在 Apple 商务管理中搭配 Microsoft Azure AD 使用联合验证
在 Apple 商务管理中,你可以关联 Microsoft Azure Active Directory (Azure AD),以允许用户使用 Azure AD 用户名和密码登录。
Azure AD 是为 Apple 商务管理验证用户身份并签发身份验证令牌的身份提供方 (IdP)。此身份验证支持使用证书认证和双重认证 (2FA)。由于 Apple 商务管理支持 Azure AD,连接至 Azure AD 的其他 IdP(如 Active Directory Federation Services (AD FS))也可与 Apple 商务管理搭配使用。
【重要事项】联合验证要求用户的“用户主体名称” (UPN) 与电子邮件地址相匹配。不支持使用用户主体名称别名和备用 ID。
使用 Microsoft 租户进行联合验证和目录同步
要通过 Microsoft 租户添加 Apple 商务管理 Azure AD App,租户管理员必须完成联合验证设置流程,包括测试验证。身份验证成功后,Apple 商务管理 Azure AD App 会出现在租户中,管理员也可以联合域并配置 Apple 商务管理以使用 SCIM(跨域身份管理系统)打开目录同步。请参阅查看 SCIM 要求。
开始操作前
配置联合验证流程
此任务允许 Azure AD 信任 Apple 商务管理。
在 Apple 商务管理 中,通过具有管理员或人员经理职务的用户登录。
在边栏底部选择你的姓名,选择“偏好设置”,然后选择“账户”。
在“联合验证”旁边,选择“编辑”,然后选择“连接”。
选择“通过 Microsoft 账户登录”,输入 Microsoft Azure AD 全局管理员、应用程序管理员或云应用程序管理员账户,然后选择“下一步”。
输入该账户的密码,然后选择“登录”。
仔细阅读应用程序协议,然后选择“接受”。
这表示你同意 Microsoft 授予 Apple 访问 Azure AD 中信息的权限。
选择“完成”。
【注】完成这个步骤后,用户无法在你配置的域上创建新的个人 Apple ID。这可能会影响你使用的其他 Apple 服务。请参阅使用联合验证时转移 Apple 服务。
在部分情况下,你可能无法添加域。常见原因如下:
你所用的 Azure AD 全局管理员、应用程序管理员或云应用程序管理员账户无权在 Microsoft Azure AD 中添加域。
第 4 步中账户的用户名或密码不正确。
使用单个 Azure AD 账户测试验证
此任务允许 Apple 商务管理信任 Azure AD。在验证了你的域所有权并使用单个 Azure AD 账户成功测试了联合验证之后,你便可以创建其他账户并继续联合你的域。
选择你要联合的域旁边的“联合”。
选择“登录 Microsoft Azure 门户”,然后输入你的用户名和密码。
输入存在于域中的 Microsoft Azure AD 全局管理员、应用程序管理员或云应用程序管理员账户,然后选择“下一步”。
输入账户的密码,选择“登录”,选择“完成”,然后再选择“完成”。
在部分情况下,你可能无法登录域。常见原因如下:
你选择联合的域中的用户名或密码有误。
该账户不属于你选择联合的域。
登录成功后,Apple 商务管理会检查用户名是否与此域冲突。你必须先完成用户名冲突检查,才能对此域使用联合验证。
【注】成功将 Apple 商务管理与 Azure AD 相关联后,你可以将账户的职务更改为其他职务。例如,你可能希望将账户的职务更改为职员职务。
开启联合验证
开启联合验证前,请确保你已经链接到新的域并完成了域验证。
【注】如果你计划使用 SCIM 连接 Azure AD,请先等待 SCIM 连接成功,然后再开启联合验证。
在 Apple 商务管理 中,通过具有管理员或人员经理职务的用户登录。
在边栏底部选择你的姓名,选择“偏好设置”,然后选择“账户”。
在“域”部分中选择“编辑”,然后为已成功添加到 Apple 商务管理中的域开启联合验证。
更新所有账户可能需要一段时间。
测试联合验证
完成以下任务后,你可以测试联合验证连接:
你已成功关联至自己的域并已完成域验证。
用户名冲突检查已完成。
已更新管理式 Apple ID 默认格式。
【注】具有管理员或人员经理职务的用户无法使用联合验证登录;他们只能管理联合流程。
在 Apple 商务管理 中,通过没有管理员职务的用户登录。
如果找到了之前登录时使用的用户名,系统会弹出一个新窗口,表明你正在使用域中的用户进行登录。
选择“继续”,输入用户的密码,然后选择“登录”。
退出登录 Apple 商务管理。
【注】用户必须先通过自己的管理式 Apple ID 登录一台 Apple 设备,然后才能登录 iCloud.com。