Utilizar la autenticación vinculada con un proveedor de identidad en Apple Business Manager
En Apple Business Manager, puedes enlazar con tu proveedor de identidad (IdP) mediante la autenticación vinculada para que los usuarios puedan iniciar sesión en dispositivos Apple con el nombre de usuario (que suele ser una dirección de correo electrónico) y la contraseña del proveedor de identidad.
De esta forma, los usuarios pueden usar sus credenciales del proveedor de identidad a modo de Cuentas de Apple gestionadas. Después, podrán usar esas credenciales para iniciar sesión en el iPhone, iPad o Mac que tengan asignado, e incluso en iCloud en la web.
Antes de empezar
Antes de vincular el proveedor de identidad, ten en cuenta lo siguiente:
Debes bloquear y activar la captura de dominios para poder realizar la vinculación. Consulta Bloquear un dominio.
La autenticación vinculada debe usar la dirección de correo electrónico del usuario a modo de nombre de usuario. No se admiten alias.
En el caso de los usuarios existentes que tienen una dirección de correo electrónico en un dominio vinculado, su Cuenta de Apple gestionada cambia automáticamente para coincidir con la dirección de correo electrónico.
Configura y verifica el dominio que quieras utilizar. Consulta Añadir y verificar un dominio.
Las cuentas de usuario de administrador o gestor de personas no pueden iniciar sesión con la autenticación vinculada; solo pueden gestionar el proceso de vinculación.
Cuando la conexión al proveedor de identidad caduca, la vinculación y sincronización de las cuentas de usuario con el proveedor dejan de funcionar. Debes volver a conectarte para seguir disfrutando de estas funciones.
Si vas a utilizar la autenticación vinculada, asegúrate de disponer de la siguiente información:
Método de inicio de sesión: utiliza Open ID Connect (OIDC).
Acceso de alcance: debes conceder acceso a
ssf.manage
yssf.read
al final de una matriz.URL de configuración de Shared Signals Framework (SSF): consulta la documentación del proveedor de identidad.
URL de configuración de OpenID: consulta la documentación del proveedor de identidad.
Proceso de autenticación vinculada
Este proceso se compone de cuatro pasos principales:
Añadir y verificar un dominio.
Crear una nueva app o conexión de OIDC.
Configurar la autenticación vinculada y probarla con una cuenta de usuario única del proveedor de identidad.
Activar la autenticación vinculada.
Paso 1: Verificar un dominio
Para poder ver las cuentas de usuario de tu proveedor de identidad con Apple Business Manager, debes añadir y verificar el dominio que quieras utilizar.
Consulta Añadir y verificar un dominio.
Con el proceso de verificación te aseguras de que tu organización sea la que tenga autoridad para modificar los registros del sistema de nombres de dominio (DNS, por sus siglas en inglés) para tu dominio. Por ejemplo, si quisieras usar betterbag.com como dominio, tendrías que añadir un registro TXT específico al archivo de zona del servidor del nombre de tu dominio en los 14 días naturales posteriores al inicio del proceso de verificación (que empieza a contarse cuando seleccionas el botón Verificar).
Nota: Si estás intentando vincular un dominio que ya has verificado pero otra organización ya ha vinculado el mismo dominio, deberás ponerte en contacto con la organización para determinar quién tiene autoridad para vincular el dominio. Consulta Conflictos de dominios.
Paso 2: Crear una nueva app o conexión de OIDC
Para conectarse a Apple Business Manager, el proveedor de identidad debe tener o crear una app que contenga ajustes específicos para vincularse a Apple Business Manager. Dado que cada proveedor de identidad tiene un método distinto para crear una app y una ubicación en la que almacenar los ajustes específicos, te recomendamos consultar su documentación para saber cómo completar este proceso.
Inicia sesión en el proveedor de identidad como administrador y haz una de las siguientes acciones:
Localiza la app que ha creado el proveedor de identidad. Puedes saltarte algunos pasos de esta tarea.
Dirígete a la sección en la que puedas crear una app o una conexión.
Crea la app o la conexión con la siguiente información:
Apple Business Manager: AppleBusinessManagerOIDC.
Método de inicio de sesión: Open ID Connect (OIDC).
Tipo de app: aplicación web.
Tipo de concesión: identificador de actualización.
URI de redireccionamientos de inicio de sesión: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Acceso: permitir cuentas de usuario específicas.
Acceso de alcance: debes conceder acceso a
ssf.manage
yssf.read
al final de una matriz.
Guarda los cambios.
Más adelante en la misma página, deberás pegar algunos datos en Apple Business Manager. El objetivo de esta siguiente tarea es copiar esa información en un archivo de texto u hoja de cálculo.
Abre un nuevo archivo de texto u hoja de cálculo e introduce los siguientes valores del proveedor de identidad:
En el ID de cliente de OIDC, pegue el ID de cliente de OIDC.
En el secreto de cliente de OIDC, pegue el secreto de cliente de OIDC.
Guarda el archivo en una ubicación segura.
Paso 3: Configurar la autenticación vinculada y probarla con una cuenta de usuario única del proveedor de identidad
Este paso consiste en establecer una relación de confianza entre el proveedor de identidad y Apple Business Manager.
Nota: Una vez completado este paso, los usuarios no pueden crear nuevas Cuentas de Apple personales en el dominio que configuras. Esto puede afectar a otros servicios de Apple a los que acceden los usuarios. Consulta Transferir servicios de Apple durante la vinculación.
En Apple Business Manager , inicia sesión con un usuario que tenga la función de administrador o gestor de personas.
Selecciona tu nombre en la parte inferior de la barra lateral, luego, Preferencias , Cuentas de Apple gestionadas y, por último, Empezar en “Inicio de sesión de usuarios y sincronización de directorio”.
Selecciona “Proveedor de identidad personalizado” y, luego, Continuar.
Introduce un nombre para la conexión de autenticación vinculada.
Puedes usar un máximo de 128 caracteres.
Copia los valores de ID de cliente y secreto de cliente en Apple Business Manager desde el archivo de texto u hoja de cálculo que guardaste en la sección anterior.
Ponte en contacto con tu proveedor de identidad para conseguir las URL de las dos siguientes configuraciones:
Shared Signals Framework (SSF)
OpenID
Selecciona Continuar.
Si todos los valores que has introducido son válidos, aparecerá la página de inicio de sesión del proveedor de identidad. Continúa en el paso 8.
Inicia sesión con el nombre de usuario y la contraseña de un usuario administrado del proveedor de identidad.
Selecciona Aceptar.
Paso 4: Activar la autenticación vinculada
En Apple Business Manager , inicia sesión con un usuario que tenga la función de administrador o gestor de personas.
Selecciona tu nombre en la parte inferior de la barra lateral, luego, Preferencias y, por último, Cuentas de Apple gestionadas .
En la sección Dominios, elige la opción Gestionar situada junto al dominio que quieras vincular y, luego, selecciona “Activar ‘Iniciar sesión con tu proveedor de identidad’”.
Activar “Iniciar sesión con tu proveedor de identidad”
Si es necesario, ya puedes sincronizar las cuentas de usuario con Apple Business Manager. Consulta Sincronizar cuentas de usuario de tu proveedor de identidad.