Usare l’autenticazione con account associato con il proprio Identity provider in Apple Business Manager
In Apple Business Manager, puoi collegare Google Workspace con l'autenticazione con account associato per consentire agli utenti di accedere ai dispositivi Apple usando il nome utente (generalmente l'indirizzo email) e la password IdP.
Di conseguenza, gli utenti possono usare le credenziali dell'IdP come Apple Account gestiti. Potranno usare tali credenziali per accedere all’iPhone, all’iPad o al Mac assegnato e perfino ad iCloud sul web.
Prima di iniziare
Prima di collegarti a Google Workspace, considera quanto segue:
Devi bloccare il dominio e attivarne l'acquisizione prima dell'associazione con account. Consulta Bloccare un dominio.
L'autenticazione con account associato deve utilizzare l'indirizzo email dell'utente come nome utente. Gli alias non sono supportati.
Per gli utenti esistenti con un indirizzo email nel dominio associato: il proprio Apple Account gestito viene automaticamente modificato in modo che corrisponda all'indirizzo email.
Configura e verifica il dominio che intendi usare. Consulta Aggiungere e verificare un dominio.
Gli account utente con ruolo di amministrazione o responsabile persone non possono accedere tramite autenticazione con account associato, ma possono unicamente gestire la procedura di associazione.
Una volta scaduta la connessione all'IdP, l'autenticazione con account associato e la sincronizzazione degli account utente con IdP vengono interrotte. Per continuare ad usare l'associazione e la sincronizzazione, occorre riconnettersi all'IdP.
Per l'autenticazione con account associato, tieni presente le seguenti informazioni:
Metodo di accesso: utilizza OpenID Connect (OIDC).
Accesso all’ambito: l'accesso deve essere consentito a
ssf.manage
essf.read
.URL per la configurazione di Shared Signals Framework (SSF): consulta la documentazione del tuo IdP.
URL di configurazione di OpenID: consulta la documentazione del tuo IdP.
Procedura per l'autenticazione con account associato
Questa procedura prevede quattro passaggi principali:
Aggiungere e verificare un dominio.
Creare una nuova app o connessione OIDC.
Configura l'autenticazione con account associato e testa l'autenticazione con un singolo account utente con IdP.
Attivare l’autenticazione con account associato.
Passaggio 1: Verificare un dominio
Prima di visualizzare gli account utente del tuo IdP con Apple Business Manager, devi aggiungere e verificare il dominio che desideri utilizzare.
Consulta Aggiungere e verificare un dominio.
La procedura di verifica assicura che la tua organizzazione sia l’unica ad avere l’autorizzazione a modificare i record DNS (Domain Name Service) per il tuo dominio. Per esempio, per utilizzare betterbagcompany.com come dominio, aggiungi un record TXT specifico al tuo file di zona DNS entro 14 giorni di calendario dall’inizio della procedura di verifica (che si avvia quando selezioni il pulsante Verifica).
Nota: Se cerchi di associare un dominio che hai già verificato, ma un’altra organizzazione ha già associato un dominio identico, devi contattare l’organizzazione per determinare chi ha la facoltà di associare il dominio. Consulta Conflitti del dominio.
Passaggio 2: Creare un’app o una connessione OIDC
Per connettersi ad Apple Business Manager, il tuo IdP deve avere o creare un’app che contenga impostazioni specifiche per il collegamento ad Apple Business Manager. Poiché ogni IdP ha un metodo diverso per creare le app e una posizione specifica per determinate impostazioni, consulta la documentazione del tuo IdP per completare questa procedura.
Accedi al tuo IdP come responsabile amministrazione, poi esegui una delle seguenti operazioni:
Trova l’app creata dal tuo IdP. Potresti riuscire a saltare diversi passaggi in questa attività.
Vai alla posizione in cui puoi creare un’app o una connessione.
Crea l’app o la connessione tenendo presenti le seguenti informazioni:
Apple Business Manager: AppleBusinessManagerOIDC.
Metodo di accesso: OpenID Connect (OIDC).
Tipo di app: app web.
Tipo di concessione: token di aggiornamento.
URI di reindirizzamento per l’accesso: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Accesso: consenti ad account utente specifici.
Accesso all’ambito: l'accesso deve essere consentito a
ssf.manage
essf.read
.
Salva le modifiche.
Più avanti su questa pagina dovrai incollare alcune informazioni in Apple Business Manager. La prossima attività consiste nel copiare tali informazioni in un file di testo o in un foglio di calcolo.
Apri un nuovo file di testo o foglio di calcolo, poi inserisci i seguenti valori dall'IdP:
Per l’ID client OIDC, incolla l’ID client OIDC.
Per il segreto client OIDC, incolla il segreto client OIDC.
Salve il file in una posizione sicura.
Passaggio 3: configura l'autenticazione con account associato e testa l'autenticazione con un singolo account utente IdP
Questo passaggio è finalizzato a stabilire un rapporto attendibile tra il tuo IdP e Apple Business Manager.
Nota: una volta completato questo passaggio, gli utenti non potranno creare nuovi Apple Account personali sul dominio configurato. Ciò potrebbe influire su altri servizi Apple a cui gli utenti accedono. Consulta Trasferire i servizi Apple a un Apple Account gestito.
In Apple Business Manager , accedi con un account con il ruolo di amministrazione o di responsabile persone.
Seleziona il tuo nome nella parte inferiore della barra degli strumenti, seleziona Preferenze , seleziona Apple Account gestiti , quindi seleziona Inizia in "Accesso utente e sincronizzazione directory".
Seleziona Identity provider personalizzato, poi Continua.
Inserisci un nome per la connessione dell’autenticazione con account associato.
Puoi utilizzare fino a 128 caratteri.
Copia i valori dell’ID client e del segreto client in Apple Business Manager dal file di testo o dal foglio di calcolo che avevi salvato nella sezione precedente.
Contatta il tuo IdP per ottenere gli URL per le due configurazioni seguenti:
Shared Signals Framework (SSF)
OpenID
Seleziona Continua.
Se tutti i valori che hai inserito sono validi, arriverai alla pagina di accesso del tuo IdP. Vai al passaggio 8.
Accedi con il nome utente e la password dell'amministratore IdP.
Seleziona Fine.
Passaggio 4: attiva l'autenticazione con account associato
In Apple Business Manager , accedi con un account con il ruolo di amministrazione o di responsabile persone.
Seleziona il tuo nome nella parte inferiore della barra laterale, seleziona Preferenze , quindi Apple Account gestiti .
Nella sezione Domini, seleziona Gestisci accanto al dominio che vuoi associare, poi seleziona "Attiva Accedi con Identity provider".
Attiva "Accedi con Identity provider".
Se necessario, ora puoi sincronizzare gli account utente a Apple Business Manager. Consulta Sincronizzare gli account utente dal proprio Identity provider.