trò Quản trị viên hoặc Quản lý người dùng để họ có thể nhận được thông báo từ Azure AD.
SCIM và xác thực có liên kết
Nếu liên kết đã được bật khi tài khoản Azure AD được gửi tới Apple Business Manager, thì bạn sẽ không thấy hoạt động nào. Tuy nhiên, các tài khoản sẽ vẫn đồng bộ hóa từ miền liên kết.
Azure AD là Nhà cung cấp thông tin nhận dạng (IdP) sẽ xác thực người dùng cho Apple Business Manager và phát hành mã thông báo xác thực. Vì Apple Business Manager hỗ trợ Azure AD nên các IdP khác kết nối với Azure AD, chẳng hạn như Active Directory Federated Services (ADFS), cũng sẽ hoạt động. Xác thực có liên kết sử dụng Ngôn ngữ đánh dấu bảo đảm an toàn (SAML) để kết nối Apple Business Manager với Azure AD.
Tài khoản người dùng Azure AD và Apple Business Manager
Khi bạn sao chép một người dùng từ Azure AD sang Apple Business Manager bằng SCIM, vai trò mặc định sẽ là Nhân viên. Sau khi quá trình đồng bộ hóa hoàn tất, bạn chỉ có thể chỉnh sửa thuộc tính Vai Trò của người dùng. Thuộc tính này được lưu trữ cùng với tài khoản người dùng trong Apple Business Manager và sẽ không được ghi trở lại Azure AD.
Phân tích và vẽ bản đồ cho thuộc tính người dùng SCIM
Khi sao chép một tài khoản từ Azure AD sang Apple Business Manager bằng SCIM, các thuộc tính người dùng sau đây được lưu trữ ở dạng chỉ đọc. Bảng này cũng chỉ rõ thuộc tính người dùng có phải là bắt buộc hay không.
Quan trọng: Việc thêm các thuộc tính không có trong bảng này sẽ làm ngắt kết nối SCIM.
Thuộc tính người dùng Azure AD | Thuộc tính người dùng trong Apple Business Manager | Bắt buộc |
---|---|---|
Tên | Tên | |
Họ | Họ | |
Tên chính của người dùng | ID Apple Được Quản Lý và địa chỉ email | |
ID đối tượng | (Không hiển thị trong Apple Business Manager. Thuộc tính này được dùng để xác định những tài khoản xung đột.) | |
Bộ phận | Bộ phận | |
ID nhân viên | Số hiệu cá nhân | |
Thuộc tính tùy chỉnh (phải được tạo trong ứng dụng Apple Business Manager Azure AD) | Trung tâm chi phí | |
Thuộc tính tùy chỉnh (phải được tạo trong ứng dụng Apple Business Manager Azure AD) | Bộ phận |
Tên chính của người dùng
Nếu người dùng có Tên Chính Của Người Dùng (UPN) hoàn toàn giống với người dùng hiện giữ vai trò Quản Trị Viên, thì quá trình đồng bộ sẽ không diễn ra và ô nguồn sẽ không thay đổi.
ID Cá nhân
Khi đồng bộ hóa người dùng Azure AD với Apple Business Manager, một ID Cá Nhân sẽ được tạo cho tài khoản người dùng Apple Business Manager. ID Cá nhân và ID Đối tượng được dùng để xác định những tài khoản xung đột.
Nếu bạn sửa đổi ID Cá nhân cho một tài khoản mà trước đó đã được nhập từ SCIM, thì tài khoản đó sẽ không được ghép nối với Azure AD nữa. Nếu bạn đã sửa đổi ID Cá nhân cho một tài khoản mà trước đó đã được nhập từ SCIM và muốn kết nối lại tài khoản đó với SCIM, hãy xem Giải quyết các xung đột tài khoản người dùng SCIM.
Đề xuất
Bạn chỉ nên dùng ứng dụng Apple Business Manager Azure AD khi kết nối với SCIM.
Nếu bạn có một tên miền đã xác minh nhưng chưa bật tính năng xác thực có liên kết, thì bạn nên chờ để bật liên kết cho đến khi xác minh được rằng người dùng Azure AD đã được gửi tới Apple Business Manager. Bạn thực hiện việc này bằng cách xem nhật ký cấp quyền Azure AD. Sau khi xác minh rằng người dùng Azure AD đã được gửi đi, thì khi bật liên kết, bạn sẽ được thông báo bằng một hoạt động khi người dùng Azure AD được cấp quyền. Nếu liên kết đã được bật khi người dùng Azure AD được gửi đi, thì bạn sẽ không thấy hoạt động nào. Tuy nhiên, tài khoản vẫn sẽ đồng bộ hóa.
Nếu bạn có một nhóm đã cấu hình trong Azure AD, thì bạn có thể thêm nhóm đó vào ứng dụng Apple Business Manager Azure AD thay vì thêm từng người dùng.
Quan trọng: Không sử dụng lại một tên người dùng trong 30 ngày trong ứng dụng Apple Business Manager Azure AD.
Trước khi bạn bắt đầu
Trước khi bắt đầu, bạn phải thực hiện những việc sau:
Cấu hình và xác minh tên miền bạn muốn sử dụng. Hãy xem Liên kết với miền mới.
Cấu hình (nhưng không bật) xác thực có liên kết. Tham khảo Bật và kiểm tra xác thực có liên kết.
Ghi chú: Nếu xác thực có liên kết đã được bật, thì bạn vẫn có thể tiếp tục. Hãy xem các đề xuất trong phần trước.
Xác định kiểu đồng bộ hóa trong Azure AD và nếu cần, hãy tạo nhóm để chỉ đồng bộ hóa các tài khoản được chỉ định với ứng dụng Apple Business Manager Azure AD:
Chỉ đồng bộ hóa những người dùng được chỉ định.
Đồng bộ hóa tất cả người dùng.
Gọi cho quản trị viên Azure AD có quyền sửa các ứng dụng dành cho doanh nghiệp. Khi cả hai bạn đã sẵn sàng, hãy xem Dùng SCIM để nhập người dùng.