Synkroniser brugerkonti fra din id-leverandør til Apple Business Manager
I Apple Business Manager kan du bruge OIDC (OpenID Connect) eller SCIM (System til identitetsadministration på tværs af domæner) til at synkronisere konti fra din id-leverandør. Ved hjælp af dette system kan du flette Apple Business Manager-egenskaber (f.eks. roller) med brugerkontodata, der er importeret fra din id-leverandør. Når du bruger SCIM til at synkronisere brugere, tilføjes kontooplysningerne som skrivebeskyttet, indtil du afbryder forbindelsen. På dette tidspunkt ændres kontiene til manuelle konti, og attributter på disse konti (f.eks. brugernavne) kan derefter redigeres. Det tager længere tid at udføre den første synkronisering end efterfølgende cyklusser. Se dokumentationen fra din id-leverandør for at få at vide, hvor ofte de synkroniserer brugere til Apple Business Manager.
Vigtigt: Du har kun fire kalenderdage til at gennemføre tokenoverførslen til din id-leverandør og etablere en forbindelse, ellers skal du begynde forfra på processen.
Sådan forbereder du dig
Før du synkroniserer til din id-leverandør ved hjælp af en OIDC-forbindelse, skal du gøre følgende:
Konfigurer og bekræft det domæne, du vil bruge. Se Tilføj og bekræft et domæne.
Konfigurer et domæne, placer det i organisationsnetværket, og aktivér det. Se Brug godkendelse via organisationsnetværket med din id-leverandør.
Hav en id-leverandøradministrator, der har tilladelse til at redigere indstillinger, klar til at hjælpe.
Sørg for, at du har følgende oplysninger, og kontakt så din id-leverandør:
Felt til unikt id for brugere: Værdien i denne attribut er som regel brugerens e-mailadresse. Den bruges til at oprette brugerens administrerede Apple-konto. Det kan f.eks. være userName.
Godkendelsesmetode: SAML 2.0.
Godkendelsesfunktion: OAuth 2.
URL til Log ind i et trin: Se dokumentationen fra din id-leverandør.
URL til tilbagekaldelse af godkendelse: Se dokumentationen fra din id-leverandør.
Brugerkonti hos id-leverandør og Apple Business Manager
Når en bruger kopieres fra din id-leverandør til Apple Business Manager ved hjælp af SCIM, er standardrollen Personale.
Bemærk: Brugergrupper fra din id-leverandør synkroniseres ikke til Apple Business Manager. Hvis du ønsker de samme grupper, kan du oprette nye grupper i Apple Business Manager og føje brugere til dem.
Loginattribut
Apple Business Manager kræver, at den attribut, der bruges til den administrerede Apple-konto, er unik. Det er som regel brugerens e-mailadresse. Hvis en bruger har en attribut, der er nøjagtigt den samme som en eksisterende Apple Business Manager-bruger med rollen som administrator, udføres der ingen synkronisering, og kildefeltet forbliver uændret.
Person-id
Når en brugerkonto hos en id-leverandør synkroniseres med Apple Business Manager, oprettes der et person-id for Apple Business Manager-brugerkontoen. Dette person-id bruges til at identificere brugerkonti med konflikter.
Vigtige overvejelser, hvis du ændrer person-id'et:
Hvis du ændrer person-id'et for en brugerkonto, der tidligere er importeret fra din id-leverandør, er den pågældende brugerkonto ikke længere parret med id-leverandøren.
Hvis du ændrer person-id'et for en brugerkonto, der tidligere er importeret fra din id-leverandør, og du ønsker at tilknytte brugerkontoen igen, skal du løse brugerkonflikten.
Log ind på din id-leverandør
Log ind på din id-leverandør som administrator, og gør derefter et af følgende:
Find den app, der er oprettet af din id-leverandør. Du kan muligvis springe flere trin i denne opgave over.
Naviger til det sted, hvor du vil oprette en app eller forbindelse.
Opret appen med følgende oplysninger:
Vigtigt: Husk navnet på SCIM-appen, da du muligvis skal bruge det til URL'en til tilbagekaldelse af godkendelse.
Apple Business Manager: Brug AppleBusinessManagerSCIM.
Apptype: Brug SCIM.
Godkendelsesmetode: Brug SAML 2.0.
URL til Log ind i et trin, der bruges til modtager og destination: Se dokumentationen fra din id-leverandør.
URI til målgruppe: Brug enheds-id.
Gem ændringerne.
Konfigurer indstillingerne for klargøring af SCIM-app
Find sektionen til klargøring af SCIM-appen fra din id-leverandør, og indtast derefter følgende værdier:
URL til SCIM-stikbase: https://federation.apple.com/feeds/business/scim
URI til adgangstoken: https://appleaccount.apple.com/auth/oauth2/v2/token
URI til godkendelse: https://appleaccount.apple.com/auth/oauth2/v2/authorize
Klient-id: 123
Klienthemmelighed: 123
Vigtigt: Da du ikke kender det faktiske klient-id og den faktiske klienthemmelighed til SCIM endnu, bruges 123 som eksempel. Du erstatter disse værdier i en senere opgave.
Godkendelsesfunktion: OAuth 2.
Felt til unikt id for brugere: Se dokumentationen fra din id-leverandør.
Vigtigt: Vær opmærksom på, at der skelnes mellem store og små bogstaver.
Understøttede klargøringshandlinger:
Importer nye brugere og profilopdateringer.
Send nye brugere.
Send profilopdateringer.
Gem ændringerne.
Opret URL'en til tilbagekaldelse af godkendelse
Du skal oprette en URL til tilbagekaldelse af godkendelse til Apple Business Manager for at få brugerposter fra din id-leverandør ved hjælp af SCIM. Denne URL til tilbagekaldelse er baseret på navnet på den SCIM-app, du har oprettet i din id-leverandør.
Husk navnet på din SCIM-app. For eksempel:
Apple Business Manager: AppleBusinessManagerSCIM
Indsæt appnavnet i følgende URL. For eksempel:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Gem URL'en til tilbagekaldelse af godkendelse.
Du skal indsætte den i Apple Business Manager i næste opgave.
Opret og kopier SCIM-klientoplysninger til din id-leverandør
I Apple Business Manager
skal du logge ind med en bruger, der har rollen som administrator eller personansvarlig.Vælg dit navn nederst i indholdsoversigten, vælg Indstillinger
, og vælg derefter Administrerede Apple-konti 
.Vælg Aktiver ud for Tilpasset Sync.
Indsæt URL'en til tilbagekaldelse af godkendelse fra den tidligere opgave, og vælg derefter Opret.
Vælg SCIM-app, og vælg derefter Opret.
Åbn et nyt tekstarkiv eller regneark, og indtast derefter følgende værdier fra Apple Business Manager:
For OIDC-klient-id'et skal du indsætte SCIM-klient-id'et.
For OIDC-klienthemmeligheden skal du indsætte SCIM-klienthemmeligheden.
Vælg Kopier ud for Klient-id, og indsæt klient-id'et i arkivet.
Vælg Klienthemmelighed, vælg, hvor længe hemmeligheden skal være aktiv, før den udløber (6, 9 eller 12 måneder), og indsæt derefter klienthemmeligheden i arkivet.
Vigtigt: Hvis du sletter eller glemmer klienthemmeligheden, før du indsætter den i SCIM-appen fra din id-leverandør, skal du oprette en ny klienthemmelighed.
Vælg OK.
Indsæt klient-id'et og klienthemmeligheden i SCIM-appen fra din id-leverandør, og bekræft forbindelsen
Vend tilbage til sektionen til klargøring af SCIM-appen fra din id-leverandør, og indsæt derefter følgende værdier:
SCIM-klient-id i Apple Business Manager
SCIM-klienthemmelighed i Apple Business Manager
Gem ændringerne.
Hvis din id-leverandør giver dig tilladelse til at teste godkendelse ved hjælp af en administratorkonto fra id-leverandøren, kan du teste det nu. Der kan f.eks. være en knap, der kaldes "Godkend med [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]", eller hvad du nu har kaldt din SCIM-app.
Indtast brugernavnet og adgangskoden for en administrator af id-leverandøren, og indtast derefter værdien for tofaktorgodkendelse.
Læs eventuelle godkendelsesoplysninger nøje. Hvis du er enig, skal du vælge Fortsæt.
Hvis det er nødvendigt, kan du nu slå godkendelse via organisationsnetværket til for dette domæne.
Din id-leverandør og Apple Business Manager er nu konfigureret til at synkronisere visse ændringer af brugerattributter fra din id-leverandør til Apple Business Manager.