Synkronisera användarkonton från din identitetsleverantör i Apple Business Manager

I Apple Business Manager kan du använda OpenID Connect (OIDC) eller System for Cross-domain Identity Management (SCIM) för att synkronisera användarkonton från din identitetsleverantör (IdP). Med det här systemet kan du slå samman Apple Business Manager-egenskaper (såsom roller) med användarkontodata som importerats från din IdP. När du använder SCIM för att synkronisera användare läggs kontoinformationen till i skrivskyddat läge tills du kopplar från SCIM. Då blir kontona manuella konton och attribut i dem (till exempel användarnamn) kan redigeras. Den första synkroniseringen tar längre tid att utföra än efterföljande cykler. I identitetsleverantörens dokumentation kan du läsa mer om hur ofta användare synkroniseras med Apple Business Manager.

Viktigt: Du har bara fyra kalenderdagar på dig att slutföra tokenöverföringen till din IdP och etablera en anslutning, annars måste du börja om igen.

Innan du börjar

Innan du synkroniserar till din IdP med en OIDC-anslutning måste du göra detta:

Konfigurera och verifiera domänen du vill använda. Se Lägga till och verifiera en domän.
Konfigurera, federera och aktivera en domän. Se Använda federerad autentisering med din identitetsleverantör.
Se till att en IdP-administratör med behörighet att redigera inställningarna står i beredskap.

Kontrollera att du har följande information och kontakta sedan din IdP:

Unikt identifierar-fält för användare: Värdet för det här attributet är vanligtvis användarens e‑postadress. Det används för att skapa användarens hanterade Apple-konto. Det kan till exempel vara användarnamn.
Autentiseringsmetod: SAML 2.0.
Autentiseringsläge: OAuth 2.
Single Sign-On-URL: Se din identitetsleverantörs dokumentation.
Motringnings-URL för auktorisering: Se din identitetsleverantörs dokumentation.

Identitetsleverantörens användarkonton och Apple Business Manager

När en användare kopieras från din identitetsleverantör via SCIM till Apple Business Manager är standardrollen Personal.

Obs! Användargrupper från din identitetsleverantör synkroniseras inte med Apple Business Manager. Om du vill ha samma grupper kan du skapa nya grupper i Apple Business Manager och lägga till användare i dem.

Inloggningsattribut

Apple Business Manager kräver att attributet som används för det hanterade Apple-kontot är unikt. Det är vanligtvis användarens e-postadress. Om en användare har ett attribut som är exakt detsamma som en befintlig Apple Business Manager-användare med rollen administratör utförs ingen synkronisering och källfältet förblir oförändrat.

Person‑ID

När ett IdP-användarkonto synkroniseras till Apple Business Manager skapas ett Person-ID för Apple Business Manager-användarkontot. Person-ID:t används för att identifiera användarkonton i konflikt.

Viktigt att tänka på om du ändrar Person‑ID:

Om du ändrar Person-ID:t för ett användarkonto som tidigare har importerats från din IdP kommer användarkontot inte längre att parkopplas med din IdP.
Om du ändrar Person-ID:t för ett användarkonto som tidigare har importerats från din IdP och vill återansluta användarkontot måste du lösa konflikten.

Logga in på din identitetsleverantör

Logga in på din identitetsleverantör som administratör och gör sedan något av följande:
- Leta reda på appen som din identitetsleverantör har skapat. Det kan hända att du kan hoppa över flera steg i den här uppgiften.
- Navigera till stället där du kan skap en app eller anslutning.
Skapa appen med följande information:
Viktigt: Kom ihåg namnet på SCIM‑appen. Du kan behöva det för motringnings-URL för auktorisering.
- Apple Business Manager: Använd AppleBusinessManagerSCIM.
- Apptyp: Använd SCIM.
- Autentiseringsmetod: Använd SAML 2.0.
- SSO-webbadress som används för mottagare och destination: Se identitetsleverantörens dokumentation.
- Målgrupps‑URI: Använd Organisations‑ID.
Spara ändringarna.

Konfigurera etableringsinställningarna för SCIM‑appen.

Hitta etableringsavsnittet i identitetsleverantörens SCIM‑app och ange följande värden:
- Bas‑URL för SCIM‑anslutning: https://federation.apple.com/feeds/business/scim
- Åtkomsttoken-URI: https://appleaccount.apple.com/auth/oauth2/v2/token
- Auktoriserings-URI: https://appleaccount.apple.com/auth/oauth2/v2/authorize
- Klient‑ID: 123
- Klienthemlighet: 123
  Viktigt: Eftersom du inte har rätt klient‑ID och klienthemlighet för SCIM än används 123 som platshållare. Du kommer att ersätta dessa värden senare.
- Autentiseringsläge: OAuth 2.
- Unikt identifierar-fält för användare: Se identitetsleverantörens dokumentation.
  Viktigt: Kontrollera att gemener/versaler matchar identifieraren.
- Etableringsåtgärder som stöds:
  - Importera nya användare och profiluppdateringar
  - Distribuera nya användare
  - Distribuera profiluppdateringar
Spara ändringarna

Skapa motringnings‑URL för auktorisering

Du måste skapa en auktoriserad motringnings‑URL för Apple Business Manager för att hämta användarposter från din identitetsleverantör via SCIM. Denna motringnings-URL baseras på namnet på den SCIM-app du skapat i din identitetsleverantör.

Kom ihåg namnet på din SCIM‑app. Till exempel:
- Apple Business Manager: AppleBusinessManagerSCIM
Klistra in appens namn i följande webbadress. Till exempel:
- https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Spara din motringnings‑URL för auktorisering.
Du ska klistra in den i Apple Business Manager i nästa uppgift.

Skapa SCIM‑klientinformation och kopiera in den i din identitetsleverantör

Logga in på Apple Business Manager med ett konto som har rollen administratör eller personansvarig.
Välj ditt namn längst ned i sidofältet, välj Inställningar och välj sedan Hanterade Apple-konton .
Välj Aktivera bredvid Anpassad synkronisering.
Klistra in din motringnings‑URL för auktorisering från den förra uppgiften och välj sedan Skapa.
Välj SCIM‑program och sedan Skapa.
Öppna en ny textfil eller ett nytt kalkylblad och ange sedan följande värden från Apple Business Manager:
- För OIDC‑klientens ID klistrar du in ID:t för SCIM‑klienten.
- För OIDC‑klienthemligheten klistrar du in SCIM‑klienthemligheten.
Välj Kopiera bredvid Klient‑ID och klistra sedan in klient‑ID:t i filen.
Välj Klienthemlighet och välj hur länge hemligheten ska vara aktiv innan den upphör att gälla (6, 9 eller 12 månader). Klistra sedan in klienthemligheten i filen.
Viktigt: Om du raderar eller glömmer klienthemligheten innan du klistrar in den i SCIM‑appen i din identitetsleverantör måste du skapa en ny klienthemlighet.
Välj Klar.

Klistra in klient‑ID:t och klienthemligheten i SCIM‑appen i din identitetsleverantör och verifiera anslutningen

Gå tillbaka till etableringsavsnittet i SCIM‑appen i din identitetsleverantör och klistra sedan in följande värden:
- Apple Business Manager – ID för SCIM‑klient
- Apple Business Manager – SCIM‑klienthemlighet
Spara ändringarna.
Om din identitetsleverantör tillåter att du testar autentiseringen med ett administratörskonto i identitetsleverantören kan du testa nu. Det kan till exempel finnas en knapp som Autentisera med [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM], eller vad du har valt att kalla din SCIM‑app.
Ange administratörsnamnet och lösenordet i din identitetsleverantör och sedan värdet för tvåstegsautentisering.
Läs eventuell auktoriseringsinformation noggrant. Välj Fortsätt om du godkänner.
Du kan vid behov aktivera federerad autentisering för den här domänen.

Din identitetsleverantör och Apple Business Manager har nu konfigurerats för att synkronisera specifika ändringar av användarattribut från identitetsleverantören med Apple Business Manager.

Se ävenAnvända federerad autentisering med din identitetsleverantör i Apple Business Manager Om motringnings-URL för auktorisering i Apple Business Manager Lösa synkroniseringskonflikter för Microsoft Entra-ID OIDC-användarkonton i Apple Business Manager

Var detta till hjälp?

Användarhandbok för Apple Business Manager