Käyttäjätilien synkronointi henkilöllisyyden tarjoajastasi Apple Business Manageriin
Apple Business Managerissa voit synkronoida käyttäjätilit henkilöllisyyden tarjoajastasi OpenID Connectilla (OIDC) tai System for Cross-domain Identity Managementilla (SCIM). Tällä järjestelmällä yhdistät Apple Business Managerin ominaisuudet (esimerkiksi roolit) käyttäjätilitietoihin, jotka on tuotu henkilöllisyyden tarjoajastasi. Kun synkronoit käyttäjät SCIM:llä, tilitiedot lisätään Vain luku ‑muodossa, kunnes katkaiset yhteyden. Tileistä tulee silloin manuaalisia tilejä, jolloin tilien määritteitä (esimerkiksi käyttäjätunnuksia) voi muokata. Ensimmäinen synkronointi kestää kauemmin kuin sitä seuraavat synkronoinnit. Tarkista henkilöllisyyden tarjoajasi käyttöohjeista, miten usein se synkronoi käyttäjät Apple Business Manageriin.
Tärkeää: Sinulla on vain neljä kalenteripäivää aikaa suorittaa tunnuksen siirto henkilöllisyyden tarjoajaasi ja muodostaa yhteys onnistuneesti. Muussa tapauksessa joudut aloittamaan prosessin alusta.
Ennen aloittamista
Sinun täytyy toimia seuraavasti, ennen kuin synkronoit henkilöllisyyden tarjoajaasi OIDC-yhteydellä:
Määritä ja vahvista domain, jota haluat käyttää. Katso lisätiedot kohdasta Lisää ja vahvista domain.
Määritä, yhdistä ja ota käyttöön domain. Katso lisätietoja kohdasta Yhdistetyn todennuksen käyttö henkilöllisyyden tarjoajan kanssa.
Varmista, että asetusten muokkaamiseen oikeutettu henkilöllisyyden tarjoajasi ylläpitäjä on saatavilla.
Kerää seuraavat tiedot valmiiksi ja ota sitten yhteyttä henkilöllisyyden tarjoajaasi:
Käyttäjien yksilöllinen tunnistekenttä: tämän määritteen arvo on yleensä käyttäjän sähköpostiosoite. Tällä luodaan käyttäjän hallittu Apple-tili. Se voi olla esimerkiksi userName.
Todennustapa: SAML 2.0.
Todennustapa: OAuth 2.
Kertakirjautumisen URL-osoite: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
Todennuksen vastakutsun URL-osoite: tarkista tämä henkilöllisyyden tarjoajan käyttöohjeista.
Henkilöllisyyden tarjoajan käyttäjätilit Apple Business Managerissa
Kun käyttäjä kopioidaan henkilöllisyyden tarjoajastasi SCIM:llä Apple Business Manageriin, oletusrooli on Henkilökunta.
Huomaa: Käyttäjäryhmiä henkilöllisyyden tarjoajastasi ei synkronoida Apple Business Manageriin. Jos haluat samat ryhmät, voit luoda uusia ryhmiä Apple Business Managerissa ja lisätä käyttäjiä niihin.
Kirjautumismäärite
Apple Business Manager edellyttää, että hallitulle Apple-tilille käytetty määrite on yksilöllinen. Tämä on yleensä käyttäjän sähköpostiosoite. Jos käyttäjällä on määrite, joka on täysin sama kuin olemassa oleva Apple Business Managerin käyttäjä, jolla on ylläpitäjän rooli, synkronointia ei tehdä, jolloin lähdekenttä pysyy ennallaan.
Henkilön tunnus
Kun henkilöllisyyden tarjoajan käyttäjätili synkronoidaan Apple Business Manageriin, Apple Business Manager ‑käyttäjätilille luodaan henkilön tunnus. Henkilön tunnuksella tunnistetaan ristiriitaiset tilit.
Tärkeitä huomioitavia seikkoja, jos muokkaat henkilön tunnusta:
Jos muokkaat aiemmin henkilöllisyyden tarjoajastasi tuodun käyttäjätilin henkilön tunnusta, tätä käyttäjätiliä ei enää yhdistetä henkilöllisyyden tarjoajaan.
Jos muokkaat henkilöllisyyden tarjoajastasi aiemmin tuodun käyttäjätilin henkilön tunnusta ja haluat yhdistää tämän käyttäjätilin uudelleen, sinun on ratkaistava ristiriita.
Kirjaudu henkilöllisyyden tarjoajasi palveluun
Kirjaudu henkilöllisyyden tarjoajasi palveluun ylläpitäjänä ja toimi sitten seuraavasti:
Etsi henkilöllisyyden tarjoajasi luoma appi. Voit ehkä ohittaa useita vaiheita tässä tehtävässä.
Siirry paikkaan, jossa voit luoda apin tai yhteyden.
Luo appi seuraavin tiedoin:
Tärkeää: Muista SCIM-apin nimi, sillä tarvitset sitä valtuutuksen vastakutsun URL-osoitteessa.
Apple Business Manager: käytä arvoa AppleBusinessManagerSCIM.
Appityyppi: käytä SCIM:iä.
Todennustapa: käytä SAML 2.0:aa.
Kertakirjautumisen URL-osoite, jota käytetään vastaanottajalle ja kohteelle: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
Yleisön URI: käytä organisaatiotunnusta.
Tallenna muutokset.
SCIM-apin valmisteluasetusten määrittäminen
Etsi henkilöllisyyden tarjoajasi SCIM-apin valmisteluosio ja anna siinä seuraavat arvot:
SCIM-yhdistimen URL-perusosoite: https://federation.apple.com/feeds/business/scim
Käyttöoikeustunnuksen URI: https://appleaccount.apple.com/auth/oauth2/v2/token
Todennuksen URI: https://appleaccount.apple.com/auth/oauth2/v2/authorize
Asiakastunnus: 123
Asiakassalaisuus: 123
Tärkeää: Koska et vielä tiedä todellista SCIM-asiakastunnusta ja ‑asiakassalaisuutta, paikkamerkkinä käytetään arvoa 123. Korvaat nämä arvot myöhemmin.
Todennustapa: OAuth 2.
Käyttäjien yksilöllinen tunnistekenttä: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
Tärkeää: varmista, että tunnisteen kirjainkoko täsmää.
Tuetut valmistelutoiminnot
Tuo uudet käyttäjät ja profiilipäivitykset.
Lähetä uudet käyttäjät.
Lähetä profiilipäivitykset.
Tallenna muutokset.
Valtuutuksen vastakutsun URL-osoitteen luominen
Sinun täytyy luoda Apple Business Managerille valtuutuksen vastakutsun URL-osoite, jotta voit hakea käyttäjätietueita henkilöllisyyden tarjoajastasi SCIM:llä. Tämä vastakutsun URL-osoite perustuu henkilöllisyyden tarjoajapalvelussa luomasi SCIM-apin nimeen.
Muista SCIM-appisi nimi. Hajautusarvo voi olla esimerkiksi:
Apple Business Manager: AppleBusinessManagerSCIM
Sijoita apin nimi seuraavaan URL-osoitteeseen. Hajautusarvo voi olla esimerkiksi:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Tallenna valtuutuksen vastakutsun URL-osoite.
Sijoitat sen Apple Business Manageriin seuraavassa tehtävässä.
SCIM-asiakastietojen luominen ja kopioiminen henkilöllisyyden tarjoajaasi
Kirjaudu Apple Business Managerissa
sisään tilillä, jonka roolina on ylläpitäjä tai henkilöhallinnoija.Valitse nimesi sivupalkin alaosassa, valitse Asetukset
ja valitse sitten Hallitut Apple-tilit 
.Valitse Mukautettu Sync -kohdan vierestä Ota käyttöön.
Sijoita valtuutuksen vastakutsun URL-osoite edellisestä tehtävästä ja valitse sitten Luo.
Valitse SCIM-appi ja valitse sitten Luo.
Avaa uusi tekstitiedosto tai laskentataulukko ja anna sitten seuraavat arvot Apple Business Managerista:
Sijoita OIDC-asiakastunnuksen kohtaan SCIM-asiakastunnus.
Sijoita OIDC-asiakassalaisuuden kohtaan SCIM-asiakassalaisuus.
Valitse Asiakastunnus-kohdan vierestä Kopioi ja sijoita sitten asiakastunnus tiedostoon.
Valitse Asiakkaan salaisuus, valitse salaisuuden voimassaoloaika (6, 9 tai 12 kuukautta) ja sijoita sitten asiakkaan salaisuus tiedostoon.
Tärkeää: jos poistat tai unohdat asiakassalaisuuden ennen sen sijoittamista henkilöllisyyden tarjoajasi SCIM-appiin, sinun täytyy luoda asiakassalaisuus.
Valitse Valmis.
Sijoita asiakastunnus ja asiakassalaisuus henkilöllisyyden tarjoajasi SCIM-apista ja vahvista yhteys
Palaa henkilöllisyyden tarjoajasi SCIM-apin valmisteluosioon ja sijoita siihen seuraavat arvot:
Apple Business Managerin SCIM-asiakastunnus
Apple Business Managerin SCIM-asiakassalaisuus
Tallenna muutokset.
Jos henkilöllisyyden tarjoajasi sallii todennuksen testauksen henkilöllisyyden tarjoajan ylläpitäjätilillä, voit testata sen nyt. Palvelussa saattaa olla esimerkiksi painike, jolla voit todentaa apilla [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM] tai antamasi nimen mukaisella SCIM-apilla.
Anna henkilöllisyyden tarjoajasi ylläpitäjän nimi ja salasana. Anna sitten kaksiosaisen todennuksen arvo.
Lue kaikki valtuutustiedot huolellisesti. Jos hyväksyt, valitse Jatka.
Voit tarvittaessa ottaa nyt käyttöön yhdistetyn todennuksen tälle domainille.
Henkilöllisyyden tarjoajasi ja Apple Business Manager on nyt määritetty synkronoimaan tiettyjen käyttäjämääritteiden muutokset henkilöllisyyden tarjoajastasi Apple Business Manageriin.