Συγχρονισμός λογαριασμών χρηστών από την υπηρεσία παροχής ταυτότητας στην εφαρμογή Apple Business Manager
Στο Apple Business Manager, μπορείτε να χρησιμοποιήσετε το OpenID Connect (OIDC) ή το Σύστημα για τη Διαχείριση ταυτοτήτων μεταξύ Τομέων (SCIM) για να συγχρονίζετε λογαριασμούς χρηστών από την υπηρεσία παροχής ταυτότητάς σας (IdP). Χρησιμοποιώντας αυτό το σύστημα, συγχωνεύετε ιδιότητες του Apple Business Manager (όπως ρόλους) με δεδομένα λογαριασμών χρηστών που έχουν εισαχθεί από την υπηρεσία παροχής ταυτότητάς σας (IdP). Όταν χρησιμοποιείτε το SCIM για συγχρονισμό χρηστών, οι πληροφορίες λογαριασμού προστίθενται μόνο για ανάγνωση μέχρι να αποσυνδεθείτε. Τότε, οι λογαριασμοί γίνονται μη αυτόματοι λογαριασμοί και είναι δυνατή η επεξεργασία των χαρακτηριστικών σε αυτούς τους λογαριασμούς (όπως είναι τα ονόματα χρήστη). Η εκτέλεση του αρχικού συγχρονισμού διαρκεί περισσότερο από τους επόμενους κύκλους. Συμβουλευτείτε την τεκμηρίωση του IdP σας για να μάθετε πόσο συχνά συγχρονίζονται οι χρήστες στο Apple Business Manager.
Σημαντικό: Έχετε μόνο 4 ημερολογιακές ημέρες για να ολοκληρώσετε τη μεταφορά διαπιστευτηρίων στην υπηρεσία παροχής ταυτότητάς σας (IdP) και να δημιουργήσετε με επιτυχία μια σύνδεση, διαφορετικά πρέπει να ξεκινήσετε ξανά τη διαδικασία.
Πριν ξεκινήσετε
Πριν κάνετε συγχρονισμό με την υπηρεσία παροχής ταυτότητάς σας (IdP) με χρήση μιας σύνδεσης OIDC, πρέπει να κάνετε τα εξής:
Διαμορφώστε και επαληθεύστε τον τομέα που θέλετε να χρησιμοποιήσετε. Δείτε Προσθήκη και επαλήθευση τομέα.
Να διαμορφώσετε, να συνενώσετε και να ενεργοποιήσετε έναν τομέα. Ανατρέξτε στο άρθρο Χρήση συνενωμένου ελέγχου ταυτότητας με την υπηρεσία παροχής ταυτότητας.
Καλέστε έναν διαχειριστή της υπηρεσίας παροχής ταυτότητάς σας (IdP) με δικαιώματα επεξεργασίας ρυθμίσεων.
Βεβαιωθείτε ότι έχετε τις ακόλουθες πληροφορίες και έπειτα επικοινωνήστε με την υπηρεσία παροχής ταυτότητάς σας (IdP):
Πεδίο μοναδικού αναγνωριστικού για χρήστες: Η τιμή αυτής του χαρακτηριστικού είναι συνήθως η διεύθυνση email του χρήστη. Χρησιμοποιείται για τη δημιουργία του Διαχειριζόμενου λογαριασμού Apple του χρήστη. Για παράδειγμα, μπορεί να είναι userName.
Τρόπος ελέγχου ταυτότητας: SAML 2.0.
Λειτουργία ελέγχου ταυτότητας: OAuth 2.
URL καθολοκής σύνδεσης: Συμβουλευτείτε την τεκμηρίωση του IdP σας.
URL επιστροφής εξουσιοδότησης: Συμβουλευτείτε την τεκμηρίωση του IdP σας.
Λογαριασμοί χρηστών του IdP και Apple Business Manager
Όταν ένας χρήστης αντιγράφεται από το IdP με χρήση του SCIM στο Apple Business Manager, ο προεπιλεγμένος ρόλος είναι «Προσωπικό».
Σημείωση: Οι ομάδες χρηστών από το IdP σας δεν συγχρονίζονται στο Apple Business Manager. Αν θέλετε τις ίδιες ομάδες, μπορείτε να δημιουργήσετε νέες ομάδες στο Apple Business Manager και να προσθέσετε χρήστες σε αυτές.
Χαρακτηριστικό σύνδεσης
Το Apple Business Manager απαιτεί το χαρακτηριστικό που χρησιμοποιείται για τον Διαχειριζόμενο λογαριασμό Apple να είναι μοναδικό. Συνήθως είναι η διεύθυνση email του χρήστη. Εάν ένας χρήστης έχει ένα χαρακτηριστικό που είναι ακριβώς το ίδιο με αυτό ενός υπάρχοντα χρήστη του Apple Business Manager που έχει τον ρόλο του Διαχειριστή, δεν εκτελείται συγχρονισμός και το πεδίο-πηγή παραμένει απαράλλαχτο.
Αναγνωριστικό ατόμου
Όταν ένας χρήστης IdP συγχρονίζεται με το Apple Business Manager, δημιουργείται ένα Αναγνωριστικό ατόμου για τον λογαριασμό χρήστη του Apple Business Manager. Το Αναγνωριστικό ατόμου χρησιμοποιείται για την αναγνώριση λογαριασμών χρηστών σε διένεξη.
Σημαντικά στοιχεία που πρέπει να λάβετε υπόψη αν τροποποιήσετε το Αναγνωριστικό ατόμου:
Εάν τροποποιήσετε το Αναγνωριστικό ατόμου για έναν λογαριασμό χρήστη που έχει εισαχθεί προηγουμένως από την υπηρεσία παροχής ταυτότητάς σας (IdP), αυτός ο λογαριασμός χρήστη δεν ζευγοποιείται πλέον με την υπηρεσία IdP.
Εάν τροποποιήσετε το Αναγνωριστικό ατόμου για έναν λογαριασμό χρήστη που έχει εισαχθεί προηγουμένως από την υπηρεσία παροχής ταυτότητάς σας (IdP) και θέλετε να επανασυνδέσετε τον λογαριασμό χρήστη πρέπει να επιλύσετε τη διένεξη.
Συνδεθείτε στην υπηρεσία IdP σας
Συνδεθείτε στην υπηρεσία IdP ως διαχειριστής και έπειτα κάντε ένα από τα παρακάτω:
Εντοπίστε την εφαρμογή που δημιούργησε η υπηρεσία IdP σας. Ενδέχεται να μπορείτε να παρακάμψετε αρκετά βήματα σε αυτήν την εργασία.
Μεταβείτε εκεί που μπορείτε να δημιουργήσετε μια εφαρμογή ή μια σύνδεση.
Δημιουργήστε την εφαρμογή με τις εξής πληροφορίες:
Σημαντικό: Να θυμάστε το όνομα της εφαρμογής SCIM, επειδή μπορεί να το χρειαστείτε για τη διεύθυνση URL επιστροφής εξουσιοδότησης.
Apple Business Manager: Χρήση AppleBusinessManagerSCIM.
Τύπος εφαρμογής: Χρήση SCIM.
Τρόπος ελέγχου ταυτότητας: Χρήση SAML 2.0.
URL καθολικής σύνδεσης που χρησιμοποιήθηκε για παραλήπτη και προορισμό: Συμβουλευτείτε την τεκμηρίωση του IdP σας.
URI κοινού: Χρήση Αναγνωριστικού οντότητας.
Αποθηκεύστε τις αλλαγές.
Διαμορφώστε τις ρυθμίσεις παροχής της εφαρμογής SCIM
Εντοπίστε την ενότητα παροχής της εφαρμογής σας SCIM IdP και, στη συνέχεια, εισαγάγετε τις εξής τιμές:
Βασικό URL συνδέσμου SCIM: https://federation.apple.com/feeds/business/scim
URI διακριτικού πρόσβασης: https://appleaccount.apple.com/auth/oauth2/v2/token
URI εξουσιοδότησης: https://appleaccount.apple.com/auth/oauth2/v2/authorize
Αναγνωριστικό πελάτη: 123
Μυστικό πελάτη: 123
Σημαντικό: Επειδή δεν γνωρίζετε ακόμα το πραγματικό αναγνωριστικό πελάτη και το Μυστικό πελάτη SCIM, χρησιμοποιείται το 123 ως υποκατάστατο. Αντικαθιστάτε αυτές τις τιμές σε μεταγενέστερη εργασία.
Λειτουργία ελέγχου ταυτότητας: OAuth 2.
Πεδίο μοναδικού αναγνωριστικού για χρήστες: Συμβουλευτείτε την τεκμηρίωση του IdP σας.
Σημαντικό: Βεβαιωθείτε ότι έχετε εισαγάγει σωστά την αλληλουχία πεζών-κεφαλαίων, όπως στο αναγνωριστικό.
Υποστηριζόμενες ενέργειες παροχής:
Εισαγωγή νέων χρηστών και ενημερώσεων προφίλ.
Προώθηση νέων χρηστών.
Προώθηση ενημερώσεων προφίλ.
Αποθηκεύστε τις αλλαγές.
Δημιουργία της διεύθυνσης URL επιστροφής εξουσιοδότησης
Πρέπει να δημιουργήσετε μια διεύθυνση URL επιστροφής εξουσιοδότησης, ώστε το Apple Business Manager να λάβει εγγραφές χρηστών από το IdP σας χρησιμοποιώντας SCIM. Αυτή η διεύθυνση URL επιστροφής εξουσιοδότησης βασίζεται στο όνομα της εφαρμογής SCIM που δημιουργήσατε στο IdP.
Να θυμάστε το όνομα της εφαρμογής σας SCIM. Για παράδειγμα:
Apple Business Manager: AppleBusinessManagerSCIM
Επικολλήστε το όνομα της εφαρμογής στην ακόλουθη διεύθυνση URL. Για παράδειγμα:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Αποθηκεύστε τη διεύθυνση URL επιστροφής εξουσιοδότησης.
Την επικολλάτε στο Apple Business Manager στην επόμενη εργασία.
Αντιγράψτε και επικολλήστε τις πληροφορίες πελάτη SCIM στο IdP σας
Στο Apple Business Manager , συνδεθείτε με έναν λογαριασμό χρήστη που έχει τον ρόλο Διαχειριστή ή Υπεύθυνου διαχείρισης ατόμων.
Επιλέξτε το όνομά σας στο κάτω μέρος της πλαϊνής στήλης, επιλέξτε «Προτιμήσεις» και έπειτα επιλέξτε Διαχειριζόμενοι λογαριασμοί Apple .
Επιλέξτε «Ενεργοποίηση» δίπλα στον «Προσαρμοσμένο Συγχρονισμό».
Επικολλήστε τη διεύθυνση URL επιστροφής εξουσιοδότησης από την προηγούμενη εργασία και, στη συνέχεια, επιλέξτε «Δημιουργία».
Επιλέξτε «Εφαρμογή SCIM» και, στη συνέχεια, «Δημιουργία».
Ανοίξτε ένα νέο αρχείο κειμένου ή υπολογιστικού φύλλου και, στη συνέχεια, εισαγάγετε τις εξής τιμές από το Apple Business Manager:
Για το Αναγνωριστικό πελάτη OIDC, επικολλήστε το Αναγνωριστικό πελάτη SCIM.
Για το Μυστικό πελάτη OIDC, επικολλήστε το Μυστικό πελάτη SCIM.
Επιλέξτε «Αντιγραφή» δίπλα από το Αναγνωριστικό πελάτη και, στη συνέχεια, επικολλήστε το Αναγνωριστικό πελάτη στο αρχείο.
Επιλέξτε «Μυστικό πελάτη», επιλέξτε το διάστημα για το οποίο το μυστικό θα παραμείνει ενεργό μέχρι να λήξει (6,9 ή 12 μήνες) και, στη συνέχεια, επικολλήστε το Μυστικό πελάτη στο αρχείο.
Σημαντικό: Αν διαγράψετε ή ξεχάσετε το Μυστικό πελάτη πριν το επικολλήσετε στην εφαρμογή σας SCIM IdP, πρέπει να δημιουργήσετε ένα νέο Μυστικό πελάτη.
Επιλέξτε «Τέλος».
Επικολλήστε το Αναγνωριστικό πελάτη και το Μυστικό πελάτη στην εφαρμογή σας SCIM IdP και επαληθεύστε τη σύνδεση
Επιστρέψτε στην ενότητα παροχής της εφαρμογής σας SCIM IdP και, στη συνέχεια, επικολλήστε τις εξής τιμές:
Αναγνωριστικό πελάτη SCIM Apple Business Manager
Μυστικό πελάτη SCIM Apple Business Manager
Αποθηκεύστε τις αλλαγές.
Αν το IdP σάς επιτρέπει να δοκιμάσετε τον έλεγχο ταυτότητας χρησιμοποιώντας λογαριασμό διαχειριστή IdP, μπορείτε να πραγματοποιήσετε τη δοκιμή τώρα. Για παράδειγμα, ενδέχεται να υπάρχει ένα κουμπί «Έλεγχος ταυτότητας με [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM],» ή με το όνομα της εφαρμογής σας SCIM.
Εισαγάγετε το όνομα και το συνθηματικό διαχειριστή σας IdP και, στη συνέχεια, εισαγάγετε την τιμή ελέγχου ταυτότητας δύο παραγόντων.
Διαβάστε τις πληροφορίες σχετικά με την εξουσιοδότηση με προσοχή. Αν συμφωνείτε, επιλέξτε «Συνέχεια».
Εάν είναι απαραίτητο, μπορείτε πλέον να ενεργοποιήσετε τον συνενωμένο έλεγχο ταυτότητας για αυτόν τον τομέα.
Το IdP σας και το Apple Business Manager είναι πλέον διαμορφωμένα, έτσι ώστε να συγχρονίζουν συγκεκριμένες αλλαγές στα χαρακτηριστικά χρηστών από το IdP σας στο Apple Business Manager.