Apple 商务管理中的目录同步简介
目录同步功能有助于确保 Apple 商务管理中的数据与身份提供方 (IdP) 保持同步,从而保持最新。使用目录同步,Apple 商务管理可以收到 IdP 自动发出的通知,并可在发生以下情况时更新其信息:
创建新用户账户
更改用户账户信息
删除用户账户
在 Apple 商务管理中,你可以使用 OpenID Connect (OIDC) 从以下来源同步用户账户(但是一次只能从一个来源同步):
Google Workspace
Microsoft Entra ID
你的 IdP
某些 IDP 还可使用跨域身份管理系统 (SCIM)
开始操作前
在同步到 Google Workspace、Microsoft Entra ID 或 IdP 之前,请注意以下几点:
不支持同步用户群组。
第一次完成同步所需的时间要比后续周期的长。请查阅 IdP 的文档,了解其同步用户的频率。
必备条件
如有必要,请手动验证域。请参阅添加并验证域。
你需要开启联合验证。请参阅联合验证简介。
确保有权限的管理员可随时编辑 Google Workspace、Microsoft Entra ID 或其他 IdP 的设置。
Apple 商务管理要求用于管理式 Apple 账户的属性必须是唯一的。这通常是用户的电子邮件地址。如果用户的属性与具有管理员职务的现有 Apple 商务管理用户完全相同,则不会执行同步,并且源字段将保持不变。
配置初始连接时,需使用具有管理员或人员经理职务的用户的电子邮件地址,以便这些用户接收来自 Google Workspace、Microsoft Entra ID 或你所同步的其他 IdP 的通知。
IdP 特定要求
关联 Microsoft Entra ID 时:
要在 Apple 商务管理中使用 OIDC,你的组织不能与其他 Apple 商务管理组织拥有相同的 Microsoft Entra ID 租户。如果你想为组织使用 OIDC,请联系你的 Microsoft Entra ID 全局管理员,确保没有其他组织使用你的 Entra ID 租户配置 OIDC。
如果用户帐户的用户主体名称 (UPN) 与具有管理员或人员经理职务的现有用户帐户完全相同,则不会执行同步,并且源字段将保持不变。
当关联非 Google Workspace 或 Microsoft Entra ID 的 IdP 时,需提供以下信息:
用户的唯一标识符字段:这个属性的值通常是用户的电子邮件地址。这将用于创建用户的管理式 Apple 账户。例如,可以是 userName。
验证方法:SAML 2.0。
验证模式:OAuth 2。
单点登录 URL:请查阅 IdP 的文档。
授权回拨 URL:请查阅 IdP 的文档。
自动更改
账户创建
在配置目录同步时,用户账户会同步到 Apple 商务管理并被分配职员职务。同步的账户信息会添加为只读,但是用户账户的职务属性是可以编辑的。该属性会与用户账户一起储存在 Apple 商务管理中,且不会写回到 Google Workspace、Microsoft Entra ID 或你的 IdP。
在关闭联合验证后,账户会成为手动账户,并且这些账户中的属性(例如用户名)是可以编辑的。
账户修改
目录同步会监控对已同步属性所做的更改,并自动在 Apple 商务管理中更新它们。同步这些更改的间隔取决于 IdP。
账户移除
在 Google Workspace、Microsoft Entra ID 或你的 IdP 中移除用户账户时,Apple 商务管理中的相应账户会被停用并标记为待删除。已停用的账户会退出登录设备,并且无法重新登录。除非在接下来的 30 天内再次同步该账户,否则它会被自动移除。
关于人员 ID
为识别冲突账户,当使用 OIDC 将用户账户同步到 Apple 商务管理时,系统会自动为这个用户账户生成一个人员 ID。
如果你在 Apple 商务管理中修改了之前已同步用户账户的人员 ID,则这个用户账户将不再与 Google Workspace、Microsoft Entra ID 或你的 IdP 配对。要重新连接这个用户账户,你需要解决人员 ID 冲突问题。