Synchronizácia používateľských účtov od poskytovateľa identity v Apple Business Manageri
V Apple Business Manageri môžete pomocou systému OIDC (OpenID Connect) synchronizovať používateľské účty od vášho poskytovateľa identity. Pri používaní tohto systému sa zlúčia vlastnosti z Apple Business Managera (napríklad pozície) s údajmi o používateľských účtoch importovanými od vášho poskytovateľa identity. Ak používateľov synchronizujete prostredníctvom systému SCIM, informácie o účtoch sa pridajú v režime len na čítanie a zostanú tak, kým sa neodpojíte. V danom momente sa z účtov stanú manuálne vytvorené účty a atribúty týchto účtov (napríklad používateľské mená) je možné upraviť. Úvodná synchronizácia trvá dlhšie ako následné cykly. Ak chcete zistiť, ako často poskytovateľ identity synchronizuje používateľov do Apple Business Managera, pozrite si jeho dokumentáciu.
Dôležité: Na dokončenie prenosu tokenu k poskytovateľovi identity a úspešné vytvorenie pripojenia máte iba 4 kalendárne dni. Ak to nestihnete, budete musieť začať odznova.
Kým začnete
Pred synchronizáciou s poskytovateľom identity pomocou pripojenia OIDC je potrebné vykonať nasledujúce kroky:
Nakonfigurovať a overiť doménu, ktorú chcete používať. Pozrite si tému Pridanie a overenie domény.
Nakonfigurovať, združiť a povoliť doménu. Pozrite si tému Používanie overenia združenej identity s poskytovateľom identity.
Mať k dispozícii pripraveného správcu poskytovateľa identity, ktorý má oprávnenia na úpravu nastavení.
Pripravte si nasledujúce informácie a potom kontaktujte svojho poskytovateľa identity:
Pole jedinečného identifikátora pre používateľov: Hodnotou tohto atribútu je zvyčajne emailová adresa používateľa. Používa sa na vytvorenie spravovaného Apple účtu používateľa. Môže mať napríklad tvar userName.
Spôsob overenia: SAML 2.0.
Režim overenia: OAuth 2.
URL adresa jednorazového prihlásenia: Pozrite si dokumentáciu poskytovateľa identity.
URL adresa spätného volania autorizácie: Pozrite si dokumentáciu poskytovateľa identity.
Používateľské účty poskytovateľa identity a Apple Business Manager
Keď pomocou systému SCIM skopírujete do Apple Business Managera používateľa od poskytovateľa identity, pridelí sa mu predvolená pozícia Žiak/študent.
Poznámka: Používateľské skupiny od poskytovateľa identity sa s Apple Business Managerom nesynchronizujú. Ak chcete používať rovnaké skupiny, môžete vytvoriť nové skupiny v Apple Business Manageri a pridať do nich používateľov.
Atribút prihlásenia
Apple Business Manager vyžaduje, aby bol atribút použitý pre spravovaný Apple účet jedinečný. Zvyčajne je to emailová adresa používateľa. Ak má používateľ atribút, ktorý sa presne zhoduje s existujúcim používateľom Apple Business Managera s pozíciou administrátora, synchronizácia neprebehne a zdrojové pole sa nezmení.
ID osoby
Keď s Apple Business Managerom synchronizujete používateľský účet od poskytovateľa identity, vytvorí sa pre daný používateľský účet v Apple Business Manageri ID osoby. ID osoby sa používa na rozpoznanie konfliktov používateľských účtov.
Čo je potrebné zvážiť pri úprave ID osoby:
Ak v niektorom používateľskom účte importovanom od poskytovateľa identity upravíte ID osoby, daný používateľský účet už nebude spárovaný s poskytovateľom identity.
Ak v niektorom používateľskom účte importovanom od poskytovateľa identity upravíte ID osoby a chcete účet znova pripojiť, musíte vyriešiť príslušný konflikt.
Prihlásenie k poskytovateľovi identity
Prihláste sa k svojmu poskytovateľovi identity ako správca a vykonajte jednu z nasledujúcich akcií:
Vyhľadajte aplikáciu vytvorenú vaším poskytovateľom identity. Možno budete môcť preskočiť niekoľko krokov v tejto úlohe.
Prejdite do časti, kde môžete vytvoriť aplikáciu alebo pripojenie.
Vytvorte aplikáciu s nasledujúcimi informáciami:
Dôležité: Názov aplikácie SCIM si zapamätajte, pretože ho možno budete potrebovať pre URL adresu spätného volania autorizácie.
Apple Business Manager: Použite názov AppleBusinessManagerSCIM.
Typ aplikácie: Použite SCIM.
Spôsob overenia: Použite SAML 2.0.
URL adresa jednorazového prihlásenia používaná pre príjemcu a cieľ: Pozrite si dokumentáciu poskytovateľa identity.
URI publika: Použite ID entity.
Uložte zmeny.
Konfigurácia nastavení poskytovania aplikácie SCIM
Nájdite sekciu poskytovania vašej aplikácie SCIM poskytovateľa identity a zadajte nasledujúce hodnoty:
Základná adresa konektora SCIM: https://federation.apple.com/feeds/business/scim
URI prístupového tokenu: https://appleaccount.apple.com/auth/oauth2/v2/token
URI autorizácie: https://appleaccount.apple.com/auth/oauth2/v2/authorize
ID klienta: 123
Tajný kľúč klienta: 123
Dôležité: Keďže ešte nepoznáte skutočné ID a tajný kľúč klienta systému SCIM, ako vzorová hodnota sa použije hodnota 123. Tieto hodnoty nahradíte v neskoršej úlohe.
Režim overenia: OAuth 2.
Pole jedinečného identifikátora pre používateľov: Pozrite si dokumentáciu poskytovateľa identity.
Dôležité: Uistite sa, že sa v identifikátore zhodujú veľké a malé písmená.
Podporované akcie poskytovania:
Importujte nových používateľov a aktualizácie profilu.
Odošlite nových používateľov.
Odošlite aktualizácie profilu.
Uložte zmeny.
Vytvorenie URL adresy spätného volania autorizácie
Ak chcete pomocou systému SCIM získať záznamy používateľov od poskytovateľa identity, musíte pre Apple Business Manager vytvoriť URL adresu spätného volania autorizácie. Táto URL adresa spätného volania je založená na názve aplikácie SCIM, ktorú ste vytvorili u poskytovateľa identity.
Zapamätajte si názov aplikácie SCIM. Napríklad:
Apple Business Manager: AppleBusinessManagerSCIM
Vložte názov aplikácie do nasledujúcej URL adresy. Napríklad:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Uložte URL adresu spätného volania autorizácie.
V ďalšej úlohe ju vložíte do Apple Business Managera.
Vytvorenie a skopírovanie informácií o klientovi SCIM do poskytovateľa identity
V Apple Business Manageri sa prihláste ako osoba s pozíciou v administratíve alebo správe osôb.
Vyberte svoje meno v dolnej časti bočného panela, vyberte položku Nastavenia a potom vyberte položku Spravované Apple účty .
Vedľa položky Vlastná synchronizácia vyberte položku Zapnúť.
Vložte URL adresu spätného volania autorizácie z predchádzajúcej úlohy a potom vyberte položku Vytvoriť.
Vyberte aplikáciu SCIM a potom položku Vytvoriť.
Otvorte nový textový súbor alebo tabuľku a zadajte nasledujúce hodnoty z Apple Business Managera:
Ako ID klienta OIDC vložte ID klienta systému SCIM.
Ako tajný kľúč klienta OIDC vložte tajný kľúč klienta systému SCIM.
Vyberte možnosť Kopírovať vedľa položky ID klienta a potom do súboru vložte ID klienta.
Vyberte položku Tajný kľúč klienta, vyberte, ako dlho má byť tajný kľúč aktívny, kým vyprší jeho platnosť (6, 9 alebo 12 mesiacov), a potom tajný kľúč klienta vložte do súboru.
Dôležité: Ak tajný kľúč klienta vymažete alebo zabudnete pred jeho vložením do aplikácie SCIM poskytovateľa identity, budete musieť vytvoriť nový.
Vyberte položku Hotovo.
Vloženie ID a tajného kľúč klienta do aplikácie SCIM poskytovateľa a overenie pripojenia
Vráťte sa do sekcie poskytovania vašej aplikácie SCIM poskytovateľa identity a vložte nasledujúce hodnoty:
ID klienta systému SCIM pre Apple Business Manager
Tajný kľúč klienta systému SCIM pre Apple Business Manager
Uložte zmeny.
Ak vám poskytovateľ identity umožňuje otestovať overenie pomocou účtu správcu poskytovateľa identity, môžete ho teraz otestovať. Môžete mať k dispozícii napríklad tlačidlo Overiť s aplikáciou [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM] (názov aplikácie SCIM sa bude líšiť podľa toho, ako ste ju nazvali).
Zadajte meno a heslo správcu poskytovateľa identity a potom zadajte hodnotu dvojfaktorovej autentifikácie.
Pozorne si prečítajte všetky informácie o autorizácii. Ak súhlasíte, vyberte možnosť Pokračovať.
Ak je to potrebné, môžete teraz pre túto doménu zapnúť overenie združenej identity.
Váš poskytovateľ identity a Apple Business Manager sú teraz nakonfigurovaní na synchronizáciu špecifických zmien atribútov používateľov od poskytovateľa identity do Apple Business Managera.