Apple 商务中的目录同步
概览
目录同步功能有助于确保 Apple 商务中的数据与身份提供方(IdP)保持同步,及时更新。通过目录同步,Apple 商务可以收到 IdP 自动发出的通知,并可在发生以下情况时更新其信息:
创建新用户账户
更改用户账户信息
删除用户账户
在 Apple 商务中,你可以同步以下来源的用户账户(但每次只能同步一个):
Google Workspace
Microsoft Entra ID
你的 IdP
开始操作前
在同步到 Google Workspace、Microsoft Entra ID 或 IdP 之前,请注意以下几点:
不支持同步用户群组。
第一次完成同步所需的时间要比后续周期的长。请查阅 IdP 的文档,了解其同步用户的频率。
应关闭自动合并。如果你已启用自动合并,则新账户将与现有用户账户合并。
必备条件
如有需要,请手动验证域名。请参阅“验证域名”。
你需要开启联合验证。请参阅“联合验证简介”。
确保有权限的管理员可随时编辑 Google Workspace、Microsoft Entra ID 或其他 IdP 的设置。
Apple 商务要求用于管理式 Apple 账户的属性必须是唯一的。这通常是用户的电子邮件地址。如果用户的属性与具有组织管理员职务的现有 Apple 商务用户完全相同,则不会执行同步,并且源字段将保持不变。
配置初始连接时,需使用有权限设置与配置联合验证以及连接至 IdP 的用户的电子邮件地址,以便这些用户接收来自 Google Workspace、Microsoft Entra ID 或你所同步的其他 IdP 的通知。
IdP 特定要求
关联 Microsoft Entra ID 时:
要在 Apple 商务中使用 OIDC,你的组织不能与其他 Apple 商务组织拥有相同的 Microsoft Entra ID 租户。如果你想为组织使用 OIDC,请联系你的 Microsoft Entra ID 全局管理员,确保没有其他组织使用你的 Entra ID 租户配置 OIDC。
如果用户账户的用户主体名称(UPN)与现有用户完全相同,且该现有用户有权限设置与配置联合验证及连接至 IdP,则不会执行同步,并且源字段将保持不变。
当关联非 Google Workspace 或 Microsoft Entra ID 的 IdP 时,需提供以下信息:
用户的唯一标识符字段:这个属性的值通常是用户的电子邮件地址。这将用于创建用户的管理式 Apple 账户。例如,可以是 userName。
验证方法:SAML 2.0。
验证模式:OAuth 2。
单点登录 URL:请查阅 IdP 的文档。
授权回拨 URL:请查阅 IdP 的文档。
自动更改
账户创建
配置目录同步时,系统会为同步到 Apple 商务的用户账户分配职员职务。同步的账户信息会存储为只读形式,但是用户账户的职务属性可以编辑。此属性会存储在 Apple 商务的用户账户中,不会再同步到 Google Workspace、Microsoft Entra ID 或你的其他 IdP。
关闭联合验证后,账户会变为手动账户,其属性(例如用户名)便可编辑。
账户修改
目录同步会监控对已同步属性所做的更改,并自动在 Apple 商务中进行更新。同步的频率取决于你所使用的 IdP。
账户移除
在 Google Workspace、Microsoft Entra ID 或你的 IdP 中移除用户账户时,Apple 商务中的相应账户也会被停用并标记为待删除。已停用的账户会从设备中退出登录,并且无法重新登录。除非在接下来的 30 天内再次同步该账户,否则它会被自动移除。
关于人员 ID
为识别冲突账户,通过 OIDC 将用户账户同步到 Apple 商务时,系统会自动为此账户生成一个人员 ID。
如果你在 Apple 商务中修改了之前已同步用户账户的人员 ID,则这个用户账户将不再与 Google Workspace、Microsoft Entra ID 或你的 IdP 配对。你需要解决人员 ID 冲突问题,才能重新连接此账户。