Synkroniser brukerkontoer fra identitetsleverandøren din i Apple Business Manager

I Apple Business Manager kan du bruke OIDC (OpenID Connect) eller SCIM (System for Cross-domain Identity Management) for å synkronisere brukerkontoer fra identitetsleverandøren (IdP-en) din. Med dette systemet slår du sammen Apple Business Manager-egenskaper (som roller) med brukerkontodata importert fra IdP-en din. Når du bruker SCIM til å synkronisere brukere, blir kontoinformasjonen lagt til som skrivebeskyttet frem til du kobler fra. På dette tidspunktet blir kontoene manuelle kontoer, og attributtene i disse kontoene (f.eks. brukernavn) kan da redigeres. Den første synkroniseringen tar lengre tid enn påfølgende sykluser. Se dokumentasjonen til IdP-en for å finne ut hvor ofte de synkroniserer brukere med Apple Business Manager.

Viktig: Du har bare 4 kalenderdager på deg til å fullføre tokenoverføringen til IdP-en din og opprette en vellykket tilkobling. Hvis denne fristen utløper, må du starte prosessen på nytt.

Før du starter

Før du synkroniserer til IdP-en din via en OIDC-tilkobling, må du gjøre følgende:

Konfigurer og verifiser domenet du vil bruke. Se Legg til og verifiser et domene.
Konfigurer, foren og aktiver et domene. Se Bruk forent autentisering med identitetsleverandøren din.
Vær på tråden med en IdP-administrator som har tillatelse til å redigere innstillinger.

Sørg for at du har følgende informasjon, og kontakten IdP-en:

Unikt identifikatorfelt for brukere: Verdien av dette attributtet er vanligvis brukerens e-postadresse. Dette brukes til å opprette brukerens administrerte Apple-konto. Det kan for eksempel være userName.
Autentiseringsmetode: SAML 2.0.
Autentiseringsmodus: OAuth 2.
Nettadresse for enkeltpålogging: Se dokumentasjonen til IdP-en din.
Nettadresse for autoriseringstilbakekall: Se dokumentasjonen til IdP-en din.

IdP-brukerkontoer og Apple Business Manager

Når en bruker kopieres fra IdP-en til Apple Business Manager via SCIM, er standardrollen Personale.

Merk: Brukergrupper fra IdP-en din synkroniseres ikke med Apple Business Manager. Hvis du vil ha de samme gruppene, kan du opprette nye grupper i Apple Business Manager og legge til brukere i dem.

Påloggingsattributt

Apple Business Manager krever at attributtet som brukes for den administrerte Apple-kontoen, er unikt. Vanligvis er dette brukerens e-postadresse. Hvis en bruker har et attributt som er identisk med en eksisterende Apple Business Manager-bruker med rollen administrator, utføres det ingen synkronisering, og kildefeltet forblir uendret.

Person-ID

Når en IdP-brukerkonto synkroniseres med Apple Business Manager, opprettes det en person-ID for Apple Business Manager-brukerkontoen. Person-ID-en brukes for å identifisere brukerkontoer med konflikter.

Viktig å tenke på hvis du endrer person-ID-en:

Hvis du endrer person-ID-en for en brukerkonto som tidligere er importert fra IdP-en din, er den aktuelle brukerkontoen ikke sammenkoblet med IdP-en lenger.
Hvis du endrer person-ID-en for en brukerkonto som tidligere er importert fra IdP-en din, og vil koble brukerkontoen til igjen, må du løse konflikten.

Logg på IdP-en din

Logg på IdP-en din som administrator, og gjør ett av følgende:
- Finn appen som er opprettet av IdP-en din. Det kan hende du kan hoppe over flere av trinnene i denne oppgaven.
- Naviger dit hvor du kan opprette en app eller tilkobling.
Opprett appen med følgende informasjon:
Viktig: Husk navnet på SCIM-appen, for det kan hende du trenger det til nettadressen for autoriseringstilbakekall.
- Apple Business Manager: Bruk AppleBusinessManagerSCIM.
- Apptype: Bruk SCIM.
- Autentiseringsmetode: Bruk SAML 2.0.
- Nettadresse for enkeltpålogging brukt for mottager og destinasjon: Se dokumentasjonen til IdP-en din.
- Publikums-URI: Bruk enhets-ID-en.
Lagre endringene.

Konfigurer klargjøringsinnstillingene for SCIM-appen

Finn klargjøringsdelen i SCIM-appen hos IdP-en, og legg inn disse verdiene:
- Grunnadresse for SCIM-kobling: https://federation.apple.com/feeds/business/scim
- URI til tilgangstoken: https://appleaccount.apple.com/auth/oauth2/v2/token
- URI for autorisering: https://appleaccount.apple.com/auth/oauth2/v2/authorize
- Klient-ID: 123
- Klienthemmelighet: 123
  Viktig: Siden du ikke vet den faktiske SCIM-klient-ID-en eller -klienthemmeligheten ennå, bruker du 123 som plassholder. Du skal bytte ut disse verdiene i en senere oppgave.
- Autentiseringsmodus: OAuth 2.
- Unikt identifikatorfelt for brukere: Se dokumentasjonen til IdP-en din.
  Viktig: Pass på store og små bokstaver i identifikatoren.
- Støttede klargjøringshandlinger:
  - Importer nye brukere og profiloppdateringer.
  - Rull ut nye brukere.
  - Rull ut profiloppdateringer.
Lagre endringene.

Opprett nettadressen for autoriseringstilbakekall

Du må opprette en nettadresse for autoriseringstilbakekall, slik at Apple Business Manager kan hente brukeroppføringer fra IdP-en via SCIM. Denne nettadressen for tilbakekall er basert på navnet på SCIM-appen du opprettet hos IdP-en.

Husk navnet på SCIM-appen. For eksempel:
- Apple Business Manager: AppleBusinessManagerSCIM
Lim inn appnavnet inni denne nettadressen. For eksempel:
- https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Lagre nettadressen for autoriseringstilbakekall.
I neste oppgave skal du lime den inn i Apple Business Manager.

Opprett og kopier SCIM-klientinformasjon til IdP-en din

Logg på Apple Business Manager med en bruker som har rollen administrator eller personansvarlig.
Velg navnet ditt nederst i sidepanelet, velg Valg , og velg Administrerte Apple-kontoer .
Velg Aktiver ved siden av Tilpasset synkronisering.
Lim inn nettadressen for autoriseringstilbakekall fra forrige oppgave, og velg Opprett.
Velg SCIM-app, og velg deretter Opprett.
Åpne en ny tekst- eller regnearkfil, og legg inn følgende verdier fra Apple Business Manager:
- For OIDC-klient-ID-en limer du inn SCIM-klient-ID-en.
- For OIDC-klienthemmeligheten limer du inn SCIM-klienthemmeligheten.
Velg Kopier ved siden av Klient-ID, og lim klient-ID-en inn i filen.
Velg Klienthemmelighet, velg hvor lenge hemmeligheten skal være aktiv før den utløper (6, 9 eller 12 måneder), og lim klienthemmeligheten inn i filen.
Viktig: Hvis du sletter eller glemmer klienthemmeligheten før du limer den inn i SCIM-appen hos IdP-en, må du opprette en ny klienthemmelighet.
Velg Ferdig.

Lim klient-ID-en og klienthemmeligheten inn i SCIM-appen hos IdP-en, og bekreft tilkoblingen

Gå tilbake til klargjøringsdelen i SCIM-appen hos IdP-en, og lim inn disse verdiene:
- SCIM-klient-ID for Apple Business Manager
- SCIM-klienthemmelighet for Apple Business Manager
Lagre endringene.
Hvis IdP-en lar deg teste autentiseringen med en IdP-administratorkonto, kan du teste den nå. Det kan for eksempel være en knapp med teksten «Autentiser deg med [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM] eller [AppleBusinessEssentialsSCIM]» eller det du kalte SCIM-appen for.
Legg inn IdP-administratornavnet og -passordet ditt, og legg deretter inn verdien for tofaktorautentisering.
Les eventuell autoriseringsinformasjon nøye. Hvis du er enig, velger du Fortsett.
Om nødvendig kan du nå slå på forent autentisering for dette domenet.

IdP-en og Apple Business Manager er nå konfigurert til å synkronisere spesifikke endringer i brukerattributter fra IdP-en til Apple Business Manager.

Se ogsåBruk forent autentisering med identitetsleverandøren din i Apple Business Manager Om nettadressen for autoriseringstilbakekall i Apple Business Manager Løs OIDC-synkroniseringskonflikter for Microsoft Entra ID-brukerkontoer i Apple Business Manager

Nyttig?

Brukerveiledning for Apple Business Manager