在 Apple Business Manager 從身份識別提供者同步用户帳户
在 Apple Business Manager,你可以使用 OpenID Connect (OIDC) 或跨網域身份管理系統 (SCIM) 從身份識別提供者 (IdP) 同步用户帳户。使用此系統,你會將 Apple Business Manager 屬性(例如職務)合併至從你的 IdP 輸入的用户帳户資料。當你使用 SCIM 同步用户時,系統會以唯讀形式新增帳户資訊,直到你中斷連線為止。屆時,這些帳户會變成手動帳户,然後你就可以編輯這些帳户中的屬性(例如用户名稱)。執行初始同步需要比隨後週期更長的時間。請參閱 IdP 文件,了解 IdP 將用户同步至 Apple Business Manager 的頻率。
重要事項:你只有 4 個日曆日的時間向你的 IdP 傳輸代號及建立連線,否則你必須重新開始此程序。
事前須知
使用 OIDC 連線同步至你的 IdP 之前,你必須執行以下操作:
設定並驗證你要使用的網域。請參閱新增並驗證網域。
設定網域、為網域建立聯合認證並啟用網域。請參閱以身份識別提供者使用聯合認證。
聯絡好具備編輯設定權限的 IdP 管理員。
請確保擁有以下資訊,然後聯絡你的 IdP:
用户的唯一識別碼欄位:這個屬性的值通常為用户的電郵地址。這是用來建立用户的管理式 Apple 帳户。例如,這個欄位可能是 userName。
驗證方式:SAML 2.0。
驗證模式:OAuth 2。
單次登入 URL:請參閱 IdP 文件。
授權回調 URL:請參閱 IdP 文件。
IdP 用户帳户和 Apple Business Manager
使用 SCIM 將用户從 IdP 複製到 Apple Business Manager 時,預設職務為「職員」。
附註:IdP 用户群組未同步至 Apple Business Manager。如要使用相同群組,你可在 Apple Business Manager 建立新群組,並在當中新增用户。
登入屬性
Apple Business Manager 規定用於管理式 Apple 帳户的屬性不得重複。這通常是用户的電郵地址。如果用户具有與職務為管理員之現有 Apple Business Manager 用户相同的屬性,則系統不會執行同步,而且來源欄位保持不變。
人員 ID
IdP 用户帳户同步至 Apple Business Manager 時,系統會為 Apple Business Manager 用户帳户建立成員 ID。成員 ID 可用於識別衝突的用户帳户。
修改成員 ID 時需考慮的重要事項:
如果你對先前從你的 IdP 輸入的用户帳户修改成員 ID,該用户帳户將無法再與 IdP 配對。
如果你對先前從你的 IdP 輸入的用户帳户修改成員 ID,並想將用户帳户重新連線,你必須解決衝突問題。
登入你的 IdP
以管理員身份登入你的 IdP,然後執行以下其中一項操作:
找出你 IdP 建立的 app。你或可在此任務中略過一些步驟。
前往建立 app 或連線的地方。
使用以下資訊建立 App:
重要事項:記住 SCIM App 的名稱,因為授權回調 URL 可能會用到。
Apple Business Manager:使用 AppleBusinessManagerSCIM。
App 類型:使用 SCIM。
驗證方式:使用 SAML 2.0。
用於接收對象和目標的單次登入 URL:請參閱 IdP 文件。
受眾 URI:使用實體 ID。
儲存變更。
配置 SCIM App 建置設定
找出 IdP SCIM App 的建置部分,然後輸入以下值:
SCIM 連接器基準 URL:https://federation.apple.com/feeds/business/scim
存取代號 URI:https://appleaccount.apple.com/auth/oauth2/v2/token
驗證 URI:https://appleaccount.apple.com/auth/oauth2/v2/authorize
用户端 ID123
用户端密鑰:123
重要事項:由於你尚未知道實際的 SCIM 用户端 ID 和用户端密鑰,暫時先用 123 代替。你可以在之後的任務中替換這些值。
驗證模式:OAuth 2。
用户的唯一識別碼欄位:請參閱 IdP 文件。
重要事項:請確保識別碼的大小楷相符。
受支援的建置動作:
輸入新用户和描述檔更新。
推送新用户。
推送描述檔更新。
儲存變更。
建立授權回調 URL
你必須為 Apple Business Manager 建立授權回調 URL,以便使用 SCIM 從 IdP 獲取用户記錄。這個回調 URL 是基於你在 IdP 中建立的 SCIM App 的名稱。
記住 SCIM App 的名稱。例如:
Apple Business Manager:AppleBusinessManagerSCIM
將 App 名稱貼至以下 URL。例如:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
儲存授權回調 URL。
你要在下一個任務中將其貼至 Apple Business Manager。
建立 SCIM 用户端資料並將其複製至 IdP
在 Apple Business Manager ,使用職務為管理員或成員經理的用户登入。
在側邊欄底部選擇你的名字,選擇「偏好設定」,然後選擇「管理式 Apple 帳户」。
選擇「自訂同步」旁的「啟用」。
貼上對上一個任務中的授權回調 URL,然後選擇「建立」。
選擇「SCIM 應用程式」,然後選擇「建立」。
開啟新的文字檔案或試算表,然後輸入以下來自 Apple Business Manager 的值:
在 OIDC 用户端 ID 處貼上 SCIM 用户端 ID。
在 OIDC 用户端密鑰處貼上 SCIM 用户端密鑰。
選擇「用户端 ID」旁的「複製」,然後將用户端 ID 貼至檔案中。
選擇「用户端密鑰」,然後選擇密鑰的有效期 (6/9/12 個月),再將用户端密鑰貼至檔案中。
重要事項:如果你在將用户端密鑰貼至 IdP SCIM App 之前刪除或忘記了密鑰,則必須建立新的用户端密鑰。
選擇「完成」。
將用户端 ID 和用户端密鑰貼至 IdP SCIM App 並驗證連線
回到 IdP SCIM App 的建置部分,然後貼上以下值:
Apple Business Manager SCIM 用户端 ID
Apple Business Manager SCIM 用户端密鑰
儲存變更。
如果 IdP 允許你使用 IdP 管理員帳户測試驗證,你可立即測試。例如,你可能會看到一個按鈕,名為「以 [AppleSchoolManagerSCIM]/[AppleBusinessManagerSCIM]/[AppleBusinessEssentialsSCIM] 驗證」,或者你使用的任何 SCIM App 名稱。
輸入 IdP 管理員名稱和密碼,然後輸入雙重認證值。
仔細閱讀所有驗證資料。如果你同意,選擇「繼續」。
如有必要,你現在可以為這個網域開啟聯合認證。
IdP 和 Apple Business Manager 現已配置為將特定用户屬性變更從 IdP 同步至 Apple Business Manager。