「Apple 商務」的目錄同步簡介
概覽
目錄同步功能可協助將「Apple 商務」中的資料與你的識別身分供應商(IdP)保持一致並即時更新。透過目錄同步,當發生以下情況時,你的 IdP 會自動通知「Apple 商務」,並使其更新相關資訊:
建立新的使用者帳號
變更使用者帳號資訊
刪除使用者帳號
在「Apple 商務」中,你可以從以下來源同步使用者帳號(但一次僅能選擇一個):
Google Workspace
Microsoft Entra ID
你的 IdP
開始之前
同步至 Google Workspace、Microsoft Entra ID 或你的 IdP 之前,請考慮下列事項:
不支援同步使用者群組。
執行初始同步所需的時間會比執行後續週期更長。請參閱你的 IdP 文件,瞭解使用者的同步頻率。
「自動合併」應保持關閉。若開啟「自動合併」,新帳號會與現有使用者帳號合併。
要求
如有必要,請手動驗證網域。請參閱〈新增並驗證網域〉。
需開啟聯合驗證,請參閱〈聯合驗證簡介〉。
讓具備編輯 Google Workspace、Microsoft Entra ID 或其他 IdP 設定權限的管理員保持待命。
使用「Apple 商務」時,管理式 Apple 帳號所用的屬性不得重複。這通常會是使用者的電子郵件地址。如果有使用者的屬性與具備「機構管理員」職務的現有「Apple 商務」使用者相同,則不會執行同步,且來源欄位會保持不變。
設定初始連線時所使用的電子郵件地址,須來自其職務有權設定並配置聯合驗證和連結 IdP 的使用者,以便所要同步的 Google Workspace、Microsoft Entra ID 或其他 IdP 發送通知給他們。
IdP 特定要求
連結至 Microsoft Entra ID 時:
若要搭配「Apple 商務」使用 OIDC,你的機構不能與任何其他「Apple 商務」機構有相同的 Microsoft Entra ID 租用戶。如果你的機構要使用 OIDC,請洽詢 Microsoft Entra ID「全域管理員」,確保沒有其他機構將你的 Entra ID 租用戶用於 OIDC。
如果使用者帳號的使用者主體名稱(UPN)與其職務有權設定並配置聯合驗證和連結 IdP 的現有使用者完全相同,則不會執行同步,且來源欄位保持不變。
連結至非 Google Workspace 或 Microsoft Entra ID 的 IdP 時,請具有下列資訊:
使用者的唯一識別碼欄位:此屬性的值通常是使用者的電子郵件地址。這會用來建立使用者的管理式 Apple 帳號。例如,這可能會是 userName。
驗證方式:SAML 2.0。
驗證模式:OAuth 2。
單一登入 URL:參閱你的 IdP 文件。
授權回撥 URL:參閱你的 IdP·文件。
自動變更
帳號建立
當目錄同步設定完成後,使用者帳號會同步至「Apple 商務」,並指派為「職員」職務。同步的帳號資訊會以唯讀方式新增,但使用者帳號的職務屬性仍可編輯。此屬性會隨「Apple 商務」中的使用者帳號一起儲存,而不會寫回至 Google Workspace、Microsoft Entra ID 或你的 IdP。
當聯合驗證關閉時,這些帳號會變成手動帳號,因此其屬性(例如使用者的名稱)可編輯。
帳號修改
目錄同步會監控同步屬性的變更情況,並自動在「Apple 商務」中更新資訊。變更的同步間隔視 IdP 而定。
帳號移除
從 Google Workspace、Microsoft Entra ID 或你的 IdP 移除使用者帳號時,「Apple 商務」中的對應帳號會停用,並標記為待刪除。停用的帳號會從裝置登出,且無法重新登入。除非該帳號在接下來的 30 天內重新同步,否則系統會自動將其移除。
關於成員 ID
為了識別衝突的帳號,當使用 OIDC 將使用者帳號初始同步至「Apple 商務」時,系統會為該使用者帳號自動產生成員 ID。
如果你在「Apple 商務」中為先前同步過的使用者帳號修改成員 ID,該使用者帳號將無法再與 Google Workspace、Microsoft Entra ID 或你的 IdP 配對。若要重新連結該使用者帳號,你需要解決成員 ID 衝突。