Usar la autenticación vinculada con tu proveedor de identidad en Apple Business Manager
En Apple Business Manager, puedes vincularte con tu proveedor de identidad (PI) mediante la autenticación vinculada para permitir que los usuarios inicien sesión en dispositivos Apple con su nombre de usuario (por lo general, su dirección de correo electrónico) y contraseña del PI.
Como resultado, los usuarios pueden usar sus credenciales del PI como cuentas administradas de Apple. Pueden usar esas credenciales para iniciar sesión en su iPhone, iPad o Mac asignados, e incluso en iCloud en línea.
Antes de empezar
Antes de efectuar la vinculación con tu PI, ten en cuenta lo siguiente:
Debes bloquear y activar la captura de dominios antes de poder vincularse. Consulta Bloquear un dominio.
En la autenticación vinculada, debe usarse la dirección de correo electrónico del usuario como su nombre de usuario. No se admiten alias.
En el caso de los usuarios existentes con una dirección de correo electrónico en el dominio vinculado, su cuenta de Apple administrada se cambia automáticamente para que coincida con esa dirección de correo electrónico.
Configura y verifica el dominio que quieras usar. Consulta Agregar y verificar un dominio.
Las cuentas de usuario con la función de administrador o administrador de personas no pueden iniciar sesión con la autenticación vinculada; solo pueden administrar el proceso de vinculación.
Cuando la conexión con el PI caduca, se detiene la vinculación y la sincronización de las cuentas de usuario con tu PI. Debes volver a conectarte con tu PI para continuar usando la vinculación y la sincronización.
Para usar la autenticación vinculada, dispón de la siguiente información:
Método de inicio de sesión: usa Open ID Connect (OIDC).
Acceso al alcance: se debe otorgar acceso a
ssf.manage
yssf.read
.URL de configuración del marco de señales compartidas (SSF): consulta la documentación de tu PI.
URL de configuración de OpenID: consulta la documentación de tu PI.
Proceso de autenticación vinculada
Este proceso incluye cuatro pasos principales:
Agregar y verificar un dominio.
Crear una nueva app o conexión de OIDC.
Configurar la autenticación vinculada y probar la autenticación con una sola cuenta de usuario de PI.
Activar la autenticación vinculada.
Paso 1: Verifica un dominio
Antes de poder ver las cuentas de usuario de tu PI con Apple Business Manager, debes agregar y verificar el dominio que deseas usar.
Consulta Agregar y verificar un dominio.
El proceso de verificación garantiza que tu organización sea la que tiene autoridad para modificar los registros del servidor de nombres de dominio (DNS) para tu dominio. Por ejemplo, para usar betterbag.com como tu dominio, debes agregar un registro TXT específico al archivo de zona del servidor de nombres de dominio dentro de los 14 días naturales posteriores al comienzo del proceso de verificación (que comienza cuando seleccionas el botón Verificar).
Nota: Si intentas vincular un dominio que ya has verificado pero otra organización ya ha vinculado un dominio idéntico, debes comunicarte con esa organización para determinar quién tiene la autoridad para vincular el dominio. Consulta Conflictos de dominio.
Paso 2: Crea una nueva app o conexión de OIDC
Para conectarte a Apple Business Manager, tu PI debe tener o crear una app que contenga configuraciones específicas para vincularse con Apple Business Manager. Debido a que cada PI tiene un método diferente para crear una app y un lugar donde se ubican configuraciones específicas, consulta la documentación de tu PI sobre cómo completar este proceso.
Inicia sesión con tu PI como administrador y luego realiza una de las siguientes acciones:
Ubica la app que creó tu PI. Es posible que puedas omitir varios pasos en esta tarea.
Ve hasta donde puedes crear una app o conexión.
Crea la app o conexión con la siguiente información:
Apple Business Manager: AppleBusinessManagerOIDC.
Método de inicio de sesión: Open ID Connect (OIDC).
Tipo de app: app web.
Tipo de otorgamiento: Identificador de actualización.
URI de redirecciones de inicio de sesión: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Acceso: Permitir cuentas de usuario específicas.
Acceso al alcance: se debe otorgar acceso a
ssf.manage
yssf.read
.
Guarda los cambios.
Más adelante en esta página, deberás pegar cierta información en Apple Business Manager. La siguiente tarea es copiar esa información a un archivo de texto o de hoja de cálculo.
Abre un nuevo archivo de texto u hoja de cálculo e ingresa los siguientes valores del PI:
Para el ID de cliente de OIDC, pega el ID de cliente de OIDC.
Para el secreto de cliente de OIDC, pega el secreto de cliente de OIDC.
Guarda el archivo en un lugar seguro.
Paso 3: Configura la autenticación vinculada y prueba la autenticación con una sola cuenta de usuario de PI
Este paso es para establecer una relación de confianza entre tu PI y Apple Business Manager.
Nota: Una vez que completes este paso, los usuarios no pueden crear nuevas cuentas administradas de Apple personales en el dominio que configuraste. Esto podría afectar a otros servicios de Apple a los que acceden tus usuarios. Consulta Transferir los servicios de Apple al vincular.
En Apple Business Manager , inicia sesión con un usuario que tenga la función de administrador o gestor de personas.
Selecciona tu nombre en la parte inferior de la barra lateral, selecciona Preferencias , selecciona cuentas administradas de Apple y luego selecciona Comenzar debajo de Inicio de sesión de usuario y sincronización del directorio.
Selecciona Proveedor de identidad personalizado y, luego, selecciona Continuar.
Ingresa un nombre para la conexión de la autenticación vinculada.
Puedes usar hasta 128 caracteres.
Copia los valores de ID de cliente y secreto de cliente en Apple Business Manager desde el archivo de texto o la hoja de cálculo que guardaste en la sección anterior.
Comunícate con tu PI a fin de obtener URL para las dos siguientes configuraciones:
Marco de señales compartidas (SSF)
OpenID
Selecciona Continuar.
Si todos los valores que proporcionaste fueron válidos, se te presentará la página de inicio de sesión de tu PI. Avanza al paso 8.
Inicia sesión con un nombre de usuario y contraseña de administrador del PI.
Selecciona Listo.
Paso 4: Activa la autenticación vinculada
En Apple Business Manager , inicia sesión con un usuario que tenga la función de administrador o gestor de personas.
Selecciona tu nombre en la parte inferior de la barra lateral, selecciona Preferencias y luego selecciona cuentas administradas de Apple .
En la sección Dominios, selecciona Administrar junto al dominio que quieres vincular y, luego, selecciona Activar Iniciar sesión con proveedor de identidad.
Activa Iniciar sesión con proveedor de identidad.
Si es necesario, ahora puedes importar las cuentas de usuario con Apple Business Manager. Consulta Sincronizar cuentas de usuario de tu proveedor de identidad.