Gebruikersaccounts van je identiteitsprovider synchroniseren in Apple Business Manager
In Apple Business Manager kun je OpenID Connect (OIDC) of het System for Cross-domain Identity Management (SCIM) gebruiken om gebruikersaccounts van je identiteitsprovider (IdP) te synchroniseren. Met dit systeem voeg je eigenschappen van Apple Business Manager (zoals rollen) samen met gebruikersaccountgegevens die zijn geïmporteerd uit je IdP. Wanneer je SCIM gebruikt om gebruikers te synchroniseren, worden de accountgegevens als alleen-lezen toegevoegd totdat je de verbinding verbreekt. Op dat moment worden de accounts handmatige accounts en kunnen kenmerken in deze accounts (zoals gebruikersnamen) worden bewerkt. De eerste synchronisatie duurt langer dan de volgende cycli. Raadpleeg de documentatie van je IdP om te weten te komen hoe vaak ze gebruikers synchroniseren met Apple Business Manager.
Belangrijk: Je hebt slechts vier kalenderdagen om het overzetten van de token naar je IdP te voltooien en een geslaagde verbinding tot stand te brengen, anders moet je het hele proces van voren af aan beginnen.
Voordat je aan de slag gaat
Voordat je met behulp van een OIDC-verbinding synchroniseert met je IdP, moet je het volgende doen:
Configureer en verifieer het domein dat je wilt gebruiken. Zie Een domein toevoegen en verifiëren.
Configureer en federeer een domein en schakel dit in. Zie Gefedereerde authenticatie gebruiken met je identiteitsprovider.
Laat een IdP-beheerder met bevoegdheden om instellingen te bewerken op stand-by staan.
Zorg dat je de volgende informatie hebt en neem dan contact op met je IdP:
Veld Unieke identificatie voor gebruikers: de waarde van dit kenmerk is doorgaans het e‑mailadres van de gebruiker. Dit wordt gebruikt om de Beheerde Apple Account van de gebruiker aan te maken. Dit kan bijvoorbeeld userName zijn.
Authenticatiemethode: SAML 2.0.
Authenticatiemodus: OAuth 2.
URL voor Single Sign-On: raadpleeg de documentatie van je IdP.
Autorisatie van callback-URL: raadpleeg de documentatie van je IdP.
IdP-gebruikersaccounts en Apple Business Manager
Wanneer een gebruiker van je IdP via SCIM naar Apple Business Manager wordt gekopieerd, is de standaardrol Medewerker.
Opmerking: Gebruikersgroepen van je IdP worden niet gesynchroniseerd met Apple Business Manager. Als je dezelfde groepen wilt, kun je nieuwe groepen aanmaken in Apple Business Manager en gebruikers hieraan toevoegen.
Inlogkenmerk
Voor Apple Business Manager moet het kenmerk dat wordt gebruikt voor de Beheerde Apple Account uniek zijn. Dit is doorgaans het e‑mailadres van de gebruiker. Als een gebruiker een kenmerk heeft dat precies hetzelfde is als een bestaande Apple Business Manager-gebruiker met de rol beheerder, wordt er geen synchronisatie uitgevoerd en blijft het bronveld ongewijzigd.
Persoons-ID
Wanneer een IdP-gebruikersaccount wordt gesynchroniseerd met Apple Business Manager, wordt er een persoons-ID aangemaakt voor de Apple Business Manager-gebruikersaccount. De persoons-ID wordt gebruikt om conflicterende gebruikersaccounts te identificeren.
Belangrijke overwegingen als je de persoon-ID wijzigt:
Als je de persoons-ID wijzigt voor een gebruikersaccount die eerder uit je IdP is geïmporteerd, wordt die gebruikersaccount niet meer gekoppeld aan de IdP.
Als je de persoons-ID wijzigt voor een gebruikersaccount die eerder uit je IdP is geïmporteerd en je wilt de gebruikersaccount opnieuw verbinden, moet je het conflict oplossen.
Inloggen bij je IdP
Log in als beheerder bij je IdP en voer dan één van de volgende handelingen uit:
Zoek de app die door je IdP is gemaakt. Mogelijk kun je verschillende stappen in deze taak overslaan.
Navigeer naar waar je een app of verbinding kunt maken.
Maak de app met de volgende informatie:
Belangrijk: Onthoud de naam van de SCIM-app. Deze heb je later wellicht nodig voor de autorisatie van callback-URL.
Apple Business Manager: gebruik AppleBusinessManagerSCIM.
App-type: gebruik SCIM.
Authenticatiemethode: gebruik SAML 2.0.
URL voor Single Sign-On voor ontvanger en bestemming: raadpleeg de documentatie van je IdP.
Doelgroep-URI: gebruik identiteits-ID.
Sla de wijzigingen op.
De instellingen voor inrichting van de SCIM-app configureren
Ga naar de sectie met betrekking tot inrichting van je IdP SCIM-app en voer de volgende waarden in:
Basis-URL voor SCIM-connector: https://federation.apple.com/feeds/business/scim
URI voor toegangstoken: https://appleaccount.apple.com/auth/oauth2/v2/token
URI voor autorisatie: https://appleaccount.apple.com/auth/oauth2/v2/authorize
Client ID: 123
Clientgeheim: 123
Belangrijk: Omdat je de werkelijke waarden voor SCIM Client ID en clientgeheim nog niet weet, wordt 123 gebruikt als tijdelijke aanduiding. Deze waarden vervang je tijdens een latere taak.
Authenticatiemodus: OAuth 2.
Veld voor unieke identificatie voor gebruikers: raadpleeg de documentatie van je IdP.
Belangrijk: Zorg ervoor dat de hoofdletters en kleine letters van de identificatie overeenkomen.
Ondersteunde inrichtingsacties:
Importeer nieuwe gebruikers en profielupdates.
Push nieuwe gebruikers.
Push profielupdates.
Sla de wijzigingen op.
De autorisatie van callback-URL aanmaken
Je moet een geautoriseerde callback-URL aanmaken voor Apple Business Manager om gebruikersrecords van je IdP op te halen met SCIM. Deze callback-URL is gebaseerd op de naam van de SCIM-app die je in je IdP hebt gemaakt.
Onthoud de naam voor je SCIM-app. Bijvoorbeeld:
Apple Business Manager: AppleBusinessManagerSCIM
Plak de naam van de app in de volgende URL. Bijvoorbeeld:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Sla autorisatie van callback-URL op.
Je plakt deze in de volgende taak in Apple Business Manager.
SCIM-clientinformatie maken en naar je IdP kopiëren
Log in bij Apple Business Manager als een gebruiker die de rol van beheerder of personenmanager heeft.
Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren' en selecteer beheerde Apple Accounts .
Selecteer 'Schakel in' naast 'Aangepaste synchronisatie'.
Plak hier de autorisatie van callback-URL van de vorige taak en selecteer dan 'Maak aan'.
Selecteer 'SCIM-programma' en vervolgens 'Maak aan'.
Open een nieuw tekstbestand of spreadsheet en voer de volgende waarden uit Apple Business Manager in:
Voor de OIDC-client-ID plak je de SCIM-client-ID.
Voor het OIDC-clientgeheim plak je het SCIM-clientgeheim.
Selecteer 'Kopieer' naast Client ID en plak de client-ID in het bestand.
Selecteer 'Client Secret', kies hoe lang het geheim actief moet zijn voordat het verloopt (6, 9 of 12 maanden) en plak het cliëntgeheim in het bestand.
Belangrijk: Als je het cliëntgeheim verwijdert of vergeet voordat je het in de SCIM-app van je IdP plakt, moet je een nieuw cliëntgeheim aanmaken.
Selecteer 'Gereed'.
De client-ID en het clientgeheim in de SCIM-app van je IdP plakken en de verbinding verifiëren
Ga terug naar de sectie met betrekking tot inrichting van je IdP SCIM-app en plak hier de volgende waarden:
Apple Business Manager SCIM Client ID
Apple Business Manager SCIM-clientgeheim
Sla de wijzigingen op.
Als je IdP je toestaat authenticatie te testen met een IdP-beheerdersaccount, kun je dat nu doen. Zo kan er een knop zijn 'Authenticeer met [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]' of hoe je de SCIM-app ook hebt genoemd.
Voer de naam en het wachtwoord van je IdP-beheerder in en voer vervolgens de waarde voor twee-factor-authenticatie in.
Lees alle autorisatie-informatie zorgvuldig door. Selecteer 'Ga door' als je akkoord gaat.
Indien nodig kun je nu gefedereerde authenticatie voor dit domein inschakelen.
Je IdP en Apple Business Manager zijn nu geconfigureerd voor synchronisatie van specifieke wijzigingen in gebruikersattributen van je IdP naar Apple Business Manager.