ซิงค์บัญชีผู้ใช้จากผู้ให้บริการข้อมูลประจำตัวของคุณใน Apple Business Manager
ใน Apple Business Manager คุณสามารถใช้ OpenID Connect (OIDC) หรือระบบสำหรับการจัดการข้อมูลประจำตัวข้ามโดเมน (SCIM) เพื่อซิงค์บัญชีผู้ใช้จากผู้ให้บริการข้อมูลประจำตัว (IdP) ของคุณได้ เมื่อใช้ระบบนี้ คุณจะผสานคุณสมบัติของ Apple Business Manager (เช่น บทบาท) เข้ากับข้อมูลบัญชีผู้ใช้ที่นำเข้าจาก IdP ของคุณ เมื่อคุณใช้ SCIM ในการซิงค์ผู้ใช้ ข้อมูลบัญชีจะถูกเพิ่มเป็นแบบอ่านอย่างเดียวจนกว่าคุณจะยกเลิกการเชื่อมต่อ ในเวลานั้น บัญชีดังกล่าวจะกลายเป็นบัญชีแบบดำเนินการด้วยตนเองและจะสามารถแก้ไขค่าของคุณลักษณะในบัญชีเหล่านี้ (เช่น ชื่อผู้ใช้) ได้ การซิงค์รอบแรกจะใช้เวลาดำเนินการนานกว่ารอบที่ต่อๆ ไป โปรดศึกษาเอกสารประกอบจาก IdP ของคุณเพื่อดูว่าพวกเขาซิงค์ผู้ใช้กับ Apple Business Manager บ่อยแค่ไหน
สิ่งสำคัญ: คุณมีเวลาเพียงแค่ 4 วันปฏิทินในการถ่ายโอนโทเค็นไปยัง IdP ของคุณ และทำการเชื่อมต่อให้เสร็จสมบูรณ์ มิฉะนั้นคุณจะต้องเริ่มกระบวนการใหม่อีกครั้ง
ก่อนที่คุณจะเริ่ม
ก่อนที่จะซิงค์กับ IdP ของคุณโดยใช้การเชื่อมต่อ OIDC คุณต้องดำเนินการต่อไปนี้
กำหนดค่าและยืนยันโดเมนที่คุณต้องการใช้งาน ดูเพิ่มและยืนยันโดเมน
กำหนดค่า รวมศูนย์ และเปิดใช้งานโดเมน โปรดดู ใช้การรับรองความถูกต้องแบบรวมศูนย์กับผู้ให้บริการข้อมูลประจำตัวของคุณ
มีผู้ดูแลระบบ IdP ของคุณที่มีสิทธิ์แก้ไขการตั้งค่าที่เตรียมพร้อมอยู่
ตรวจสอบให้แน่ใจว่าคุณมีข้อมูลต่อไปนี้ จากนั้นติดต่อ IdP ของคุณ:
ช่องตัวระบุที่ไม่ซ้ำกันสำหรับผู้ใช้: โดยทั่วไป ค่าของคุณลักษณะนี้จะเป็นที่อยู่อีเมลของผู้ใช้ ซึ่งจะใช้เพื่อสร้างบัญชี Apple ที่ได้รับการจัดการของผู้ใช้ ตัวอย่างเช่น อาจเป็น userName
วิธีการรับรองความถูกต้อง: SAML 2.0
โหมดการรับรองความถูกต้อง: OAuth 2
URL การลงชื่อเข้าแบบครั้งเดียว: ศึกษาเอกสารประกอบจาก IdP ของคุณ
URL การเรียกกลับการอนุญาต: ศึกษาเอกสารประกอบจาก IdP ของคุณ
บัญชีผู้ใช้ IdP และ Apple Business Manager
เมื่อมีการคัดลอกผู้ใช้จาก IdP ของคุณไปยัง Apple Business Manager โดยใช้ SCIM บทบาทตามค่าเริ่มต้นจะเป็นเจ้าหน้าที่
หมายเหตุ: กลุ่มผู้ใช้จาก IdP ของคุณจะไม่ซิงค์กับ Apple Business Manager หากคุณต้องการให้มีกลุ่มเหมือนกัน คุณสามารถสร้างกลุ่มใหม่ใน Apple Business Manager และเพิ่มผู้ใช้ลงในกลุ่มได้
คุณลักษณะการลงชื่อเข้า
Apple Business Manager กำหนดให้คุณลักษณะที่ใช้สำหรับบัญชี Apple ที่ได้รับการจัดการต้องไม่ซ้ำกัน ซึ่งโดยทั่วไปจะเป็นที่อยู่อีเมลของผู้ใช้ หากผู้ใช้มีคุณลักษณะที่เหมือนกันทุกประการกับผู้ใช้ Apple Business Manager ที่มีอยู่ ซึ่งมีบทบาทเป็นผู้ดูแลระบบ ระบบจะไม่ซิงค์ข้อมูลและช่องแหล่งที่มาจะไม่มีการเปลี่ยนแปลง
ID บุคคล
เมื่อบัญชีผู้ใช้ IdP ซิงค์กับ Apple Business Manager ระบบจะสร้าง ID บุคคลสำหรับบัญชีผู้ใช้ Apple Business Manager ID บุคคลใช้เพื่อระบุบัญชีผู้ใช้ที่ขัดแย้งกัน
ข้อควรพิจารณาที่สำคัญหากคุณแก้ไข ID บุคคลมีดังนี้
หากคุณแก้ไข ID บุคคลสำหรับบัญชีผู้ใช้ที่ได้นำเข้าจาก IdP ของคุณก่อนหน้านี้ บัญชีนั้นจะไม่จับคู่กับ IdP ของคุณอีกต่อไป
หากคุณแก้ไข ID บุคคลสำหรับบัญชีผู้ใช้ที่ได้นำเข้าจาก IdP ของคุณก่อนหน้านี้และต้องการเชื่อมต่อบัญชีผู้ใช้อีกครั้ง คุณต้องแก้ไขข้อขัดแย้ง
ลงชื่อเข้า IdP
ลงชื่อเข้า IdP ในฐานะผู้ดูแลระบบ แล้วดำเนินการข้อใดข้อหนึ่งดังต่อไปนี้
ค้นหาแอปที่ IdP ของคุณสร้างขึ้น คุณอาจข้ามหลายขั้นตอนในงานนี้ได้
ไปที่ที่คุณสามารถสร้างแอปหรือการเชื่อมต่อได้
สร้างแอปด้วยข้อมูลต่อไปนี้
สิ่งสำคัญ: โปรดจำชื่อแอป SCIM ไว้ เพราะคุณอาจต้องใช้สำหรับ URL การเรียกกลับการอนุญาต
Apple Business Manager: ใช้ AppleBusinessManagerSCIM
ประเภทแอป: ใช้ SCIM
วิธีการรับรองความถูกต้อง: ใช้ SAML 2.0
URL การลงชื่อเข้าแบบครั้งเดียวที่ใช้สำหรับผู้รับและปลายทาง: ศึกษาเอกสารประกอบจาก IdP ของคุณ
URI กลุ่มเป้าหมาย: ใช้ ID เอนทิตี
บันทึกการเปลี่ยนแปลง
กำหนดการตั้งค่าการจัดสรรแอป SCIM
ค้นหาส่วนการจัดสรรของแอป SCIM จาก IdP ของคุณ จากนั้นป้อนค่าต่อไปนี้
URL ฐานของตัวเชื่อมต่อ SCIM: https://federation.apple.com/feeds/business/scim
URI โทเค็นการเข้าถึง: https://appleaccount.apple.com/auth/oauth2/v2/token
URI การอนุญาต: https://appleaccount.apple.com/auth/oauth2/v2/authorize
ID ไคลเอนต์: 123
ข้อมูลลับไคลเอนต์: 123
สิ่งสำคัญ: เนื่องจากคุณยังไม่ทราบ ID ไคลเอนต์ SCIM และข้อมูลลับไคลเอนต์ที่แท้จริง จึงใช้ 123 เป็นตัวยึดตำแหน่ง คุณจะแทนที่ค่าเหล่านี้ในขั้นตอนถัดไป
โหมดการรับรองความถูกต้อง: OAuth 2
ช่องตัวระบุที่ไม่ซ้ำกันสำหรับผู้ใช้: ศึกษาเอกสารประกอบจาก IdP ของคุณ
สิ่งสำคัญ: โปรดระบุตัวพิมพ์ให้ตรงกับตัวระบุ
การดำเนินการจัดสรรที่รองรับ:
นำเข้าผู้ใช้ใหม่และการอัปเดตโปรไฟล์
เพิ่มผู้ใช้ใหม่
อัปเดตโปรไฟล์
บันทึกการเปลี่ยนแปลง
สร้าง URL การเรียกกลับการอนุญาต
คุณต้องสร้าง URL การเรียกกลับการอนุญาตสำหรับ Apple Business Manager เพื่อรับบันทึกผู้ใช้จาก IdP ของคุณโดยใช้ SCIM URL การเรียกกลับนี้อิงตามชื่อของแอป SCIM ที่คุณสร้างใน IdP ของคุณ
โปรดจำชื่อแอป SCIM ของคุณไว้ ตัวอย่างเช่น:
Apple Business Manager: AppleBusinessManagerSCIM
วางชื่อแอปใน URL ต่อไปนี้ ตัวอย่างเช่น:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
บันทึก URL การเรียกกลับการอนุญาต
คุณจะวาง URL ดังกล่าวลงใน Apple Business Manager ในขั้นตอนถัดไป
สร้างและคัดลอกข้อมูลไคลเอนต์ SCIM ไปยัง IdP ของคุณ
ใน Apple Business Manager ให้ลงชื่อเข้าด้วยผู้ใช้ที่มีบทบาทผู้ดูแลระบบหรือผู้จัดการบุคคล
เลือกชื่อของคุณทางด้านล่างของแถบข้าง เลือก "การตั้งค่า" จากนั้นเลือก บัญชี Apple ที่ได้รับการจัดการ
เลือก "เปิดใช้งาน" ถัดจาก "การซิงค์ที่กำหนดเอง"
วาง URL การเรียกกลับการอนุญาตจากขั้นตอนก่อนหน้า จากนั้นเลือก "สร้าง"
เลือกแอปพลิเคชัน SCIM จากนั้นเลือก "สร้าง"
เปิดไฟล์ข้อความหรือสเปรดชีตใหม่ จากนั้นป้อนค่าต่อไปนี้จาก Apple Business Manager:
สำหรับ ID ไคลเอนต์ OIDC ให้วาง ID ไคลเอนต์ SCIM
สำหรับข้อมูลลับไคลเอนต์ OIDC ให้วางข้อมูลลับไคลเอนต์ SCIM
เลือก "คัดลอก" ถัดจาก ID ไคลเอนต์ จากนั้นวาง ID ไคลเอนต์ลงในไฟล์
เลือก "ข้อมูลลับไคลเอนต์" เลือกระยะเวลาที่ข้อมูลลับจะทำงานก่อนที่จะหมดอายุ (6, 9 หรือ 12 เดือน) จากนั้นวางข้อมูลลับไคลเอนต์ลงในไฟล์
สิ่งสำคัญ: หากคุณลบหรือลืมข้อมูลลับไคลเอนต์ก่อนที่จะวางลงในแอป SCIM จาก IdP ของคุณ คุณต้องสร้างข้อมูลลับไคลเอนต์ใหม่
เลือก "เสร็จสิ้น"
วาง ID ไคลเอนต์และข้อมูลลับไคลเอนต์ในแอป SCIM จาก IdP ของคุณ และตรวจสอบยืนยันการเชื่อมต่อ
กลับไปที่ส่วนการจัดสรรของแอป SCIM จาก IdP ของคุณ จากนั้นวางค่าต่อไปนี้
ID ไคลเอนต์ SCIM ของ Apple Business Manager
ข้อมูลไคลเอนต์ SCIM ของ Apple Business Manager
บันทึกการเปลี่ยนแปลง
หาก IdP ของคุณอนุญาตให้คุณทดสอบการรับรองความถูกต้องโดยใช้บัญชีผู้ดูแลระบบ IdP คุณสามารถทดสอบได้เลย ตัวอย่างเช่น อาจมีปุ่ม "รับรองความถูกต้องด้วย [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]" หรือชื่อใดก็ตามที่คุณใช้ตั้งชื่อแอป SCIM ของคุณ
ป้อนชื่อและรหัสผ่านผู้ดูแลระบบ IdP ของคุณ จากนั้นป้อนค่าการตรวจสอบสิทธิ์แบบ 2 ปัจจัย
โปรดอ่านข้อมูลการอนุญาตทุกรายการอย่างรอบคอบ หากคุณยอมรับ ให้เลือก "ดำเนินการต่อ"
หากจำเป็น คุณสามารถเปิดการรับรองความถูกต้องแบบรวมศูนย์สำหรับโดเมนนี้ได้
ขณะนี้ IdP และ Apple Business Manager ของคุณได้รับการกำหนดค่าให้ซิงค์การเปลี่ยนแปลงคุณลักษณะผู้ใช้เฉพาะจาก IdP ของคุณไปยัง Apple Business Manager แล้ว