Apple Business Manager 的目錄同步簡介
你可以使用 OpenID Connect(OIDC)與 Apple Business Manager 同步以下用户帳户:
Google Workspace
Microsoft Entra ID
你的身份識別提供者 (IdP)
部分 IdP 還可以使用跨網域身份管理系統(SCIM)
附註:你可以同步 Google Workspace、Microsoft Entra ID 或你的 IdP,但一次只能同步一項。
事前須知
在你同步至 Google Workspace、Microsoft Entra ID 或你的 IdP 之前,請考慮以下事項:
不支援用户群組同步
運作要求
如有需要,請手動驗證網域。請參閱新增並驗證網域。
你必須開啟聯合認證。請參閱聯合認證簡介。
安排有權編輯 Google Workspace、Microsoft Entra ID 或其他 IdP 設定的管理員。
Apple Business Manager 規定用於管理式 Apple 帳户的屬性不得重複。這通常是用户的電郵地址。如果用户具有與職務為管理員之現有 Apple Business Manager 用户相同的屬性,則系統不會執行同步,而且來源欄位保持不變。
設定初始連線時,你應使用職務為「管理員」或「成員經理」的用户之電郵地址,這樣他們就能收到來自 Google Workspace、Microsoft Entra ID 或其他同步 IdP 的通知。
IdP 特定要求
連結 Microsoft Entra ID 時:
要透過 Apple Business Manager 使用 OIDC,你的機構不能擁有與其他 Apple Business Manager 機構相同的 Microsoft Entra ID 租用户。如果你想為你的機構使用 OIDC,請與 Microsoft Entra ID 全域管理員聯絡,以確保沒有其他機構將你的 Entra ID 租用户用於 OIDC。
如果用户帳户具有與具備管理員或成員經理職務之現有用户帳户相同的用户主體名稱 (UPN),則不會執行同步,來源欄位會保持不變。
連結非 Google Workspace 或 Microsoft Entra ID 的 IdP 時,請準備下列資訊:
用户的唯一識別碼欄位:這個屬性的值通常為用户的電郵地址。這是用來建立用户的管理式 Apple 帳户。例如,這個欄位可能是 userName。
驗證方式:SAML 2.0。
驗證模式:OAuth 2。
單次登入 URL:請參閱 IdP 文件。
授權回調 URL:請參閱 IdP 文件。
自動更改
監察用户帳户更改並自動將更改同步至 Apple Business Manager。
在 Google Workspace、Microsoft Entra ID 或你的 IdP 中移除相應的用户帳户時,自動移除管理式 Apple 帳户。
將用户帳户同步到 Apple Business Manager 時,預設職務為「職員」。完成同步後,只能編輯用户帳户屬性中的「職務」。此屬性會隨 Apple Business Manager 的用户帳户一起儲存,而不會寫回 Google Workspace、Microsoft Entra ID 或你的 IdP。
同步帳户資料會以唯讀方式加入,直至你關閉同步。屆時,這些帳户會變成手動帳户,然後你就可以編輯這些帳户中的屬性(例如用户名稱)。
附註:執行初始同步需要比隨後週期更長的時間。請參閱 IdP 文件,了解 IdP 同步用户的頻率。
關於成員 ID
為了識別衝突的帳户,當首次使用 OIDC 將用户帳户同步到 Apple Business Manager,系統會自動為該用户帳户產生成員 ID。
如果你在 Apple Business Manager 中為先前同步的用户帳户修改成員 ID,該用户帳户將不再與 Google Workspace、Microsoft Entra ID 或你的 IdP 配對。如果要重新連結用户帳户,必須解決成員 ID 衝突。