Összevont hitelesítés használata az identitásszolgáltatónál az Apple Business Managerben
Az Apple Business Managerben összevont hitelesítéssel kapcsolódhat az identitásszolgáltatóhoz (IdP), ha engedélyezni szeretné a felhasználóknak, hogy IdP-felhasználónevükkel (ez általában az e-mail-címük) és -jelszavukkal jelentkezhessenek be az Apple-készülékükre.
Ennek eredményeképpen a felhasználók IdP hitelesítő adataikat felügyelt Apple-fiókként használhatják. Így a hitelesítési adataikkal jelentkezhetnek be a hozzájuk rendelt iPhone-on, iPaden vagy Macen, illetve akár az iCloudba az interneten.
Kezdés előtt
Mielőtt kapcsolódik az IdP-hez, gondolja át a következőket:
Az összevonás előtt zárolnia kell a tartományt, és be kell kapcsolnia a tartományrögzítést. Lásd: Tartomány zárolása.
Összevont hitelesítés esetén a felhasználó e-mail-címét kell használni felhasználónévként. Az aliasok nem támogatottak.
Az összevont tartományban e-mail-címmel rendelkező meglévő felhasználók felügyelt Apple-fiókja automatikusan úgy módosul, hogy megegyezzen az adott e-mail-címmel.
Konfigurálja a használni kívánt tartományt és igazolja annak tulajdonjogát. Lásd: Tartomány hozzáadása és igazolása.
A Rendszergazda vagy Személykezelő szerepkörrel rendelkező felhasználói fiókok nem jelentkezhetnek be összevont hitelesítés használatával; csak kezelni tudják az összevonási folyamatot.
Ha az IdP-kapcsolat lejárt, leáll az összevonás és a felhasználói fiókok szinkronizálása az IdP-vel. Újra csatlakoztatnia kell az IdP-t az összevonás és a szinkronizálás folytatásához.
Ha összevont hitelesítést szeretne használni, vegye figyelembe a következő információkat:
Bejelentkezési módszer: Használja az Open ID Connect (OIDC) lehetőséget.
Hatókör-hozzáférés: Hozzáférést kell adni a következőhöz:
ssf.manageésssf.read.Shared Signals Framework (SSF) konfigurációs URL: Nézze meg az IdP dokumentációjában.
OpenID konfigurációs URL: Nézze meg az IdP dokumentációjában.
Az összevont hitelesítés folyamata
A folyamat négy fő lépésből áll:
Adjon hozzá egy tartományt és igazolja a tulajdonjogát.
Hozzon létre egy új OIDC-alkalmazást vagy -kapcsolatot.
Konfigurálja az összevont hitelesítést, és tesztelje a hitelesítést egyetlen IdP felhasználói fiókkal.
Az összevont hitelesítés bekapcsolása.
1. lépés: Tartomány igazolása
Mielőtt megtekinthetné az IdP felhasználói fiókokat az Apple Business Managerrel, hozzá kell adnia és igazolnia kell a használni kívánt tartományt.
Lásd: Tartomány hozzáadása és igazolása.
Az igazolási folyamat biztosítja, hogy egyedül az Ön szervezete legyen jogosult módosítani a tulajdonában lévő tartomány tartománynév-szolgáltatási (DNS) rekordjait. Ha például a betterbag.com tartománynevet szeretné használni, akkor a tulajdonjog-igazolási folyamat kezdetétől számított 14 naptári napon belül hozzá kellene adnia egy specifikus TXT-rekordot a tartománynév-kiszolgálójának zónafájljához. (A tulajdonjog-igazolási folyamat akkor kezdődik, amikor az Igazolás gombot kiválasztja.)
Megjegyzés: Ha olyan tartományt próbál meg összevonni, amelynek tulajdonjogát már igazolta, de egy másik szervezet már összevonta ugyanazt a tartományt, akkor kapcsolatba kell lépnie az adott szervezettel annak megállapítására, hogy ki jogosult a tartomány összevonására. Lásd: Tartományütközések
2. lépés: Új OIDC-app vagy -kapcsolat létrehozása
Az Apple Business Managerhez való kapcsolódáshoz az IdP-nek rendelkeznie kell egy alkalmazással, vagy létre kell hoznia egyet, amely tartalmaz bizonyos beállításokat az Apple Business Managerhez való csatlakozáshoz. Mivel mindegyik IdP eltérő módszerrel hoz létre appot, és az adott beállítások különböző helyeken vannak, nézze meg az IdP dokumentációjában, hogy hogyan hajtható végre a folyamat.
Jelentkezzen be adminisztrátorként az IdP-be, majd tegye a következők egyikét:
Keresse meg az IdP által létrehozott appot. Előfordulhat, hogy több lépést kihagyhat ebben a műveletsorban.
Lépjen oda, ahol létrehozhat egy appot vagy kapcsolatot.
A következő információk alapján hozza létre az appot vagy a kapcsolatot:
Apple Business Manager: AppleBusinessManagerOIDC.
Bejelentkezési módszer: Open ID Connect (OIDC).
App típusa: Webes app.
Engedélyezési típus: Frissítési token.
Bejelentkezési átirányítási URI: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Hozzáférés: Adott felhasználói fiókok engedélyezése.
Hatókör-hozzáférés: Hozzáférést kell adni a következőhöz:
ssf.manageésssf.read.
Mentse a módosításokat.
Az oldal további részében be kell illesztenie bizonyos információkat az Apple Business Managerbe. A következő feladat az információk szöveges vagy táblázatfájlba való másolása.
Nyisson meg egy új szöveges fájlt vagy táblázatot, majd írja be a következő értékeket az IdP-ből:
Az OIDC kliensazonosító mezőbe illessze be az OIDC kliensazonosítót.
Az OIDC klienstitkoskulcs mezőbe illessze be az OIDC klienstitkoskulcsot.
Mentse a fájlt egy biztonságos helyre.
3. lépés: Konfigurálja az összevont hitelesítést, és tesztelje a hitelesítést egyetlen IdP felhasználói fiókkal
Ez a lépés a bizalmi viszony kiépítését szolgálja az IdP és az Apple Business Manager között.
Megjegyzés: A művelet végrehajtása után a felhasználók nem tudnak létrehozni új személyes Apple-fiókokat az Ön által konfigurált tartományon. Ez hatással lehet más olyan Apple-szolgáltatásokra is, amelyet a felhasználói használnak. Lásd: Apple-szolgáltatások átvitele összevonás használatakor.
Az Apple Business Managerben
jelentkezzen be egy olyan felhasználóval, amely Adminisztrátor vagy Személykezelő jogosultsággal rendelkezik.Válassza ki a saját nevét az oldalsáv alján, ezután válassza ki a Beállítások
, a Felügyelt Apple-fiókok 
, majd a Kezdés elemet a „Felhasználói bejelentkezés és könyvtár-szinkronizálás” szakaszban.Válassza ki az Egyéni identitásszolgáltató elemet, majd a Folytatás gombot.
Adjon nevet az összevont hitelesítésű kapcsolatnak.
Legfeljebb 128 karakteres lehet.
Másolja a kliensazonosító és a klienstitkoskulcs értékeit az Apple Business Managerbe az előző szakaszban mentett szöveges fájlból vagy táblázatból.
Vegye fel a kapcsolatot az IdP-vel, és kérje el a következő két konfiguráció URL-címét:
Shared Signals Framework (SSF)
OpenID
Válassza ki a Folytatás elemet.
Ha mindkét megadott érték érvényes volt, akkor megjelenik az IdP bejelentkezési oldala. Lépjen tovább a 8. lépésre.
Jelentkezzen be egy IdP-s rendszergazdai felhasználónévvel és jelszóval.
Válassza ki a Kész elemet.
4. lépés: Kapcsolja be az összevont hitelesítést
Az Apple Business Managerben
jelentkezzen be egy olyan felhasználóval, amely Adminisztrátor vagy Személykezelő jogosultsággal rendelkezik.Válassza ki a saját nevét az oldalsáv alján, és válassza ki a Beállítások
, majd a Felügyelt Apple ID-k elemet.A Tartományok szakaszban válassza ki a Kezelés elemet az összevonni kívánt tartomány mellett, majd válassza „A Bejelentkezés az identitásszolgáltatója használatával funkció bekapcsolása” elemet.
Kapcsolja be a „Bejelentkezés az identitásszolgáltatója használatával” funkciót.
Szükség esetén most szinkronizálhatja a felhasználói fiókokat az Apple Business Managerbe. Lásd: Felhasználói fiókok szinkronizálása az identitásszolgáltatótól.