Apple Business ManagerでIDプロバイダとのFederated Authenticationを使用する
Apple Business Managerで、Federated Authenticationを使用してIDプロバイダ(IdP)をリンクすると、ユーザはIdPのユーザ名(通常はメールアドレス)とパスワードでAppleデバイスにサインインできるようになります。
これによりユーザは、IdPの認証情報を管理対象Apple Accountとして利用できます。ユーザはその後、それらの認証情報を使用して、割り当て済みのiPhone、iPad、Mac、さらにWeb上のiCloudにサインインすることができます。
開始する前に
IdPにリンクする前に、以下を検討してください。
連携する前に、ドメインをロックして、ドメインキャプチャをオンにする必要があります。「ドメインをロックする」を参照してください。
Federated Authenticationでは、ユーザのメールアドレスをユーザ名として使用する必要があります。エイリアスはサポートされていません。
連携されたドメインにメールアドレスがある既存のユーザの場合、そのメールアドレスと一致するように管理対象Apple Accountが自動的に変更されます。
使用するドメインを構成し、確認する。「ドメインを追加し、確認する」を参照してください。
管理者またはユーザマネージャの役割を持つユーザアカウントは、Federated Authenticationを使用してサインインできません。これらの役割では、連携プロセスの管理のみが可能です。
IdPの接続が期限切れになると、ユーザアカウントとIdPの連携と同期が停止します。連携と同期を引き続き使用するには、IdPに再接続する必要があります。
Federated Authenticationを使用する場合は、以下の情報が必要です。
サインイン方法:OpenID Connect(OIDC)を使用します。
スコープアクセス:アクセスを
ssf.manageおよびssf.read。Shared Signals Framework(SSF)構成用のURL:IdPのマニュアルを参照してください。
OpenID構成用のURL:IdPのマニュアルを参照してください。
Federated Authenticationプロセス
このプロセスは、主に次の4つの手順で構成されます。
ドメインを追加し、確認する。
新しいOIDCアプリ(接続)を作成する。
Federated Authenticationを設定し、1つのIdPユーザアカウントで認証テストを実行する。
Federated Authenticationを有効にする。
手順1:ドメインを確認する
Apple Business ManagerでIdPユーザアカウントを表示するには、使用するドメインを追加して確認する必要があります。
「ドメインを追加し、確認する」を参照してください。
確認プロセスにより、所属する組織が自分のドメインのドメイン・ネーム・サービス(DNS)レコードを変更する権限を持っていることを確認できます。たとえば、betterbag.comを自分のドメインとして使用するには、確認プロセスの開始時(「確認」ボタンを選択した時)から14暦日以内に特定のTXTレコードをドメイン・ネーム・サーバのゾーンファイルに追加します。
注記: 連携しようとしている確認済みのドメインが、他の組織によってすでに連携されている場合は、その組織と連絡を取り、ドメインを連携する権限がどちらにあるのかを判断する必要があります。「ドメインの競合」を参照してください。
手順2:新しいOIDCアプリ(接続)を作成する
Apple Business Managerに接続するには、Apple Business Managerにリンクするための特定の設定が含まれたアプリがIdPに用意されている必要があります。用意されていない場合は、アプリを作成します。アプリの作成方法や特定の設定がある場所はIdPごとに異なるため、IdPのマニュアルでこのプロセスの実行方法を確認してください。
管理者としてIdPにサインインし、以下のいずれかの操作を実行します。
IdPによって作成されたアプリを選択します。この操作では、いくつかの手順を省略できる場合もあります。
アプリを作成できる場所または接続を確立できる場所に移動します。
以下の情報を使用してアプリ(接続)を作成します。
Apple Business Manager:AppleBusinessManagerOIDC。
サインイン方法:OpenID Connect(OIDC)。
アプリのタイプ:Webアプリ。
グラントタイプ:リフレッシュトークン。
サインインのリダイレクトURI:https://gsa-ws.apple.com/grandslam/GsService2/acs.
アクセス:特定のユーザアカウントを許可します。
スコープアクセス:アクセスを
ssf.manageおよびssf.read。
変更内容を保存します。
後ほどこのページで、一部の情報をApple Business Managerにペーストする必要があります。次のタスクは、この情報をテキストファイルまたはスプレッドシートファイルにコピーすることです。
新しいテキストファイルまたはスプレッドシートを開き、IdPから以下の値を取得して入力します。
OIDCクライアントID用に、OIDCクライアントIDをペーストします。
OIDCクライアントシークレット用に、OIDCクライアントシークレットをペーストします。
安全な場所にファイルを保存します。
手順3:Federated Authenticationを設定し、1つのIdPユーザアカウントで認証テストを実行する
ここでは、IdPとApple Business Managerの信頼関係を築きます。
注記: この手順を完了すると、ユーザは、構成したドメイン上で個人用Apple Accountを新たに作成することができなくなります。これは、ユーザがアクセスしているAppleのその他のサービスに影響を与える可能性があります。「連携時にAppleのサービスを移行する」を参照してください。
Apple Business Manager
で、管理者またはユーザマネージャの役割を持つユーザでサインインします。サイドバーの下部にある自分の名前を選択し、「環境設定」
を選択し、「管理対象Apple Account」
を選択して、「ユーザサインインとディレクトリ同期」の下の「今すぐ始める」を選択します。「カスタムIDプロバイダ」を選択し、「続ける」を選択します。
Federated Authentication接続の名前を入力します。
使用できる文字数は最大128文字です。
前のセクションで保存したテキストファイルまたはスプレッドシートにあるクライアントIDとクライアントシークレットの値をコピーして、Apple Business Managerにペーストします。
IdPに問い合わせて、以下の2つを構成するためのURLを取得します:
Shared Signals Framework(SSF)
OpenID
「続ける」を選択します。
入力した値がすべて有効であれば、IdPのログインページが表示されます。手順8に進みます。
IdP管理者のユーザ名とパスワードでサインインします。
「完了」を選択します。
手順4:Federated Authenticationを有効にする
Apple Business Manager
で、管理者またはユーザマネージャの役割を持つユーザでサインインします。サイドバーの下部にある自分の名前を選択し、「環境設定」
を選択して、「管理対象Apple Account」を選択します。「ドメイン」セクションで、連携するドメインの横にある「管理」を選択し、「IDプロバイダでのサインインを有効にする」を選択します。
「IDプロバイダでのサインイン」を有効にします。
必要な場合は、この段階でユーザアカウントをApple Business Managerに同期できます。「IDプロバイダからユーザアカウントを同期する」を参照してください。