在 Apple 商务中使用联合验证
概览
你可以使用联合验证将 Apple 商务与以下服务进行关联:
Google Workspace
Microsoft Entra ID Open ID Connect (OIDC) 全局服务 (login.microsoftonline.com)。
当前不支持与国家云的集成。
使用 OIDC 或跨域名身份管理系统 (SCIM) 的任何身份提供方 (IdP)
【注】你可以关联 Google Workspace、Microsoft Entra ID 或你的 IdP,但每次只能关联一个。
如此一来,用户便能使用其现有用户名(通常是电子邮件地址)和密码,登录所分配的 iPhone、iPad、Mac、Apple Vision Pro 和共享 iPad。在这些设备上登录后,用户还可以在 Mac 上登录网页版 iCloud(Windows 版 iCloud 不支持管理式 Apple 账户)。
【重要事项】当连接过期后,用户账户的联合验证和同步功能都会停止。要继续使用联合验证和同步功能,你需要重新建立连接。
你可以在以下特定情况下使用联合验证:
仅限联合验证
关联 Apple 商务和 Google Workspace、Microsoft Entra ID 或你的 IdP 后,系统会自动为用户创建管理式 Apple 账户。然后,用户可以使用自己现有的用户名(通常是电子邮件地址)和密码登录。
请参阅以下内容:
结合目录同步进行联合验证
你也可以将用户账户从 Google Workspace、Microsoft Entra ID 或你的 IdP 同步到 Apple 商务。设置目录同步连接时,你可以为导入的用户账户数据添加 Apple 商务属性(如职务)。在关闭同步前,添加的服务用户账户信息均为只读形式。断开连接后,这些账户将变为手动账户,你便可以编辑账户中的属性。如果你从其中一项服务中移除了某个用户账户,则也可以从 Apple 商务中移除该账户。请参阅以下内容:
针对共享 iPad 使用联合验证
对共享 iPad 使用联合验证时,登录过程不尽相同,具体取决于 Apple 商务中是否已存在该用户账户。要查看登录流程,请参阅“登录共享 iPad”。
如果用户忘记了密码,你需要重设共享 iPad 密码。
开始操作前
在使用 Google Workspace、Microsoft Entra ID 或 IdP 进行联合验证之前,请注意以下几点:
必备条件
此功能需要使用 iOS 15.5、iPadOS 15.5、macOS 12.4、visionOS 1.1 或更高版本。
你需要锁定并启用域名采集流程。请参阅“锁定域”。
系统中不存在管理式 Apple 账户冲突。请参阅“概览”。
有权限设置与配置联合验证及连接至 IdP 的用户无法使用联合验证登录,只能管理联合验证流程。
启用联合验证时,“默认管理式 Apple 账户格式”设置将不适用。
IdP 特定要求
关联 Google Workspace 时:
联合验证需要将用户的电子邮件地址用作他们的用户名。不支持使用别名。
关联 Microsoft Entra ID 时:
你需要使用具有 Entra ID 全局管理员职务的 Microsoft 账户来完成批准联合验证的操作。连接成功后,你可以将该 Microsoft 账户的职务从全局管理员更改为具有维护连接所需权限的其他职务。请参阅:哪些 Microsoft 默认职务支持域、目录同步和域读取?
使用 Microsoft Entra ID 进行联合验证时,要求用户的“用户主体名称”(UPN) 与他们的电子邮件地址一致。不支持使用“用户主体名称”别名和备用 ID。
在关联 IdP 时,你需要准备以下信息:
一个要使用的已验证的域。请参阅“添加并验证域”。
登录方法:使用 Open ID Connect (OIDC)。
范围访问:需授予对
ssf.manage和ssf.read的访问权限。共享信号框架 (SSF) 配置 URL:请查阅 IdP 的文档。
OpenID 配置 URL:请查阅 IdP 的文档。
自动更改
如果现有 Apple 商务用户已经拥有联合域电子邮件地址,则其管理式 Apple 账户会自动更改,以与这个电子邮件地址匹配。