Synchronizace uživatelských účtů od poskytovatele identit do Apple Business Manageru

Do Apple Business Manageru můžete přes OpenID Connect (OIDC) nebo SCIM synchronizovat uživatelské účty od svého poskytovatele identit (IdP). Při používání tohoto systému se sloučí vlastnosti z Apple Business Manageru (například funkce) s údaji o uživatelských účtech importovanými od poskytovatele identit. Pokud uživatele synchronizujete přes SCIM, přidají se údaje o účtech jen pro čtení a zůstanou tak, dokud se neodpojíte. V tu chvíli se z účtů stanou ručně spravované účty a vy budete moct upravovat jejich atributy (například uživatelská jména). Prvotní synchronizace trvá déle než následné cykly. Informace o tom, jak často se uživatelé synchronizují do Apple Business Manageru, najdete v dokumentaci ke svému IdP.

Důležité: Na dokončení převodu tokenu k poskytovatel identit a úspěšné navázání připojení máte jen 4 kalendářní dny. Pokud to nestihnete, budete muset začít znovu od začátku.

Než začnete

Ještě před zapnutím synchronizace s poskytovatelem identit přes OIDC připojení musíte udělat pár věcí:

Nakonfigurovat a ověřit doménu, kterou chcete použít. Víc se dočtete v části Přidání a ověření domény.
Nakonfigurujte doménu, zahajte její federování a zapněte ji. Viz Používání federovaného ověřování s vaším poskytovatelem identit.
Buďte ve spojení s administrátorem poskytovatele identit, který má oprávnění měnit nastavení.

Připravte si následující informace a potom kontaktujte poskytovatele identit:

Pole jedinečného identifikátoru uživatele: Hodnotou tohoto atributu je obvykle e-mailová adresa uživatele. Používá se k vytvoření uživatelova spravovaného účtu Apple. Může to být například userName.
Způsob ověřování: SAML 2.0.
Režim ověřování: OAuth 2.
URL jednotného přihlašování: Viz dokumentace k vašemu IdP.
URL zpětného volání pro autorizaci: Viz dokumentace k vašemu IdP.

Uživatelské účty z IdP a Apple Business Manager

Když pomocí SCIM zkopírujete do Apple Business Manageru uživatele z IdP, dostane přidělenou výchozí funkci Zaměstnanec.

Poznámka: Skupiny uživatelů se z IdP do Apple Business Manageru nesynchronizují. Pokud chcete používat stejné skupiny, můžete si v Apple Business Manageru vytvořit nové skupiny a přidat uživatele do nich.

Přihlašovací atribut

Apple Business Manager vyžaduje, aby atribut použitý pro spravovaný účet Apple byl jedinečný. Obvykle se jedná o e-mailovou adresu uživatele. Pokud se atribut uživatele přesně shoduje s existujícím uživatelem v Apple Business Manageru, který má funkci administrátora, synchronizace neproběhne a zdrojové pole se nezmění.

ID osoby

Když s Apple Business Managerem synchronizujete uživatelský účet od poskytovatele identit, vytvoří se pro tento účet v Apple Business Manageru ID osoby. Podle ID osoby se potom vyhledají konfliktní uživatelské účty.

Na co je třeba pamatovat při úpravách ID osoby:

Když u některého uživatelského účtu importovaného od poskytovatele identit upravíte ID osoby, nebude už tento účet spárovaný s poskytovatelem identit.
Když u některého uživatelského účtu importovaného od poskytovatele identit upravíte ID osoby a později budete chtít tento účet znovu připojit, musíte nejdřív vyřešit konflikt.

Přihlášení k vašemu IdP

Přihlaste se ke svému IdP jako správce a proveďte jednu z následujících akcí:
- Vyhledejte aplikaci vytvořenou vaším IdP. Možná budete moct přeskočit několik kroků v tomto úkolu.
- Přejděte do části, kde můžete vytvořit aplikaci nebo připojení.
Vytvořte aplikaci pomocí následujících údajů:
Důležité: Zapamatujte si název SCIM aplikace, protože ho můžete potřebovat pro URL zpětného volání pro ověření.
- Apple Business Manager: Použijte AppleBusinessManagerSCIM.
- Typ aplikace: Použijte SCIM.
- Způsob ověřování: Použijte SAML 2.0.
- URL jednotného přihlašování používané pro příjemce a cíl: Viz dokumentace k vašemu IdP.
- URI cílové skupiny: Použijte ID entity.
Uložte změny.

Konfigurace nastavování SCIM aplikace

Vyhledejte část SCIM aplikace IdP s údaji pro nastavování a zadejte následující hodnoty:
- Základní URL SCIM konektoru: https://federation.apple.com/feeds/business/scim
- URI přístupového tokenu: https://appleaccount.apple.com/auth/oauth2/v2/token
- URI autorizace: https://appleaccount.apple.com/auth/oauth2/v2/authorize
- ID klienta: 123
- Tajný klíč klienta: 123
  Důležité: Protože ještě neznáte skutečné ID a tajný klíč klienta ze SCIM, jako zástupný symbol se používá 123. Tyto hodnoty nahradíte v pozdější úloze.
- Režim ověřování: OAuth 2.
- Pole jedinečného identifikátoru uživatele: Viz dokumentace k vašemu IdP.
  Důležité: U identifikátoru se musí shodovat velikost písmen.
- Podporované akce nastavování:
  - Import nových uživatelů a aktualizace profilů.
  - Automatická synchronizace nových uživatelů.
  - Automatické aktualizace profilů.
Uložte změny.

Vytvoření URL zpětného volání pro autorizaci

Abyste pomocí SCIM dostali záznamy uživatelů z IdP, musíte pro Apple Business Manager vytvořit autorizovanou URL zpětného volání. Tato URL zpětného volání vychází z názvu SCIM aplikace, kterou jste vytvořili v IdP.

Název SCIM aplikace si zapamatujte. Například:
- Apple Business Manager: AppleBusinessManagerSCIM
Vložte název aplikace do následující URL. Například:
- https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
URL zpětného volání pro autorizaci uložte.
Do Apple Business Manageru vložíte adresu v další úloze.

Vytvoření a zkopírování informací o klientovi SCIM do IdP

V Apple Business Manageru se přihlaste jako uživatel s funkcí administrátora nebo správce osob.
Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby a zvolte Spravované účty Apple .
Vedle Vlastní synchronizace vyberte Zapnout.
Vložte URL zpětného volání pro autorizaci z předchozí úlohy a zvolte Vytvořit.
Vyberte SCIM aplikaci a potom zvolte Vytvořit.
Otevřete nový textový soubor nebo tabulku a zadejte následující hodnoty z Apple Business Manageru:
- Do pole ID klienta OIDC vložte ID klienta SCIM.
- Do pole pro tajný klíč klienta OIDC vložte tajný klíč klienta SCIM.
Zvolte Kopírovat vedle ID klienta a pak vložte ID klienta do souboru.
Vyberte Tajný klíč klienta, zvolte, jak dlouho má být tajný klíč aktivní, než vyprší jeho platnost (6, 9 nebo 12 měsíců), a pak vložte tajný klíč klienta do souboru.
Důležité: Pokud tajný klíč klienta před vložením do SCIM aplikace IdP smažete nebo zapomenete, musíte vytvořit nový tajný klíč klienta.
Vyberte Hotovo.

Vložení ID klienta a tajného klíče klienta do SCIM aplikace IdP a ověření připojení

Vraťte se do části SCIM aplikace IdP s údaji pro nastavování a zadejte následující hodnoty:
- ID klienta SCIM pro Apple Business Manager
- Tajný klíč klienta SCIM pro Apple Business Manager
Uložte změny.
Pokud váš IdP umožňuje testovat ověřování pomocí účtu správce IdP, teď můžete ověřování otestovat. Může k tomu sloužit tlačítko jako například „Ověřit pomocí [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]“ nebo jakkoli jste SCIM aplikaci pojmenovali.
Zadejte jméno a heslo správce k vašemu IdP a pak zadejte hodnotu dvoufaktorového ověřování.
Pozorně si přečtěte případné informace o autorizaci. Pokud souhlasíte, zvolte Pokračovat.
Pokud je to potřeba, můžete teď pro tuto doménu zapnout federované ověřování.

Váš IdP a Apple School Manager jsou teď nakonfigurované pro synchronizaci určitých změn atributů uživatelů z IdP do Apple Business Manageru.

Viz takéPoužívání federovaného ověřování s vaším poskytovatelem identit v Apple Business Manageru O URL zpětného volání pro autorizaci v Apple Business Manageru Řešení konfliktů při synchronizaci uživatelských účtů přes OIDC z Microsoft Entra ID v Apple Business Manageru

Užitečné?

Uživatelská příručka Apple Business Manageru