Use a autenticação federada com seu provedor de identidade no Apple Business Manager
No Apple Business Manager, você poderá vincular ao seu provedor de identidade (IdP) usando a autenticação federada para permitir que os usuários iniciem sessão em dispositivos Apple com seus nomes de usuário do IdP (geralmente o endereço de e-mail) e a senha.
Como resultado, seus usuários podem utilizar as credenciais deles do IdP como Contas Apple gerenciadas. Eles podem usar essas credenciais para iniciar sessão no iPhone, iPad ou Mac atribuído e até mesmo no iCloud na web.
Antes de começar
Antes de vincular ao seu IdP, considere o seguinte:
É preciso bloquear e ativar a captura de domínio antes de poder federar. Consulte Bloquear um domínio.
A autenticação federada deverá utilizar o endereço de e-mail do usuário como o nome de usuário. Aliases não são compatíveis.
Para usuários existentes com um endereço de e-mail no domínio federado, a Conta Apple gerenciada deles será alterada automaticamente para corresponder àquele endereço de e-mail.
Configure e verifique o domínio que você deseja usar. Consulte Adicione e verifique um domínio.
As contas de usuário com a função de Administrador ou Gerente de pessoas não podem iniciar sessão usando autenticação federada; eles podem gerenciar somente o processo de federação.
Quando a conexão do IdP tiver expirado, a federação e a sincronização de contas de usuário com o IdP serão interrompidas. É necessário se reconectar ao seu IdP para continuar usando a federação e sincronização.
Para usar somente a autenticação federada, tenha as seguintes informações em mãos:
Método de início de sessão: use o Open ID Connect (OIDC).
Cobertura de acesso: é necessário conceder acesso para
ssf.manageessf.read.Configuração do URL de Shared Signals Framework (SSF): consulte a documentação de seu IdP.
URL de configuração do OpenID: consulte a documentação de seu IdP.
Processo de autenticação federada
Este processo envolve quatro etapas principais:
Adicione e verifique um domínio.
Crie um novo app OIDC ou conexão.
Configure a autenticação federada e teste a autenticação com uma só conta de usuário do IdP.
Ative a autenticação federada.
Etapa 1. Verificar um domínio
Antes de visualizar suas contas de usuário do IdP com o Apple Business Manager, é necessário adicionar e verificar o domínio que deseja usar.
Consulte Adicione e verifique um domínio.
O processo de verificação garante que sua instituição tenha autoridade para modificar os registros de serviço de nomes de domínio (DNS) do seu domínio. Por exemplo, para usar betterbag.com como seu domínio, é preciso adicionar um registro TXT específico ao arquivo de zona do servidor de nomes de domínio dentro de 14 dias corridos após o início do processo de verificação (que começa quando você seleciona o botão Verificar).
Nota: Se estiver tentando federar um domínio que já verificou, mas outra empresa já federou o domínio idêntico, você deve entrar em contato com essa empresa para determinar quem tem autoridade para federar o domínio. Confira: Conflitos de domínio.
Etapa 2: Crie um novo app OIDC ou conexão
Para se conectar ao Apple Business Manager, seu IdP deve ter ou criar um app que contenha ajustes específicos para se vincular ao Apple Business Manager. Como cada IdP tem um método diferente para criar um app e um local onde ajustes específicos são colocados, consulte a documentação do seu IdP sobre concluir esse processo.
Inicie sessão com seu IdP como administrador e faça um dos seguintes:
Localize o app criado pelo IdP. Você pode ignorar várias etapas nessa tarefa.
Navegue para onde você cria um app ou uma conexão.
Crie o app ou a conexão com as seguintes informações:
Apple Business Manager: AppleBusinessManagerOIDC.
Método de início de sessão: Open ID Connect (OIDC).
Tipo de app: app da web.
Tipo de concessão: atualizar token.
URI de redirecionamentos de início de sessão: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Acesso: conceda acesso a contas de usuário específicas.
Cobertura de acesso: é necessário conceder acesso para
ssf.manageessf.read.
Salve as alterações.
É preciso colar certas informações no Apple Business Manager posteriormente nesta página. A próxima tarefa é copiar essas informações em uma planilha ou arquivo de texto.
Abra um novo arquivo de texto ou uma nova planilha e insira os seguintes valores do IdP:
Para o ID do cliente OIDC, cole o ID do cliente OIDC.
Para o segredo do ID do cliente OIDC, cole o segredo do ID do cliente OIDC.
Salve o arquivo em uma localização segura.
Etapa 3: configure a autenticação federada e teste a autenticação com uma só conta de usuário do IdP
A primeira etapa é estabelecer uma relação de confiança entre seu IdP e o Apple Business Manager.
Nota: Após concluir esta etapa, os usuários não poderão criar novas Contas Apple pessoais no domínio que você configurar. Isso pode afetar outros serviços Apple que os usuários acessam. Confira: Transfira serviços da Apple ao federar.
No Apple Business Manager
, inicie sessão com uma conta que tenha a função de Administrador ou Gerente de pessoas.Selecione seu nome na parte inferior da barra lateral, selecione Preferências
, selecione Contas Apple gerenciadas 
e, em seguida, selecione Começar em Início de sessão de usuário e sincronização de diretório”.Selecione Provedor de identidade personalizado e, em seguida, selecione Continuar.
Insira um nome para sua conexão de autenticação federada.
É possível usar até 128 caracteres.
Copie o ID do cliente e os valores do segredo do cliente para o Apple Business Manager do arquivo de texto ou da planilha que você salvou na seção anterior.
Entre em contato com seu IdP para obter URLs para as duas configurações a seguir:
Shared Signals Framework (SSF)
OpenID
Selecione Continuar.
Se todos os valores fornecidos são válidos, será exibida a página de início de sessão de seu IdP. Prossiga para a etapa 8.
Inicie sessão com um nome de usuário de IdP e senha.
Selecione Concluído.
Etapa 4: ativar a autenticação federada
No Apple Business Manager
, inicie sessão com uma conta que tenha a função de Administrador ou Gerente de pessoas.Selecione seu nome na parte inferior da barra lateral, selecione Preferências
e depois Contas Apple gerenciadas .Na seção Domínios, selecione Gerenciar ao lado do domínio que deseja federar e, em seguida, selecione “Ativar Iniciar sessão com seu Provedor de identidade”.
Ativar “Iniciar sessão com seu Provedor de identidade”.
Se necessário, agora você poderá sincronizar contas de usuário ao Apple Business Manager. Consulte Sincronize contas de usuário do seu provedor de identidade.