Sincronizzare gli account utente dal proprio Identity provider in Apple Business Manager
In Apple Business Manager, puoi utilizzare OpenID Connect (OIDC) o il Sistema per gestione di identità fra domini (SCIM) per sincronizzare gli account utente dal tuo Identity provider (IdP). Utilizzando il sistema, puoi aggiungere le proprietà (come ruoli) di Apple Business Manager con i dati dell'account utente importati dal tuo IdP. Quando sincronizzi gli utenti con SCIM, le informazioni dell’account vengono aggiunte in sola lettura finché non ti disconnetti. A quel punto, gli account diventano manuali e gli attributi all’interno di questi account (come ad esempio i nomi utente) possono essere modificati. La sincronizzazione iniziale richiede più tempo di quelle successive. Per conoscere la frequenza con cui avviene la sincronizzazione degli utenti ad Apple Business Manager, consulta la documentazione del tuo IdP.
Importante: Hai a disposizione solo 4 giorni di calendario per completare il trasferimento del token al tuo IdP e stabilire una connessione; in caso contrario, dovrai iniziare la procedura daccapo.
Prima di iniziare
Prima di sincronizzare con il tuo IdP utilizzando una connessione OIDC, devi:
Configura e verifica il dominio che intendi usare. Consulta Aggiungere e verificare un dominio.
Configura, associa e abilita un dominio. Consulta Usare l'autenticazione con account associato con il proprio Identity provider.
Effettua una chiamata a un amministratore o una amministratrice IdP con l'autorizzazione di modificare le impostazioni.
Assicurati di avere le seguenti informazioni, quindi contatta il tuo IdP:
Campo dell’identificatore univoco per utenti: il valore di questo attributo è generalmente l’indirizzo email dell’utente. Consente di creare l'Apple Account gestito dell'utente. Ad esempio può essere userName.
Metodo di autenticazione: SAML 2.0.
Modalità di autenticazione: OAuth 2.
URL del servizio Single Sign-On: consulta la documentazione del tuo IdP.
URL di richiamo dell’autorizzazione: consulta la documentazione del tuo IdP.
Account utente IdP e Apple Business Manager
Quando singoli utenti vengono copiati dal tuo IdP tramite SCIM su Apple Business Manager, il ruolo predefinito è Membro dello staff.
Nota: i gruppi di utenti del tuo IdP non sono sincronizzati ad Apple Business Manager. Se desideri gli stessi gruppi, puoi creare dei nuovi gruppi in Apple Business Manager a cui aggiungere utenti.
Attributo di accesso
Apple Business Manager richiede che l'attributo utilizzato per l'Apple Account gestito sia univoco. Generalmente si tratta dell’indirizzo email dell’utente. Se un/una utente ha un attributo esattamente uguale a un/una utente esistente di Apple Business Manager con il ruolo di amministrazione, non viene eseguita la sincronizzazione e il campo sorgente rimane invariato.
ID persona
Quando un account utente IdP viene sincronizzato con Apple Business Manager, viene creato un ID persona per l'account utente Apple Business Manager. L'ID persona viene utilizzato per identificare gli account utente in conflitto.
Considerazioni importanti se si modifica l’ID persona:
Se modifichi l'ID persona per un account utente precedentemente importato dal tuo IdP, tale account utente non viene più abbinato a IdP.
Se modifichi l'ID persona per un account precedentemente importato dal tuo IdP e desideri riconnettere l'account, devi risolvere il conflitto.
Accedere al proprio IdP
Accedi al tuo IdP come amministrazione, poi esegui una delle seguenti operazioni:
Trova l’app creata dal tuo IdP. Potresti riuscire a saltare diversi passaggi in questa attività.
Vai alla posizione in cui puoi creare un’app o una connessione.
Crea l’app tenendo presenti le seguenti informazioni:
Importante: Ricordati il nome dell’app SCIM perché ne potresti aver bisogno per l’URL di richiamo dell’autorizzazione.
Apple Business Manager: utilizza AppleBusinessManagerSCIM.
Tipo di app: utilizza SCIM.
Metodo di autenticazione: utilizza SAML 2.0.
URL del servizio Single Sign-On utilizzato per destinatario e destinazione: consulta la documentazione del tuo IdP.
URI del pubblico: utilizza l’ID entità.
Salva le modifiche.
Configurare le impostazioni relative al provisioning dell’app SCIM
Individua la sezione legata al provisioning dell’app SCIM del tuo IdP, poi inserisci i valori seguenti:
URL di base per il connettore SCIM: https://federation.apple.com/feeds/business/scim
URI del token di accesso: https://appleaccount.apple.com/auth/oauth2/v2/token
URI di autorizzazione: https://appleaccount.apple.com/auth/oauth2/v2/authorize
ID client: 123
Segreto client: 123
Importante: poiché non conosci ancora l’ID client e il segreto client SCIM attuali, si utilizza 123 provvisoriamente. Sostituirai questi valori nel corso di un’attività successiva.
Modalità di autenticazione: OAuth 2.
Campo dell’identificatore univoco per utenti: consulta la documentazione del tuo IdP.
Importante: assicurati di rispettare le maiuscole/minuscole quando digiti l’identificatore.
Azioni relative al provisioning supportate:
Importare nuovi utenti e aggiornamenti di profilo.
Inviare nuovi utenti.
Inviare aggiornamenti di profilo.
Salva le modifiche.
Creare l’URL di richiamo dell’autorizzazione
Devi creare un URL di richiamo autorizzato per Apple Business Manager per ottenere i record utente dal tuo IdP tramite SCIM. Questo URL di richiamo si basa sul nome dell’app SCIM che hai creato nel tuo IdP.
Ricordati il nome della tua app SCIM. Per esempio:
Apple Business Manager: AppleBusinessManagerSCIM
Incolla il nome dell’app all'interno del seguente URL. Per esempio:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Salva l’URL di richiamo dell’autorizzazione
Incollalo in Apple Business Manager nella prossima attività.
Creare e copiare le informazioni sul client SCIM nel proprio IdP
In Apple Business Manager , accedi con un account con il ruolo di amministrazione o di responsabile persone.
Seleziona il tuo nome nella parte inferiore della barra laterale, seleziona Preferenze , quindi Apple Account gestiti .
Seleziona Attiva accanto a Sincronizzazione personalizzata.
Incolla l’URL di richiamo dell’autorizzazione dall’attività precedente, poi seleziona Crea.
Seleziona Applicazione SCIM, poi Crea.
Apri un nuovo file di testo o foglio di calcolo, poi inserisci i valori seguenti da Apple Business Manager:
Per l’ID client OIDC, incolla l’ID client SCIM.
Per il segreto client OIDC, incolla il segreto client SCIM.
Seleziona Copia accanto a ID client, poi incolla l’ID client nel file.
Seleziona Segreto client, scegli per quanto tempo il segreto deve restare attivo prima di scadere (6, 9 o 12 mesi), poi incollalo nel file.
Importante: se elimini o dimentichi il segreto client prima di incollarlo nell’app SCIM del tuo IdP, ne devi creare uno nuovo.
Seleziona Fine.
Incollare l’ID client e il segreto client nell’app SCIM del tuo IdP e verificare la connessione
Torna alla sezione legata al provisioning dell’app SCIM del tuo IdP, poi inserisci i valori seguenti:
ID client SCIM di Apple Business Manager
Segreto client SCIM di Apple Business Manager
Salva le modifiche.
Se il tuo IdP ti consente di testare l’autenticazione tramite un account di amministrazione IdP, lo puoi fare adesso. Ad esempio, potrebbe essere un tasto “Autentica con [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]” oppure con qualsiasi altro nome tu abbia dato alla tua app SCIM.
Inserisci il nome di amministrazione e la password del tuo IdP e il valore dell’autenticazione due fattori.
Leggi attentamente tutte le informazioni di autorizzazione. Se le accetti, seleziona Continua.
In caso di necessità, in questo momento puoi attivare l’autenticazione con account associato per questo dominio.
Il tuo IdP e Apple Business Manager sono ora configurati per sincronizzare le modifiche ad attributi utente specifici dal tuo IdP ad Apple Business Manager.