Používání federovaného ověřování s vaším poskytovatelem identit v Apple Business Manageru
Apple Business Manager můžete pomocí federovaného ověřování propojit se svým poskytovatelem identit (IdP) a umožnit tak uživatelům, aby se k zařízením Apple přihlašovali svými uživatelskými jmény (zpravidla e‑mailovou adresou) a hesly od poskytovatele identit.
Uživatelé pak můžou používat svoje uživatelská jména a hesla od poskytovatele identit jako spravované účty Apple. Potom se k přiřazenému iPhonu, iPadu, Macu, a dokonce i k iCloudu na webu přihlásí těmito přihlašovacími údaji.
Než začnete
Před připojením poskytovatele identit zvažte pár věcí:
Před zahájením federování musíte svoji doménu zamknout a přivlastnit si ji. Víc se dočtete v části Zamknutí domény.
Při federovaném ověřování by se jako uživatelská jména měly používat e‑mailové adresy. Aliasy nejsou podporovány.
U existujících uživatelů, kteří mají ve federované doméně e‑mailovou adresu, se jejich spravovaný účet Apple automaticky změní tak, aby se shodoval s e‑mailovou adresou.
Nakonfigurovat a ověřit doménu, kterou chcete použít. Víc se dočtete v části Přidání a ověření domény.
Uživatelské účty s funkcí administrátora nebo správce osob se nemůžou přihlašovat pomocí federovaného ověřování – můžou jenom spravovat proces federování.
Když připojení k poskytovateli identit vyprší, federování i synchronizace uživatelských účtů s poskytovatelem identit se ukončí. Pokud chcete federování a synchronizaci obnovit, musíte se k poskytovateli identit znovu připojit.
Pro federované ověřování budete potřebovat následující informace:
Způsob přihlášení: Použijte OIDC (Open ID Connect).
Přístup k rozsahu: Přístup musí být udělen pro
ssf.manageassf.read.Konfigurační URL frameworku SSF (Shared Signals Framework): Viz dokumentace k vašemu IdP.
Konfigurační URL OpenID: Viz dokumentace k vašemu IdP.
Proces federovaného ověřování
Tento proces obnáší čtyři hlavní kroky:
Přidejte a ověřte doménu.
Vytvořte novou OIDC aplikaci nebo připojení.
Nakonfigurujte federované ověřování a otestuje ho na jednom účtu od poskytovatele identit.
Zapnutí federovaného ověřování.
Krok 1: Ověření domény
Abyste v Apple Business Manageru viděli uživatelské účty od poskytovatele identit, musíte přidat a ověřit doménu, kterou chcete používat.
Víc se dočtete v části Přidání a ověření domény.
Ověřovací proces prověří, jestli vaše organizace skutečně má oprávnění upravovat DNS (Domain Name Service) záznamy vaší domény. Například když chcete jako doménu použít betterbag.com, musíte do 14 kalendářních dnů od začátku ověřovacího procesu (který začíná výběrem tlačítka Ověřit) přidat do zónového souboru vašeho DNS serveru příslušný TXT záznam.
Poznámka: Pokud se pokoušíte federovat doménu, kterou jste už ověřili, ale už identickou doménu federovala jiná organizace, musíte tuto organizaci kontaktovat a určit, kdo je oprávněn tuto doménu federovat. Další informace najdete v části Konflikty domén.
Krok 2: Vytvořte novou OIDC aplikaci nebo připojení
Na připojení k Apple Business Manageru musí váš IdP obsahovat aplikaci s příslušnými nastaveními pro připojení k Apple Business Manageru. Případně takovou aplikaci musíte vytvořit. Vzhledem k tomu, že každý IdP používá jiný způsob vytvoření aplikace a v každém se příslušná nastavení nacházejí jinde, dokončete tento proces podle dokumentace k vašemu IdP.
Přihlaste se ke svému IdP jako správce a proveďte jednu z následujících akcí:
Vyhledejte aplikaci vytvořenou vaším IdP. Možná budete moct přeskočit několik kroků v tomto úkolu.
Přejděte do části, kde můžete vytvořit aplikaci nebo připojení.
Při vytváření aplikace nebo připojení použijte následující údaje:
Apple Business Manager: AppleBusinessManagerOIDC.
Způsob přihlášení: OIDC (Open ID Connect).
Typ aplikace: Webová aplikace.
Typ udělení: Obnovovací token.
URI přesměrování pro přihlášení: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Přístup: Povolení konkrétních uživatelských účtů.
Přístup k rozsahu: Přístup musí být udělen pro
ssf.manageassf.read.
Uložte změny.
Dále na této stránce musíte do Apple Business Manageru vložit určité informace. Další krok proto spočívá ve zkopírování těchto informací do textového nebo tabulkového souboru.
Otevřete nový textový soubor nebo tabulku a zadejte následující hodnoty z IdP:
Do příslušného pole vložte ID klienta OIDC.
Do příslušného pole vložte tajný klíč klienta OIDC.
Uložte soubor na bezpečné místo.
Krok 3: Nakonfigurujte federované ověřování a otestuje ho na jednom účtu od poskytovatele identit
Cílem tohoto kroku je navázat vztah důvěry mezi poskytovatelem identit a Apple Business Managerem.
Poznámka: Po dokončení tohoto kroku už uživatelé nebudou moct v nakonfigurované doméně vytvářet nové osobní účty Apple. To může mít vliv na ostatní služby Apple, které vaši uživatelé používají. Další informace najdete v části Převedení služeb Apple pod spravovaný účet Apple.
V Apple Business Manageru
se přihlaste jako uživatel s funkcí administrátora nebo správce osob.Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby
, zvolte Spravované účty Apple 
a pak v části „Přihlášení uživatele a synchronizace adresáře“ vyberte Začít.Vyberte Vlastní poskytovatel identity a poté vyberte Pokračovat.
Zadejte název připojení pro federované ověřování.
Můžete použít až 128 znaků.
Z textového souboru nebo tabulky uložené v předchozí části zkopírujte do Apple Business Manageru hodnoty ID klienta a tajného klíče klienta.
Získejte ze svého IdP adresy URL pro následující dvě konfigurace:
SSF (Shared Signals Framework)
OpenID
Vyberte Pokračovat.
Pokud byly všechny zadané hodnoty platné, zobrazí se přihlašovací stránka vašeho IdP. Pokračujte krokem 8.
Přihlaste se uživatelským jménem a heslem od poskytovatele identit.
Vyberte Hotovo.
Krok 4: Zapněte federované ověřování
V Apple Business Manageru
se přihlaste jako uživatel s funkcí administrátora nebo správce osob.Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby
a zvolte Spravované účty Apple .V části Domény vyberte Spravovat vedle domény, kterou chcete federovat, a poté vyberte „Zapnout přihlašování přes vašeho poskytovatele identity.“
Zapněte možnost „Přihlásit se přes vašeho poskytovatele identity.“
Pokud je to potřeba, můžete teď s Apple Business Managerem synchronizovat uživatelské účty. Víc se dočtete v části Synchronizace uživatelských účtů od poskytovatele identit.