在 Apple 商务管理中从身份提供方同步用户
在 Apple 商务管理中,可以使用跨域名身份管理系统 (SCIM) 从身份提供方 (IdP) 同步用户。当你使用 SCIM 来同步用户时,系统会以只读形式添加帐户信息,直到你断开同步连接为止。断开连接后,这些帐户将会变为手动帐户,而你便可编辑这些帐户中的属性(例如用户名)了。第一次完成同步所需的时间要比后续周期的长。请查阅 IdP 的文档,了解他们将用户同步到 Apple 商务管理的频率。
开始操作前
在开始创建 SCIM 连接之前,你应该已经成功使用联合验证进行了连接。请参阅搭配你的身份提供方使用联合验证。然后,请联系你的 IdP,确保准备好以下信息:
用户的唯一标识符字段:这个属性的值通常是用户的电子邮件地址。这将用于创建用户的管理式 Apple ID。例如,可以是 userName。
验证方法:SAML 2.0。
验证模式:OAuth 2。
单点登录 URL:请查阅 IdP 的文档。
授权回拨 URL:请查阅 IdP 的文档。
SCIM 和联合验证
联合验证已启用,且可能已处于开启状态。将 IdP 帐户发送到 Apple 商务管理时,如果已开启联合验证,你便不会看到活动,但帐户仍然会通过联合域进行同步。
IdP 用户帐户和 Apple 商务管理
利用 SCIM 将用户从 IdP 拷贝到 Apple 商务管理时,默认角色为“职员”。
【注】你的 IdP 中的用户群组不会同步到 Apple 商务管理。如果你想要使用相同的群组,可以在 Apple 商务管理中创建新群组,并将用户添加到其中。
登录属性
Apple 商务管理要求用于管理式 Apple ID 的属性必须是唯一的。这通常是用户的电子邮件地址。如果用户的属性与具有管理员职务的现有 Apple 商务管理用户完全相同,则不会执行同步,并且源字段将保持不变。
人员 ID
当 IdP 用户同步到 Apple 商务管理时,系统会为对应的 Apple 商务管理用户帐户创建一个人员 ID。人员 ID 用于识别存在冲突的用户帐户。
修改人员 ID 时的重要注意事项:
如果你修改了之前从 SCIM 导入的帐户的人员 ID,这个帐户将不再与 IdP 配对。
如果你修改了之前从 SCIM 导入的帐户的人员 ID,并且希望重新关联该帐户,则必须解决用户冲突。
登录你的 IdP
以管理员身份登录你的 IdP,然后执行以下操作之一:
找到由你的 IdP 创建的 App。你可能可以跳过此任务中的几个步骤。
导航至创建 App 或连接的位置。
使用以下信息创建 App:
【重要事项】记住 SCIM App 的名称,因为授权回拨 URL 会用到它。
Apple 商务管理:使用 AppleBusinessManagerSCIM。
App 类型:使用 SCIM。
验证方法:使用 SAML 2.0。
用于收件人和目的地的单点登录 URL:请查阅 IdP 的文档。
受众 URI:使用实体 ID。
存储更改内容。
配置 SCIM App 的预配设置
找到你的 IdP SCIM App 的预配部分,然后输入以下值:
SCIM 连接器基本 URL:https://federation.apple.com/feeds/business/scim
访问令牌 URI:https://appleid.apple.com/auth/oauth2/v2/token
授权 URI:https://appleid.apple.com/auth/oauth2/v2/authorize
客户端 ID:123
客户端密码:123
【重要事项】由于你还不知道实际的 SCIM 客户端 ID 和客户端密码,因此使用 123 作为占位符。你可在稍后的任务中替换这些值。
验证模式:OAuth 2。
用户的唯一标识符字段:请查阅 IdP 的文档。
【重要事项】确保与标识符的大小写相匹配。
支持的预配操作:
导入新用户和描述文件更新。
推送新用户。
推送描述文件更新。
存储更改内容。
创建授权回拨 URL
你必须为 Apple 商务管理创建一个授权回拨 URL,以使用 SCIM 从你的 IdP 获取用户记录。这个回拨 URL 基于你在 IdP 中创建的 SCIM App 的名称。
记住 SCIM App 的名称。例如:
Apple 商务管理:AppleBusinessManagerSCIM
将 App 名称粘贴到以下 URL 中。例如:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
存储授权回拨 URL。
你可在下一个任务中将它粘贴到 Apple 商务管理中。
创建 SCIM 客户端信息并将其拷贝到你的 IdP 中
在 Apple 商务管理 中,使用具有管理员或人员经理职务的用户登录。
在边栏底部选择你的姓名,选择“偏好设置”,然后选择“目录同步”。
选择“自定同步”旁边的“启用”。
粘贴上一个任务中的授权回拨 URL,然后选择“创建”。
选择 SCIM App,然后选择“创建”。
打开一个新的文本文件或电子表格,然后输入以下来自 Apple 商务管理的值:
对于 OIDC 客户端 ID,请粘贴 SCIM 客户端 ID。
对于 OIDC 客户端密码,请粘贴 SCIM 客户端密码。
选择客户端 ID 旁边的“拷贝”,然后将客户端 ID 粘贴到文件中。
选择客户端密码,选取密码过期前的有效期(6 个月、9 个月或 12 个月),然后将客户端密码粘贴到文件中。
【重要事项】如果还未将客户端密码粘贴到你的 IdP SCIM App 就已删除或忘记,则必须创建一个新的客户端密码。
选择“完成”。
将客户端 ID 和客户端密码粘贴到你的 IdP SCIM App 中,并验证连接
返回到你的 IdP SCIM App 的预配部分,然后粘贴以下值:
Apple 商务管理 SCIM 客户端 ID
Apple 商务管理 SCIM 客户端密码
存储更改内容。
如果你的 IdP 允许使用 IdP 管理员帐户测试验证,则现在就可以进行测试。例如,可能会有一个按钮“使用 [AppleSchoolManagerSCIM]、[AppleBusinessManagerSCIM]、[AppleBusinessEssentialsSCIM] 验证”,或者你为 SCIM App 命名的任何内容。
输入你的 IdP 管理员名称和密码,然后输入双重认证值。
仔细阅读所有授权信息。如果同意,请选择“继续”。
如有必要,现在就可以为这个域开启联合验证。
你的 IdP 和 Apple 商务管理现在已配置为将特定用户属性更改从你的 IdP 同步到 Apple 商务管理。