Sincronizar cuentas de usuario del proveedor de identidad en Apple Business Manager
En Apple Business Manager, puedes usar OpenID Connect (OIDC) o el Sistema para la gestión de identidades entre dominios (SCIM) para sincronizar cuentas de usuarios del proveedor de identidad (IdP). Con este sistema, puedes fusionar las propiedades de Apple Business Manager (como las funciones) con los datos de la cuenta del usuario importados desde el proveedor de identidad. Si utilizas SCIM para sincronizar usuarios, la información de la cuenta se añadirá como información de solo lectura hasta que interrumpas la conexión. En ese momento, las cuentas pasarán a ser manuales y sus atributos, como los nombres de usuario, se podrán editar. La primera sincronización tarda más tiempo en completarse que las siguientes. Consulta la documentación del proveedor de identidad para conocer la frecuencia con la que se sincronizan los usuarios en Apple Business Manager.
Importante: Solo tienes cuatro días naturales para completar la transferencia del identificador al proveedor de identidad y establecer correctamente una conexión; de lo contrario, deberás volver a iniciar el proceso.
Antes de empezar
Antes de sincronizar con el proveedor de identidad mediante una conexión OIDC, debes hacer lo siguiente:
Configura y verifica el dominio que quieras utilizar. Consulta Añadir y verificar un dominio.
Configura, vincula y activa un dominio. Consulta Utilizar la autenticación vinculada con un proveedor de identidad.
Habla con un administrador del proveedor de identidad con permisos para modificar la configuración.
Asegúrate de disponer de la siguiente información antes de ponerte en contacto con el proveedor de identidad:
Campo de identificador único para los usuarios: el valor de este atributo suele ser la dirección de correo electrónico del usuario. Se utiliza para crear la Cuenta de Apple gestionada del usuario. Por ejemplo, NombreUsuario.
Método de autenticación: SAML 2.0.
Modo de autenticación: OAuth 2.
URL de inicio de sesión único: consulta la documentación del proveedor de identidad.
URL de devolución de llamada de autorización: consulta la documentación del proveedor de identidad.
Cuentas de usuario del proveedor de identidad y Apple Business Manager
Cuando se copia un usuario del proveedor de identidad en Apple Business Manager mediante SCIM, la función predeterminada es la de Personal.
Nota: Los grupos de usuarios del proveedor de identidad no se sincronizan con Apple Business Manager. Si quieres tener los mismos grupos, puedes crear nuevos grupos en Apple Business Manager y añadir usuarios.
Atributo de inicio de sesión
Apple Business Manager exige que el atributo utilizado para la Cuenta de Apple gestionada sea único. Suele ser la dirección de correo electrónico del usuario. Si un usuario tiene un atributo exactamente igual que un usuario existente de Apple Business Manager con la función de administrador, no se completa la sincronización y el campo de origen no se modifica.
ID personal
Al sincronizar una cuenta de usuario del proveedor de identidad en Apple Business Manager, se crea un ID personal para la cuenta de usuario de Apple Business Manager. El ID personal se utiliza para identificar cuentas en conflicto.
Si modificas el ID personal, es importante tener en cuenta estas consideraciones:
Si modificas el ID personal de una cuenta de usuario importada previamente desde el proveedor de identidad, esa cuenta de usuario dejará de estar enlazada con el proveedor.
Si modificas el ID personal de una cuenta de usuario importada previamente desde el proveedor de identidad y quieres volver a conectar la cuenta, tendrás que resolver el conflicto.
Iniciar sesión en el proveedor de identidad
Inicia sesión en el proveedor de identidad como administrador y haz una de las siguientes acciones:
Localiza la app que ha creado el proveedor de identidad. Puedes saltarte algunos pasos de esta tarea.
Dirígete a la sección en la que puedas crear una app o una conexión.
Crea la app con la siguiente información:
Importante: Anota el nombre de la app de SCIM porque es posible que lo necesites para la URL de devolución de llamada de autorización.
Apple Business Manager: utiliza AppleBusinessManagerSCIM.
Tipo de app: utiliza SCIM.
Método de autenticación: utiliza SAML 2.0.
URL de inicio de sesión único utilizada para el destinatario y el destino: consulta la documentación del proveedor de identidad.
URI de audiencia: utiliza el ID de entidad.
Guarda los cambios.
Configurar los ajustes de aprovisionamiento de la app de SCIM
Localiza la sección de aprovisionamiento de la app de SCIM de tu proveedor de identidad e introduce los siguientes valores:
URL base del conector de SCIM: https://federation.apple.com/feeds/business/scim
URI de identificador de acceso: https://appleaccount.apple.com/auth/oauth2/v2/token
URI de autorización: https://appleaccount.apple.com/auth/oauth2/v2/authorize
ID de cliente: 123
Secreto de cliente: 123
Importante: Como todavía no sabes cuáles son el ID de cliente y el secreto de cliente de SCIM, se utiliza 123 a modo de marcador de posición. Reemplazarás estos valores más tarde.
Modo de autenticación: OAuth 2.
Campo de identificador único para los usuarios: consulta la documentación del proveedor de identidad.
Importante: Asegúrate de usar las mismas mayúsculas y minúsculas del identificador.
Acciones de aprovisionamiento compatibles:
Importar nuevos usuarios y actualizar los perfiles.
Insertar nuevos usuarios.
Iniciar la actualización de perfiles.
Guarda los cambios.
Crear la URL de devolución de llamada de autorización
Para que Apple Business Manager obtenga registros de usuarios del proveedor de identidad mediante SCIM, debes crear una URL de devolución de llamada de autorización. Esta URL se basa en el nombre de la app de SCIM que creaste en el proveedor.
Recuerda el nombre de tu app de SCIM. Por ejemplo:
Apple Business Manager: AppleBusinessManagerSCIM
Pega el nombre de la app dentro de la siguiente URL. Por ejemplo:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Guarda la URL de devolución de llamada de autorización.
En la siguiente tarea la pegaremos en Apple Business Manager.
Crear y copiar la información del cliente de SCIM en tu proveedor de identidad
En Apple Business Manager , inicia sesión con un usuario que tenga la función de administrador o gestor de personas.
Selecciona tu nombre en la parte inferior de la barra lateral, luego, Preferencias y, por último, Cuentas de Apple gestionadas .
Selecciona Activar junto a Sincronización personalizada.
Pega la URL de devolución de llamada de autorización de la tarea anterior y selecciona Crear.
Selecciona Aplicación de SCIM y luego Crear.
Abre un nuevo archivo de texto u hoja de cálculo e introduce los siguientes valores de Apple Business Manager:
En el ID de cliente de OIDC, pegue el ID de cliente de SCIM.
En el secreto de cliente de OIDC, pegue el secreto de cliente de SCIM.
Selecciona Copiar junto a ID de cliente y luego pega el ID de cliente en el archivo.
Selecciona Secreto de cliente, decide cuánto tiempo estará activo antes de que caduque (6, 9 o 12 meses) y luego pega el secreto de cliente en el archivo.
Importante: Si eliminas u olvidas el secreto de cliente antes de pegarlo en la app de SCIM del proveedor de identidad, tendrás que crear otro.
Selecciona Aceptar.
Pegar el ID de cliente y el secreto de cliente en la app de SCIM del proveedor de identidad y comprobar la conexión
Vuelve a la sección de aprovisionamiento de la app de SCIM de tu proveedor de identidad y pega los siguientes valores:
ID de cliente de SCIM de Apple Business Manager
Secreto de cliente de SCIM de Apple Business Manager
Guarda los cambios.
Si tu proveedor de identidad permite probar la autenticación mediante una cuenta de administrador del proveedor, puedes hacerlo ahora. Por ejemplo, puede que veas un botón similar a “Autenticar mediante [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM],” o cualquier otro nombre que hayas asignado a la app de SCIM.
Introduce tu nombre y contraseña de administrador del proveedor de identidad y luego introduce el valor de la autenticación de doble factor.
Si aparece información de autorización, léela detenidamente. Si estás de acuerdo, selecciona Continuar.
Si es necesario, puedes activar ahora la autenticación vinculada para este dominio.
Ya has configurado tu proveedor de identidad y Apple Business Manager para sincronizar cambios de atributo específicos de usuarios del proveedor de identidad con Apple Business Manager.