Giới thiệu về việc đồng bộ hóa danh bạ với Apple Business Manager
Tính năng Đồng bộ hóa danh mục giúp dữ liệu trong Apple Business Manager luôn được cập nhật với nhà cung cấp dịch vụ danh tính (IdP). Khi sử dụng tính năng đồng bộ hóa danh mục, Apple Business Manager sẽ nhận được thông báo tự động từ IdP của bạn và có thể cập nhật thông tin khi tình huống sau xảy ra:
Một tài khoản người dùng mới đã được tạo
Thông tin tài khoản người dùng đã thay đổi
Một tài khoản người dùng đã bị xóa
Bạn có thể sử dụng OpenID Connect (OIDC) với Apple Business Manager để đồng bộ hóa tài khoản người dùng từ những nguồn sau (nhưng mỗi lần chỉ thực hiện với một nguồn):
Google Workspace
Microsoft Entra ID
IdP của bạn
Một số IdP cũng có thể sử dụng Hệ thống quản lý danh tính liên miền (SCIM)
Trước Khi Bạn Bắt Đầu
Trước khi đồng bộ hóa với Google Workspace, Microsoft Entra ID hoặc IdP của bạn, hãy cân nhắc những điều sau:
Không hỗ trợ đồng bộ hóa nhóm người dùng.
Quá trình đồng bộ hóa ban đầu sẽ mất nhiều thời gian hơn các chu trình tiếp theo. Tham khảo tài liệu của IdP để biết tần suất họ đồng bộ hóa người dùng.
Yêu cầu
Nếu cần, hãy xác minh tên miền theo cách thủ công. Xem Thêm và xác minh tên miền.
Bạn cần bật tính năng xác thực có liên kết. Tham khảo Giới thiệu về xác thực có liên kết.
Yêu cầu quản trị viên có quyền sửa cài đặt Google Workspace, Microsoft Entra ID hoặc IdP khác sẵn sàng hỗ trợ.
Apple Business Manager yêu cầu thuộc tính dùng cho Tài khoản Apple được quản lý phải là duy nhất. Đây thường là địa chỉ email của người dùng. Nếu một người dùng có thuộc tính giống hệt thuộc tính của người dùng hiện giữ vai trò Quản trị viên trong Apple Business Manager thì quy trình đồng bộ hóa sẽ không diễn ra và trường nguồn không thay đổi.
Khi cấu hình kết nối ban đầu, bạn cần sử dụng địa chỉ email của người dùng có vai trò Quản trị viên hoặc Quản lý người dùng để họ có thể nhận được thông báo từ Google Workspace, Microsoft Entra ID hoặc IdP khác mà bạn đang đồng bộ hóa.
Yêu cầu đặc thù của IdP
Khi liên kết tới Microsoft Entra ID:
Để dùng OIDC với Apple Business Manager, tổ chức của bạn không thể sử dụng đối tượng thuê Microsoft Entra ID giống với bất kỳ tổ chức Apple Business Manager nào khác. Nếu bạn muốn sử dụng OIDC cho tổ chức của mình, hãy liên hệ với Quản trị viên toàn cầu Microsoft Entra ID để đảm bảo rằng không có tổ chức nào khác đang sử dụng đối tượng thuê Entra ID của bạn cho OIDC.
Nếu tài khoản người dùng có Tên chính của người dùng (UPN) giống hệt với tài khoản người dùng hiện giữ vai trò Quản trị viên hoặc Quản lý người dùng thì quá trình đồng bộ hóa sẽ không diễn ra và trường nguồn sẽ không thay đổi.
Khi liên kết với IdP không phải Google Workspace hay Microsoft Entra ID, bạn cần những thông tin sau:
Trường mã nhận dạng duy nhất cho người dùng: Giá trị của thuộc tính này thường là địa chỉ email của người dùng. Trường này được dùng để tạo Tài khoản Apple được quản lý cho người dùng. Ví dụ: Đó có thể là userName.
Phương thức xác thực: SAML 2.0.
Chế độ xác thực: OAuth 2.
URL đăng nhập một lần: Tham khảo tài liệu của IdP.
URL gọi lại ủy quyền: Tham khảo tài liệu của IdP.
Thay đổi tự động
Tạo tài khoản
Khi tính năng đồng bộ hóa danh mục được cấu hình, các tài khoản người dùng sẽ được đồng bộ hóa với Apple Business Manager và được chỉ định vai trò Nhân viên. Thông tin về tài khoản đã đồng bộ hóa sẽ được thêm dưới dạng chỉ đọc. Tuy nhiên, thuộc tính Vai trò của tài khoản người dùng có thể chỉnh sửa được. Các thuộc tính này được lưu trữ cùng với tài khoản người dùng trong Apple Business Manager và sẽ không được ghi lại vào Google Workspace, Microsoft Entra ID hay IdP.
Khi tính năng xác thực có liên kết đã tắt, các tài khoản sẽ trở thành tài khoản thủ công và bạn có thể chỉnh sửa các thuộc tính trong những tài khoản này (chẳng hạn như tên người dùng).
Sửa đổi tài khoản
Tính năng đồng bộ hóa danh mục sẽ giám sát những thay đổi đối với thuộc tính đã đồng bộ hóa, đồng thời tự động cập nhật những thay đổi này trong Apple Business Manager. IdP sẽ quyết định chu kỳ đồng bộ hóa những thay đổi này.
Gỡ bỏ tài khoản
Khi một tài khoản người dùng bị gỡ bỏ trong Google Workspace, Microsoft Entra ID hoặc IdP, tài khoản tương ứng trong Apple Business Manager sẽ bị hủy kích hoạt và gắn cờ để xóa. Tài khoản đã hủy kích hoạt sẽ bị đăng xuất khỏi các thiết bị và không thể đăng nhập lại. Nếu không được đồng bộ hóa lại trong vòng 30 ngày sau đó, tài khoản sẽ tự động bị gỡ bỏ.
Giới thiệu về ID cá nhân
Để xác định các tài khoản xung đột, khi tài khoản người dùng được đồng bộ hóa lần đầu bằng OIDC với Apple School Manager, một ID cá nhân sẽ tự động được tạo cho tài khoản người dùng đó.
Nếu bạn sửa đổi ID cá nhân trong Apple Business Manager cho tài khoản người dùng đã đồng bộ hóa từ trước, tài khoản người dùng đó sẽ không được ghép đôi với Google Workspace, Microsoft Entra ID hoặc IdP của bạn nữa. Nếu muốn kết nối lại tài khoản người dùng, bạn cần giải quyết xung đột ID cá nhân.