Segerakkan akaun pengguna daripada pembekal identiti anda dalam Apple Business Manager
Dalam Apple Business Manager, anda boleh menggunakan OpenID Connect (OIDC) atau Sistem untuk Pengurusan Identiti Silang domain (SCIM) bagi menyegerakkan akaun pengguna daripada pembekal identiti anda (IdP). Dengan sistem ini, anda menggabungkan ciri Apple Business Manager (seperti peranan) dengan data akaun pengguna yang diimport daripada IdP anda. Apabila anda menggunakan SCIM untuk menyegerakkan pengguna, maklumat akaun akan ditambahkan sebagai baca sahaja sehingga anda memutuskan sambungan. Pada masa itu, akaun menjadi akaun manual dan ciri dalam akaun ini (seperti nama pengguna) kemudiannya boleh diedit. Penyegerakan awal mengambil masa lebih lama untuk dilakukan berbanding dengan kitaran yang berikutnya. Rujuk dokumentasi IdP anda untuk mengetahui tentang kekerapan mereka menyegerakkan pengguna kepada Apple Business Manager.
Penting: Anda hanya mempunyai 4 hari kalendar untuk melengkapkan pemindahan token ke IdP anda dan mewujudkan sambungan yang berjaya atau anda mesti memulakan semula proses ini.
Sebelum anda bermula
Sebelum anda menyegerakkan ke IdP anda menggunakan sambungan OIDC, anda mesti melakukan perkara berikut:
Konfigurasikan dan sahkan domain yang anda ingin gunakan. Lihat Tambah dan sahkan domain.
Mengkonfigurasikan, menyepadukan dan mendayakan domain. Lihat Gunakan pengesahan penyepaduan dengan pembekal identiti anda.
Menghubungi pentadbir IdP yang mempunyai keizinan untuk mengedit seting.
Pastikan anda mempunyai maklumat berikut, kemudian hubungi IdP anda:
Medan pengecam unik untuk pengguna: Nilai atribut ini biasanya ialah alamat e-mel pengguna. Nilai ini digunakan untuk mencipta Akaun Apple Terurus pengguna. Contohnya, nilai ini mungkin userName.
Kaedah pengesahan: SAML 2.0.
Mod pengesahan: OAuth 2.
URL daftar masuk tunggal: Rujuk dokumentasi IdP anda.
URL panggilan balik keizinan: Rujuk dokumentasi IdP anda.
Akaun pengguna IdP dan Apple Business Manager
Apabila pengguna disalin daripada IdP anda menggunakan SCIM kepada Apple Business Manager, peranan lalai ialah Kakitangan.
Nota: Kumpulan pengguna daripada IdP anda tidak disegerakkan kepada Apple Business Manager. Jika anda mahukan kumpulan yang sama, anda boleh mencipta kumpulan baru dalam Apple Business Manager dan menambahkan pengguna kepada kumpulan itu.
Atribut daftar masuk
Apple Business Manager menghendaki atribut yang digunakan untuk Akaun Apple Terurus adalah unik. Atribut ini biasanya alamat e-mel pengguna. Jika pengguna mempunyai atribut yang benar-benar sama dengan pengguna Apple Business Manager sedia ada yang berperanan Pentadbir, penyegerakan tidak akan dijalankan dan medan sumber akan kekal tidak berubah.
ID Individu
Apabila akaun pengguna IdP disegerakkan ke Apple Business Manager, ID Individu akan dicipta untuk akaun pengguna Apple Business Manager tersebut. ID Individu digunakan untuk mengenal pasti akaun pengguna yang berkonflik.
Pertimbangan penting jika anda mengubah suai ID Individu:
Jika anda mengubah suai ID Individu untuk akaun pengguna yang sebelumnya diimport daripada IdP anda, akaun pengguna itu tidak lagi digandingkan dengan IdP.
Jika anda mengubah suai ID Individu untuk akaun pengguna yang sebelumnya diimport daripada IdP anda dan mahu menyambungkan semula akaun pengguna itu, anda mestilah menyelesaikan konflik pengguna.
Daftar masuk ke IdP anda
Daftar masuk ke IdP anda sebagai pentadbir, kemudian lakukan salah satu tindakan berikut:
Cari app yang dicipta oleh IdP anda. Anda mungkin boleh melangkau beberapa langkah dalam tugas ini.
Navigasi ke tempat anda boleh mencipta app atau sambungan.
Cipta app dengan maklumat yang berikut:
Penting: Ingat nama app SCIM kerana anda mungkin memerlukannya untuk URL panggilan balik keizinan.
Apple Business Manager: Gunakan AppleBusinessManagerSCIM.
Jenis app: Gunakan SCIM.
Kaedah pengesahan: Gunakan SAML 2.0.
URL daftar masuk tunggal yang digunakan untuk penerima dan destinasi: Rujuk dokumentasi IdP anda.
URL Khalayak: Gunakan ID Entiti.
Simpan perubahan.
Konfigurasikan seting peruntukan app SCIM
Cari bahagian peruntukan app SCIM IdP anda, kemudian masukkan nilai yang berikut:
URL asas penyambung SCIM: https://federation.apple.com/feeds/business/scim
URI akses token: https://appleaccount.apple.com/auth/oauth2/v2/token
URI Pengesahan: https://appleaccount.apple.com/auth/oauth2/v2/authorize
ID Klien: 123
Rahsia klien: 123
Penting: Oleh sebab anda belum tahu lagi tentang ID Klien SCIM dan rahsia Klien yang sebenar, 123 digunakan sebagai ruang letak. Anda menggantikan nilai ini dalam tugas kemudian.
Mod pengesahan: OAuth 2.
Medan pengecam unik untuk pengguna: Rujuk dokumentasi IdP anda.
Penting: Pastikan anda memadankan huruf pengecam.
Tindakan peruntukan yang disokong:
Import pengguna baru dan kemaskinian profil.
Tekan pengguna baru.
Tekan kemaskinian profil.
Simpan perubahan.
Cipta URL panggilan balik keizinan
Anda mestilah mencipta URL panggilan balik yang diizinkan untuk Apple Business Manager untuk mendapatkan rekod pengguna daripada IdP anda menggunakan SCIM. URL panggilan balik ini berdasarkan nama app SCIM yang dicipta dalam IdP anda.
Ingat nama untuk app SCIM anda. Sebagai contoh:
Apple Business Manager: AppleBusinessManagerSCIM
Tampalkan nama app dalam URL yang berikut. Sebagai contoh:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Simpan URL panggilan balik keizinan.
Anda menampalkannya ke dalam Apple Business Manager dalam tugas seterusnya.
Cipta dan salin maklumat klien SCIM kepada IdP anda
Dalam Apple Business Manager
, daftar masuk dengan pengguna yang mempunyai peranan Pentadbir atau Pengurus Individu.Pilih nama anda di bahagian bawah bar sisi, pilih Keutamaan
, kemudian pilih Akaun Apple Terurus 
.Pilih Aktifkan di sebelah Penyegerakan Tersuai.
Tampalkan dalam URL panggilan balik keizinan daripada tugas sebelumnya, kemudian pilih Cipta.
Pilih Aplikasi SCIM, kemudian pilih Cipta.
Buka fail teks atau hamparan yang baru, kemudian masukkan nilai yang berikut daripada Apple Business Manager:
Untuk ID klien OIDC, tampalkan ID klien SCIM.
Untuk rahsia klien OIDC, tampalkan rahsia klien SCIM.
Pilih Salin di sebelah ID Klien, kemudian tampalkan ID klien dalam fail.
Pilih Rahsia Klien, pilih tempoh masa rahsia perlu aktif sebelum tamat tempoh (6, 9 atau 12 bulan), kemudian tampalkan rahsia klien dalam fail.
Penting: Jika anda memadamkan atau terlupa rahsia klien sebelum anda menampalkannya ke dalam app SCIM IdP anda, anda mestilah mencipta rahsia klien yang baru.
Pilih Selesai.
Tampalkan ID klien dan rahsia klien dalam app SCIM IdP anda dan sahkan sambungan
Kembali ke bahagian peruntukan app SCIM IdP anda, kemudian tampalkan dalam nilai yang berikut:
ID Klien SCIM Apple Business Manager
Rahsia Klien SCIM Apple Business Manager
Simpan perubahan.
Jika IdP anda membenarkan anda menguji pengesahan menggunakan akaun pentadbir IdP, anda boleh mengujinya sekarang. Contohnya, mungkin terdapat butang “Sahkan dengan [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM]” atau sebarang nama yang diberikan untuk app SCIM anda.
Masukkan nama pentadbir IdP dan kata laluan anda, kemudian masukkan nilai pengesahan dua faktor.
Baca sebarang maklumat keizinan dengan teliti. Jika anda bersetuju, pilih Teruskan.
Jika perlu, anda boleh menghidupkan pengesahan penyepaduan untuk domain ini sekarang.
IdP dan Apple Business Manager anda kini dikonfigurasikan untuk menyegerakkan perubahan atribut pengguna tertentu daripada IdP anda kepada Apple Business Manager.