將身分提供者的使用者同步至 Apple 商務管理
你可以在 Apple 商務管理中使用跨域身分管理系統 (SCIM) 來同步身分提供者 (IdP)·的使用者。使用 SCIM 同步使用者時,帳號資訊會以唯讀形式新增,直到中斷連線為止。屆時,這些帳號會變成手動帳號,並可編輯其屬性 (例如使用者名稱)。執行初始同步所需的時間會比執行後續週期更長。請參閱你的 IdP 文件,瞭解使用者同步至 Apple 商務管理的頻率。
開始之前
你應透過聯合驗證先順利連線,再開始建立 SCIM 連線。參閱使用身分提供者的聯合驗證。接著,與你的 IdP 聯絡,確保你具備下列資訊:
使用者的唯一識別碼欄位:此屬性的值通常是使用者的電子郵件地址。其會用來建立使用者的管理式 Apple ID。例如,這可能會是 userName。
驗證方式:SAML 2.0。
驗證模式:OAuth 2。
單一登入 URL:參閱你的 IdP 文件。
授權回撥 URL:參閱你的 IdP·文件。
SCIM 和聯合驗證
聯合驗證即已啟用,並可能已經開啟。如果在 IdP 帳號在傳送至 Apple 商務管理時,聯合驗證已經開啟,則不會顯示動作,但帳號仍會從聯合網域進行同步。
IdP 使用者帳號與 Apple 商務管理
使用 SCIM 將使用者從 IdP 拷貝至 Apple 商務管理時,其預設職務會是「職員」。
【注意】IdP 的使用者群組不會同步至 Apple 商務管理。如果你想要使用相同的群組,可以在 Apple 商務管理中建立新群組,並為這些群組新增使用者。
登入屬性
使用 Apple 商務管理時,管理式 Apple ID所用的屬性不得重複。這通常會是使用者的電子郵件地址。如果有使用者的屬性與具備管理員職務的現有 Apple 商務管理使用者完全相同,則不會執行同步,且來源欄位會保持不變。
成員 ID
當 IdP 使用者同步至 Apple 商務管理時,會為 Apple 商務管理使用者帳號建立成員 ID。成員 ID 會用來辨識衝突的使用者帳號。
以下是修改成員 ID的重要須知:
如果修改先前從 SCIM 輸入帳號的成員 ID,該帳號將無法再與 IdP 配對。
如要修改先前從 SCIM 輸入帳號的成員 ID,且希望重新連線至該帳號,則必須解決使用者衝突。
登入你的 IdP
作為管理員登入你的 IdP,然後執行下列其中一項操作:
找到你的 IdP 建立的 App。你或許可以在此作業中跳過數個步驟。
瀏覽至你可建立 App 或連線的位置。
利用下列資訊建立 app:
【重要事項】請牢記 SCIM app 的名稱,因為授權回撥 URL 可能會用到。
Apple 商務管理:使用 AppleBusinessManagerSCIM。
App 類型:使用 SCIM。
驗證方式:使用 SAML 2.0。
收件人和目的地所用的單一登入 URL:參閱你的 IdP·文件。
受眾 URI:使用實體 ID。
儲存變更。
配置 SCIM app 佈建設定
找出 IdP SCIM app 的佈建區段,然後輸入下列值:
SCIM 連接器基底 URL:https://federation.apple.com/feeds/business/scim
存取權杖 URI:https://appleid.apple.com/auth/oauth2/v2/token
授權 URI:https://appleid.apple.com/auth/oauth2/v2/authorize
用戶端 ID:123
用戶端密鑰:123
【重要事項】由於你尚不知道實際的 SCIM 用戶端 ID 和用戶端密鑰,因此請使用 123 作為預留位置。你會在之後的作業中取代這些值。
驗證模式:OAuth 2。
使用者的唯一識別碼欄位:參閱你的 IdP 文件。
【重要事項】請務必與識別碼的大小寫保持一致。
支援的佈建操作:
輸入新使用者和描述檔更新。
推播新使用者。
推播描述檔更新。
儲存變更。
建立授權回撥 URL
你必須為 Apple 商務管理建立授權回撥 URL,才能使用 SCIM 從 IdP 取得使用者記錄。此回撥 URL 會以你在 IdP 中所建立的 SCIM app 名稱為基礎。
請牢記你的 SCIM app 名稱。例如:
Apple 商務管理:AppleBusinessManagerSCIM
將 app 名稱貼入下列 URL。例如:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
儲存授權回撥 URL。
你須在下一項作業中,將該 URL 貼入 Apple 商務管理。
建立 SCIM 用戶端資訊,並拷貝至 IdP
以具備管理員或成員經理職務的使用者身分登入 Apple 商務管理 。
在側邊欄底部選取你的姓名,接著選取「偏好設定」,然後選取「目錄同步」。
選取「自訂同步」旁的「啟用」。
貼上前一作業中的授權回撥 URL,然後選取「建立」。
選取 SCIM 應用程式,然後選取「建立」。
開啟一個新的文字檔案或試算表,然後輸入下列 Apple 商務管理的值:
在 OIDC 用戶端 ID 的部分,貼上 SCIM 用戶端 ID。
在 OIDC 用戶端密鑰的部分,貼上 SCIM 用戶端密鑰。
選取「用戶端 ID」旁的「拷貝」,然後將成員 ID 貼入檔案。
選取「用戶端密鑰」,再選擇密鑰的有效期 (6、9 或 12 個月),然後將用戶端密鑰貼入檔案。
【重要事項】如果你在將用戶端密鑰貼入 IdP SCIM app 之前,刪除或忘記用戶端密鑰,則必須建立新的用戶端密鑰。
選取「完成」。
將用戶端 ID 和用戶端密鑰貼入 IdP SCIM app,並驗證連線
回到 IdP SCIM app 的佈建區段,然後貼入下列值:
Apple 商務管理 SCIM 用戶端 ID
Apple 商務管理 SCIM 用戶端密鑰
儲存變更。
如果你的 IdP 可讓你使用 IdP 管理員帳號測試驗證,現在即可進行測試。舉例來說,你可能會看到「以 [AppleSchoolManagerSCIM] 進行驗證」、「以 [AppleBusinessManagerSCIM] 進行驗證」、「以 [AppleBusinessEssentialsSCIM] 進行驗證」的按鈕,或任何你為 SCIM app 命名的名稱。
輸入你的 IdP 管理員名稱和密碼,然後輸入雙重驗證的值。
仔細閱讀所有授權資訊。如果同意,請選取「繼續」。
如有需要,你現在即可為此網域開啟聯合驗證。
現在,你已設定完 IdP 和 Apple 商務管理,可將指定的使用者屬性變更從 IdP 同步至 Apple 校務管理。