在 Apple Business Manager 以身份識別提供者使用聯合認證
在 Apple Business Manager,你可以連結到身份識別提供者 (IdP),以允許用户使用其 IdP 用户名稱和密碼登入 Apple 裝置。這樣,你的用户便可將 IdP 用户名稱和密碼當作管理式 Apple ID 使用。用户可以使用相關憑證,登入獲分派的 iPhone、iPad 或 Mac,以及使用網頁版 iCloud。
這個程序包含四個主要步驟:
1. 驗證網域
2. 登入 IdP 並建立新的 Open ID Connect (OIDC) App 或連線
3. 配置並測試 app 和連線
4. 啟用聯合認證
事前須知
在開始前,確認你打算要使用 SCIM 同步至 IdP,還是打算只使用聯合認證。如果你打算要使用 SCIM 同步至 IdP,請等到 SCIM 連線成功後再開啟聯合驗證。
如果只使用聯合認證,請提供以下資訊:
登入方式:使用 Open ID Connect (OIDC)。
存取範圍:存取權限必須授予
ssf.manage
和ssf.read
:共用訊號架構 (SSF) 配置 URL:請參閱 IdP 文件。
OpenID 配置 URL:請參閱 IdP 文件。
第 1 步:驗證網域
使用 Apple Business Manager 查看 IdP 用户前,你必須新增並驗證要使用的網域。請在 Apple Business Manager 新增並驗證網域。
請參閱連結至新網域。
附註:驗證程序可以確保你的機構有權修改網域的網域名稱服務 (DNS) 紀錄。例如,要使用 betterbag.com 作為網域,便需在開始驗證程序後 14 個曆日內(由你選擇「驗證」按鈕起計),將特定 TXT 紀錄加至網域名稱伺服器的區域檔案。
第 2 步:建立新的 OIDC App 或連線
要連線至 Apple Business Manager,IdP 必須擁有或建立一個 app,這個 app 須包含連結至 Apple Business Manager 的特定設定。由於各個 IdP 建立 App 的方式和儲存特定設定的位置不同,請參閱 IdP 文件以了解完成這個程序的方法。
以管理員身份登入你的 IdP,然後執行以下其中一項操作:
找出你 IdP 建立的 app。你或可在此任務中略過一些步驟。
前往建立 app 或連線的地方。
使用以下資訊建立 App 或連線:
Apple Business Manager:AppleBusinessManagerOIDC。
登入方式:Open ID Connect (OIDC)。
App 類型:網頁 app。
授權類型:重新整理代號。
登入重新導向 URI:https://gsa-ws.apple.com/grandslam/GsService2/acs。
存取權:允許特定用户。
存取範圍:存取權限必須授予
ssf.manage
和ssf.read
:
儲存變更。
在此頁面的稍後部分,你必須於 Apple Business Manager 貼上特定資料。下一個任務是將該資訊複製至文字或試算表檔案。
開啟新的文字檔案或試算表,然後輸入以下 IdP 值:
在 OIDC 用户端 ID 處貼上 OIDC 用户端 ID。
在 OIDC 用户端密鑰處貼上 OIDC 用户端密鑰。
將檔案儲存至安全位置。
第 3 步:配置並測試連線
在 Apple Business Manager ,使用職務為管理員或成員經理的用户登入。
在側邊欄底部選擇你的名字,選擇「偏好設定」,然後選擇「帳户」。
在「聯合認證」旁選擇「編輯」,選擇「自訂身份識別提供者」,然後選擇「連結」。
輸入聯合認證連線名稱。
名稱長度不得超過 128 個字元。
將你在上個部分儲存至文字檔案或試算表的用户端 ID 和用户端密鑰值複製到 Apple Business Manager。
聯絡 IdP 以獲取下列兩項配置的 URL:
共用訊號架構 (SSF)
OpenID
選擇「繼續」。
如果提供的值均有效,你會看到 IdP 登入頁面。繼續執行第 8 步。
使用 IdP 管理員的用户名稱和密碼的登入。
選擇「完成」。
第 4 步:啟用聯合認證
在 Apple Business Manager ,使用職務為管理員或成員經理的用户登入。
在側邊欄底部選擇你的名字,選擇「偏好設定」,然後選擇「帳户」。
在「網域」部分選擇「編輯」,然後在你要與 IdP 建立聯合認證的網域旁選擇「建立聯合認證」。
等待程序完成。