Apple 商务管理 的 Azure AD 同步要求
你可以使用跨域身份管理系统 (SCIM) 将用户导入 Apple 商务管理中。利用这一系统,你可以将 Apple 商务管理属性(例如职务)和从 Microsoft Azure Active Directory (Azure AD) 导入的用户帐户数据合并。如果你使用 SCIM 导入用户,在你断开与 SCIM 的连接之前,添加的帐户信息均为只读状态。断开连接后,这些帐户将变为手动帐户,你便可以编辑帐户中的属性。第一次同步需要比后续周期更长的时间才能完成,后续周期大约每 40 分钟同步一次,但前提是 Azure AD 预配服务处于运行状态。请参阅 Microsoft Azure 文档网站中的预配提示。
Azure AD 权限
Azure AD 中的以下职务可以使用 SCIM 将帐户同步到 Apple 商务管理:
应用程序管理员
云应用程序管理员
应用程序拥有者
全局管理员
请参阅 Microsoft Azure AD 网站中的 Azure AD 内建职务。
Azure AD 租户
要在 Apple 商务管理中使用 SCIM,你的组织不能与其他 Apple 商务管理组织拥有相同的 Azure AD 租户。如果你想为组织使用 SCIM,请联系你的 Azure AD 管理员,确保没有其他组织使用你的 Azure AD 租户配置 SCIM。
Azure AD 群组
在 Azure AD 中,尽管两种同步方式都使用群组这一词语,但只会同步用户帐户。你可以将 Azure AD 群组添加到 Apple 商务管理 Azure AD App 中。例如,如果你在 Azure AD 中有名为工程、营销和销售的群组,你可以将这些群组添加到 Apple 商务管理 Azure AD App 中。使用 SCIM 连接时,系统只会将这些群组中的帐户同步到 Apple 商务管理中。
【注】Apple 商务管理 Azure AD App 不支持子群组。
预配范围
你可以通过两种方式从 Azure AD 将帐户同步到 Apple 商务管理中。
仅同步分配的用户和群组:此选项只会将 Apple 商务管理 Azure AD App 中出现的帐户同步到 Apple 商务管理。此方法只会将具有用户角色的 Azure AD 帐户同步到 Apple 商务管理。
同步所有用户和群组:即使你只计划使用特定数量的帐户,此选项也会将 Azure AD “用户”标签页中的所有帐户(不支持同步群组)同步到 Apple 商务管理中,并且为所有联合的 Azure AD 帐户创建管理式 Apple ID。
请参阅 Microsoft 支持文章《Azure AD 中的应用预配是什么?》和《使用范围筛选器进行基于属性的应用程序预配》。
预配通知
配置预配时,应使用具有管理员或人员经理职务的用户的电子邮件地址,以便以上用户接收 Azure AD 的通知。
SCIM 和联合验证
将 Azure AD 帐户发送到 Apple 商务管理时,如果已开启联合验证,你便不会看到活动,但帐户仍然会通过联合域进行同步。
Azure AD 是身份提供方 (IdP),用于为 Apple 商务管理验证用户身份并签发身份验证令牌。由于 Apple 商务管理支持 Azure AD,连接至 Azure AD 的其他 IdP(如 Active Directory Federated Services (ADFS))也可搭配使用。联合验证使用安全断言标记语言 (SAML) 将 Apple 商务管理与 Azure AD 相关联。
Azure AD 用户帐户和 Apple 商务管理
利用 SCIM 将用户从 Azure AD 拷贝到 Apple 商务管理时,默认职务是“职员”。同步完成后,只有“职务”用户属性可以编辑。该属性与用户帐户一起储存在 Apple 商务管理中,不会写回到 Azure AD。
SCIM 用户属性映射
使用 SCIM 将帐户从 Azure AD 拷贝到 Apple 商务管理时,以下用户属性会储存为只读状态。另外,该表还标明了用户属性是否为必备属性。
【重要事项】添加表中未列出的属性会导致 SCIM 连接中断。
Azure AD 用户属性 | Apple 商务管理用户属性 | 必备权限 |
|---|---|---|
名字 | 名字 |
|
姓氏 | 姓氏 |
|
用户主体名称 | 管理式 Apple ID 和电子邮件地址 |
|
对象 ID | (Apple 商务管理中不显示。此属性用于识别冲突的帐户。) |
|
部门 | 部门 |
|
员工 ID | 人员编号 |
|
自定属性(必须在 Apple 商务管理 Azure AD App 中创建) | 成本中心 |
|
自定属性(必须在 Apple 商务管理 Azure AD App 中创建) | 公司 |
|
用户主体名称
如果用户的用户主体名称 (UPN) 与具有管理员职务的现有用户完全相同,则不会执行同步,并且源字段将保持不变。
人员 ID
当 Azure AD 帐户同步到 Apple 商务管理时,系统会为对应的 Apple 商务管理用户帐户创建人员 ID。人员 ID 和对象 ID 都用于识别帐户冲突。
如果你为之前从 SCIM 导入的帐户修改了人员 ID,这个帐户将不再与 Azure AD 配对。如果你为之前从 SCIM 导入的帐户修改了人员 ID,并且希望重新将该帐户与 SCIM 关联,请参阅解决 SCIM 用户帐户冲突。
建议
在与 SCIM 连接时,你只能使用 Apple 商务管理 Azure AD App。
如果你有已验证的域但还没有开启联合验证,你应该先确认已将 Azure AD 用户发送到 Apple 商务管理,然后再开启联合验证。通过查看 Azure AD 预配日志验证来完成上述验证。确认 Azure AD 用户已经发送之后,如果你开启联合,你会在预配 Azure AD 用户时收到相关活动的通知。如果在发送 Azure AD 用户前已开启了联合,则你不会看到活动,但帐户仍然会同步。
如果你在 Azure AD 中配置了群组,可以将该群组添加到 Apple 商务管理 Azure AD App 中,而不必逐一添加用户。
【重要事项】在 Apple 商务管理 Azure AD App 中,30 天内不可使用重复的用户名。
开始操作前
开始操作前,你必须先完成以下事项:
配置并验证你要使用的域。请参阅关联新域。
配置(但不开启)联合验证。请参阅开启并测试联合验证。
【注】如果联合验证已经开启,你仍然可以继续。请参阅上一部分中的建议。
在 Azure AD 中确定同步类型,然后根据需要创建群组,以便将分配的帐户同步到 Apple 商务管理 Azure AD App 中:
仅同步分配的用户。
同步所有用户。
请有权编辑企业级应用程序的 Azure AD 管理员随时待命。管理员和你都做好准备时,请参阅使用 SCIM 导入用户。