在 Apple 商务管理中从身份提供方同步用户帐户
在 Apple 商务管理中,可以使用 OpenID Connect (OIDC) 或跨域名身份管理系统 (SCIM) 从身份提供方 (IdP) 同步用户帐户。使用这一系统时,你可以将 Apple 商务管理属性(如职务)和从 IdP 导入的用户帐户数据合并。当你使用 SCIM 来同步用户时,系统会以只读形式添加帐户信息,直到你断开同步连接为止。断开连接后,这些帐户将会变为手动帐户,而你便可编辑这些帐户中的属性(例如用户名)了。第一次完成同步所需的时间要比后续周期的长。请查阅 IdP 的文档,了解他们将用户同步到 Apple 商务管理的频率。
【重要事项】你只有 4 个日历日来完成向 IdP 传输令牌并成功建立连接的操作,如果超时,你必须重新开始这个流程。
开始操作前
在使用 OIDC 连接同步到 IdP 之前,必须执行以下操作:
配置并验证你要使用的域。请参阅添加并验证域。
配置、联合并启用域。请参阅搭配你的身份提供方使用联合验证。
安排一位有权限编辑设置的 IdP 管理员待命。
确保准备好以下信息,然后联系你的 IdP:
用户的唯一标识符字段:这个属性的值通常是用户的电子邮件地址。这将用于创建用户的管理式 Apple 账户。例如,可以是 userName。
验证方法:SAML 2.0。
验证模式:OAuth 2。
单点登录 URL:请查阅 IdP 的文档。
授权回拨 URL:请查阅 IdP 的文档。
IdP 用户帐户和 Apple 商务管理
利用 SCIM 将用户从 IdP 拷贝到 Apple 商务管理时,默认角色为“职员”。
【注】你的 IdP 中的用户群组不会同步到 Apple 商务管理。如果你想要使用相同的群组,可以在 Apple 商务管理中创建新群组,并将用户添加到其中。
登录属性
Apple 商务管理要求用于管理式 Apple 账户的属性必须是唯一的。这通常是用户的电子邮件地址。如果用户的属性与具有管理员职务的现有 Apple 商务管理用户完全相同,则不会执行同步,并且源字段将保持不变。
人员 ID
当 IdP 用户帐户同步到 Apple 商务管理时,系统会为对应的 Apple 商务管理用户帐户创建一个人员 ID。这个人员 ID 用于识别存在冲突的用户帐户。
修改人员 ID 时的重要注意事项:
如果你为之前从 IdP 导入的用户帐户修改了人员 ID,这个帐户将不再与 IdP 配对。
如果你为之前从 IdP 导入的用户帐户修改了人员 ID,并且希望重新关联该用户帐户,则必须解决用户冲突。
登录你的 IdP
以管理员身份登录你的 IdP,然后执行以下操作之一:
找到由你的 IdP 创建的 App。你可能可以跳过此任务中的几个步骤。
导航至创建 App 或连接的位置。
使用以下信息创建 App:
【重要事项】记住 SCIM App 的名称,因为授权回拨 URL 会用到它。
Apple 商务管理:使用 AppleBusinessManagerSCIM。
App 类型:使用 SCIM。
验证方法:使用 SAML 2.0。
用于收件人和目的地的单点登录 URL:请查阅 IdP 的文档。
受众 URI:使用实体 ID。
存储更改内容。
配置 SCIM App 的预配设置
找到你的 IdP SCIM App 的预配部分,然后输入以下值:
SCIM 连接器基本 URL:https://federation.apple.com/feeds/business/scim
访问令牌 URI:https://appleaccount.apple.com/auth/oauth2/v2/token
授权 URI:https://appleaccount.apple.com/auth/oauth2/v2/authorize
客户端 ID:123
客户端密码:123
【重要事项】由于你还不知道实际的 SCIM 客户端 ID 和客户端密码,因此使用 123 作为占位符。你可在稍后的任务中替换这些值。
验证模式:OAuth 2。
用户的唯一标识符字段:请查阅 IdP 的文档。
【重要事项】确保与标识符的大小写相匹配。
支持的预配操作:
导入新用户和描述文件更新。
推送新用户。
推送描述文件更新。
存储更改内容。
创建授权回拨 URL
你必须为 Apple 商务管理创建一个授权回拨 URL,以使用 SCIM 从你的 IdP 获取用户记录。这个回拨 URL 基于你在 IdP 中创建的 SCIM App 的名称。
记住 SCIM App 的名称。例如:
Apple 商务管理:AppleBusinessManagerSCIM
将 App 名称粘贴到以下 URL 中。例如:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
存储授权回拨 URL。
你可在下一个任务中将它粘贴到 Apple 商务管理中。
创建 SCIM 客户端信息并将其拷贝到你的 IdP 中
在 Apple 商务管理 中,使用具有管理员或人员经理职务的用户登录。
在边栏底部选择你的姓名,选择“偏好设置”,然后选择“管理式 Apple 账户”。
选择“自定同步”旁边的“启用”。
粘贴上一个任务中的授权回拨 URL,然后选择“创建”。
选择 SCIM App,然后选择“创建”。
打开一个新的文本文件或电子表格,然后输入以下来自 Apple 商务管理的值:
对于 OIDC 客户端 ID,请粘贴 SCIM 客户端 ID。
对于 OIDC 客户端密码,请粘贴 SCIM 客户端密码。
选择客户端 ID 旁边的“拷贝”,然后将客户端 ID 粘贴到文件中。
选择客户端密码,选取密码过期前的有效期(6 个月、9 个月或 12 个月),然后将客户端密码粘贴到文件中。
【重要事项】如果还未将客户端密码粘贴到你的 IdP SCIM App 就已删除或忘记,则必须创建一个新的客户端密码。
选择“完成”。
将客户端 ID 和客户端密码粘贴到你的 IdP SCIM App 中,并验证连接
返回到你的 IdP SCIM App 的预配部分,然后粘贴以下值:
Apple 商务管理 SCIM 客户端 ID
Apple 商务管理 SCIM 客户端密码
存储更改内容。
如果你的 IdP 允许使用 IdP 管理员帐户测试验证,则现在就可以进行测试。例如,可能会有一个按钮“使用 [AppleSchoolManagerSCIM]、[AppleBusinessManagerSCIM]、[AppleBusinessEssentialsSCIM] 验证”,或者你为 SCIM App 命名的任何内容。
输入你的 IdP 管理员名称和密码,然后输入双重认证值。
仔细阅读所有授权信息。如果同意,请选择“继续”。
如有必要,现在就可以为这个域开启联合验证。
你的 IdP 和 Apple 商务管理现在已配置为将特定用户属性更改从你的 IdP 同步到 Apple 商务管理。