在 Apple 商務管理中使用身分提供者的聯合驗證。
你可以在 Apple 商務管理中連結至身分提供者 (IdP),如此一來,使用者就能透過自己的 IdP 使用者名稱和密碼登入 Apple 裝置。因此,使用者可以利用自己的 IdP 使用者名稱和密碼作為管理式 Apple ID。然後使用者可利用這些憑證,登入獲派的 iPhone、iPad 或 Mac,甚至是網頁版 iCloud。
此流程有四個主要步驟:
1. 驗證網域
2. 登入 IdP 並建立新的 Open ID Connect (OIDC) app 或連線
3. 設定並測試 App 或連線
4. 啟用聯合驗證
開始之前
在開始之前,請先確認你打算使用 SCIM 或僅使用聯合驗證來同步至 IdP。如果你打算使用 SCIM 同步至IdP,請待 SCIM 連線成功後,再開啟聯合驗證。
如打算只使用聯合驗證,請瞭解下列資訊:
登入方式:使用 Open ID Connect (OIDC)。
範圍存取:必須將存取權授予下列項目
ssf.manage
和ssf.read
。Shared Signals Framework (SSF) 設定 URL:參閱你的身分提供者文件。
OpenID 設定 URL:參閱你的 IdP 文件。
步驟 1:驗證網域
你必須先新增並驗證想使用的網域,才能使用 Apple 商務管理檢視你的 IdP 使用者。你可以在 Apple 商務管理中新增並驗證網域。
請參閱〈連結至新網域〉。
【注意】驗證程序可確保你的機構有權修改網域的網域名稱服務 (DNS) 紀錄。舉例來說,如想使用 betterbag.com 作為你的網域,則須在驗證程序開始(選取「驗證」按鈕後,驗證程序即會開始)的 14 個日曆天內,將指定的 TXT 記錄新增至網域名稱伺服器的區域檔案。
步驟 2:建立新的 OIDC app 或連線
你的 IdP 必須具備或建立包含可連結至 Apple 商務管理之特定設定的 app,才能連線至 Apple 商務管理。由於各個 IdP 建立 app 的方式各有不同,特定設定所在的位置也不相同,因此請參閱你的 IdP 文件,瞭解如何完成此流程。
作為管理員登入你的 IdP,然後執行下列其中一項操作:
找到你的 IdP 建立的 App。你或許可以在此作業中跳過數個步驟。
瀏覽至你可建立 App 或連線的位置。
利用下列資訊建立 app 或連線:
Apple 商務管理:AppleBusinessManagerOIDC。
登入方式:Open ID Connect (OIDC)。
App 類型:網頁 app。
授予類型:重新整理權杖。
登入重新導向 URI:https://gsa-ws.apple.com/grandslam/GsService2/acs。
存取:允許特定使用者。
範圍存取:必須將存取權授予下列項目
ssf.manage
和ssf.read
。
儲存變更。
稍後,你必須將此頁面的特定資訊貼至 Apple 商務管理。下一項作業是要將該資訊拷貝至文字或試算表檔案中。
開啟一個新的文字檔案或試算表,然後輸入下列 IdP 的值:
在 OIDC 用戶端 ID 的部分,貼上 OIDC 用戶端 ID。
在 OIDC 用戶端密鑰的部分,貼上 OIDC 用戶端密鑰。
將檔案儲存至安全的位置。
步驟 3:設定並測試連線
以具備管理員或成員經理職務的使用者身分登入 Apple 商務管理 。
在側邊欄底部選取你的姓名,接著選取「偏好設定」,然後選取「帳號」。
選取「聯合驗證」旁邊的「編輯」,接著選取「自訂身分提供者」,再選取「連線」。
為聯合驗證連線輸入命稱。
你最多可以使用 128 個字元。
從你在上一部分所儲存的文字檔案或試算表中,將用戶端 ID 及用戶端密鑰值拷貝至 Apple 商務管理內。
與你的 IdP 聯絡,以取得下列兩項設定的 URL:
Shared Signals Framework (SSF)
OpenID
選取「繼續」。
如果你提供的所有值皆為有效值,畫面上即會顯示 IdP 的登入頁面。繼續執行步驟 8。
透過 IdP 管理員的使用者名稱和密碼登入。
選取「完成」。
步驟 4:啟用聯合驗證
以具備管理員或成員經理職務的使用者身分登入 Apple 商務管理 。
在側邊欄底部選取你的姓名,接著選取「偏好設定」,然後選取「帳號」。
在「網域」區段中選取「編輯」,然後在你想要與 IdP 建立聯合驗證的網域旁,選取「建立聯合驗證」。
等待程序完成。