在「Apple 商務」從你的識別身分供應商同步使用者帳號

在「Apple 商務」中，你可以使用 OpenID Connect（OIDC）或跨域身分管理系統（SCIM），從識別身分供應商（IdP）同步使用者帳號。使用此系統時，你會將「Apple 商務」屬性（例如職務）與從 IdP 輸入的使用者帳號資料合併。使用 SCIM 同步使用者時，帳號資訊會以唯讀形式新增，直到中斷連線為止。屆時，這些帳號會變成手動帳號，且其屬性（例如使用者名稱）可編輯。執行初始同步所需的時間會比執行後續週期更長。請參閱你的 IdP 說明文件，瞭解使用者同步至「Apple 商務」的頻率。

【重要事項】你只有四個日曆日可完成將權杖移轉至 IdP 的程序並順利建立連線，否則就需重新開始此流程。這些權杖會在到期後失效，這是一項安全機制，以避免未使用的憑證無限期存在。

登入你的 IdP

以管理員身分登入你的 IdP，然後選擇下列其中一項操作：
- 找到你的 IdP 建立的 App。你或許可以在此作業中跳過數個步驟。
- 瀏覽至你可建立 App 或連線的位置。
利用下列資訊建立 app：
【重要事項】請牢記 SCIM app 的名稱，因為授權回撥 URL 可能會用到。
- 「Apple 商務」：使用 AppleBusinessSCIM。
- App 類型：SCIM。
- 驗證方式：SAML 2.0。
- 收件人和目的地所用的單一登入 URL：參閱你的 IdP·文件。
- 受眾 URI：實體 ID。
儲存變更。

配置 SCIM app 佈建設定

找出 IdP SCIM app 的佈建區段，然後輸入下列值：
- SCIM 連接器基底 URL：https://federation.apple.com/feeds/business/scim
- 存取權杖 URI：https://appleaccount.apple.com/auth/oauth2/v2/token
- 授權 URI：https://appleaccount.apple.com/auth/oauth2/v2/authorize
- 用戶端 ID：123
- 用戶端密鑰：123
  【重要事項】由於你尚不知道實際的 SCIM 用戶端 ID 和用戶端密鑰，因此請使用 123 作為預留位置。你會在之後的作業中取代這些值。
- 驗證模式：OAuth 2。
- 使用者的唯一識別碼欄位：參閱你的 IdP 文件。
  【重要事項】請務必與識別碼的大小寫保持一致。
- 支援的佈建操作：
  - 輸入新使用者和描述檔更新。
  - 推播新使用者。
  - 推播描述檔更新。
儲存變更。

建立授權回撥 URL

你需要為「Apple 商務」建立授權回撥 URL，才能使用 SCIM 從 IdP 取得使用者記錄。此回撥 URL 會以你在 IdP 中所建立的 SCIM App 名稱為基礎。

請牢記你的 SCIM app 名稱。例如：
- 「Apple 商務」：AppleBusinessSCIM
將 app 名稱貼入下列 URL。例如：
- https://identity-provider.com/admin/app/AppleBusinessSCIM/oauth/callback
儲存授權回撥 URL。
你需在下一項作業中，將該 URL 貼入「Apple 商務」。

建立 SCIM 用戶端資訊，並拷貝至 IdP

在「Apple 商務」中，以其職務有權設定並配置聯合驗證和連結識別身分供應商（IdP）的使用者身分登入。
若要檢視職務與權限，請參閱〈職務與權限簡介〉。
在瀏覽器中，依序選擇「設定」>「網域」。
在「目錄同步」下，選取你要與「Apple 商務」同步的網域旁的「設定」。
選取「自訂同步」旁的「啟用」。
貼上前一作業中的授權回撥 URL，然後選取「建立」。
選取 SCIM 應用程式，然後選取「建立」。
開啟一個新的文字檔案或試算表，然後輸入下列「Apple 商務」的值：
- 在 OIDC 用戶端 ID 的部分，貼上 SCIM 用戶端 ID。
- 在 OIDC 用戶端密鑰的部分，貼上 SCIM 用戶端密鑰。
選取「用戶端 ID」旁的「拷貝」，然後將用戶端 ID 貼入檔案。
選取「用戶端密鑰」，再選擇密鑰的有效期（6、9 或 12 個月），然後將用戶端密鑰貼入檔案。
【重要事項】如果將用戶端密鑰貼入 IdP SCIM App 之前，刪除或忘記用戶端密鑰，則需建立新的用戶端密鑰。
選取「完成」。

將用戶端 ID 和用戶端密鑰貼入 IdP SCIM App，並驗證連線

回到 IdP SCIM app 的佈建區段，然後貼入下列值：
- 「Apple 商務」SCIM 用戶端 ID
- 「Apple 商務」SCIM 用戶端密鑰
儲存變更。
如果你的 IdP 允許你使用 IdP 管理員帳號測試驗證程序，你可以現在進行測試。
例如，可能會出現「使用 [AppleBusinessSCIM] 驗證」的按鈕，或你為 SCIM App 設定的名稱。
輸入你的 IdP 管理員名稱和密碼，然後輸入雙重驗證的值。
仔細閱讀所有授權資訊。如果同意，請選取「繼續」。
如有需要，你現在即可為此網域開啟聯合驗證。

現在，你已設定完 IdP 和「Apple 商務」，可將指定的使用者屬性變更從 IdP 同步至「Apple 商務」。

也請參閱在「Apple 商務」使用識別身分供應商的聯合驗證「Apple 商務」的授權回撥 URL 在「Apple 商務」中解決 Microsoft Entra ID OIDC 使用者帳號同步衝突

有幫助？

Apple 商務使用手冊