Синхронізація облікових записів користувачів постачальника ідентифікаційних даних в Apple Business Manager
В Apple Business Manager можна використовувати OpenID Connect (OIDC) або систему керування міждоменними ідентифікаційними даними (System for Cross-domain Identity Management, SCIM), щоб синхронізувати облікові записи користувачів постачальника ідентифікаційних даних (IdP). Використовуючи цю систему, ви поєднуєте ресурси Apple Business Manager, як‑от ролі, з даними облікового запису користувача, імпортованими з постачальника ідентифікаційних даних (IdP). Коли ви синхронізуєте користувачів за допомогою SCIM, інформація про обліковий запис додається у форматі лише для читання, поки ви не відʼєднаєтеся. Після відʼєднання облікові записи стають обліковими записами, створеними вручну, а їхні атрибути (як-от імʼя користувача) — доступними для редагування. Початкова синхронізація займає більше часу, ніж наступні цикли. Ознайомтеся з документацією свого IdP, щоб дізнатися, як часто користувачі синхронізуються з Apple Business Manager.
Важливо! Для завершення процедури перенесення токена до IdP й установлення з’єднання у вас буде лише 4 календарні дні, або доведеться починати процедуру спочатку.
Перш ніж почати
Перед синхронізацією з постачальником ідентифікаційних даних потрібно виконати наведені далі дії, скориставшись підключенням OIDC.
Налаштуйте та підтвердьте потрібний домен. Див. розділ Додайте та підтвердьте домен.
Налаштуйте, об’єднайте й увімкніть домен. Див. Використання обʼєднаної автентифікації за допомогою постачальника ідентифікаційних даних.
Зателефонуйте адміністратору IdP з дозволами на редагування налаштувань.
Переконайтеся, що у вас є наведена далі інформація, і зверніться до свого IdP.
Поле унікального ідентифікатора для користувачів: зазвичай як значення для цього атрибута використовується адреса електронної пошти користувача. З її допомогою створюється керований обліковий запис Apple користувача. Наприклад, userName.
Спосіб автентифікації: SAML 2.0.
Режим автентифікації: OAuth 2.
URL-адреса єдиного входу: ознайомтеся з документацією свого IdP.
URL-адреса зворотного виклику авторизації: ознайомтеся з документацією свого IdP.
Облікові записи користувачів IdP йApple Business Manager
Якщо обліковий запис користувача копіюється з IdP в Apple Business Manager за допомогою SCIM, стандартно йому призначається роль «Персонал».
Примітка. Групи користувачів з IdP не синхронізуються з Apple Business Manager. Якщо ви хочете використовувати ті самі групи, їх можна створити в Apple Business Manager, а потім додати в них користувачів.
Атрибути входу
В Apple Business Manager необхідно, щоб атрибут, що використовується для керованого облікового запису Apple, був унікальним. Зазвичай це адреса електронної пошти користувача. Якщо атрибут користувача повністю збігається з атрибутом користувача Apple Business Manager, якому присвоєно роль адміністратора, синхронізація не здійснюватиметься, а поле джерела залишиться без змін.
Ідентифікатор особи
Коли обліковий запис користувача IdP синхронізується з Apple Business Manager, для облікового запису користувача Apple Business Manager створюється ідентифікатор особи. Цей ідентифікатор допомагає виявляти облікові записи користувачів, які мають конфлікт.
Нижче наведено важливі моменти, які варто врахувати під час змінення ідентифікатора особи.
Якщо змінити ідентифікатор особи для облікового запису користувача, який імпортовано з постачальника ідентифікаційних даних, він більше не буде повʼязаний із постачальником ідентифікаційних даних.
Якщо ви змінили ідентифікатор особи для облікового запису користувача, який імпортовано з постачальника ідентифікаційних даних, і хочете повторно прив’язати його, спершу потрібно усунути конфлікт.
Вхід в обліковий запис IdP
Увійдіть у свій IdP як адміністратор, а потім виконайте одну з указаних нижче дій:
Знайдіть програму, створену вашим постачальником ідентифікаційних даних. Ви можете пропустити кілька кроків у цьому завданні.
Перейдіть до кроку, де можна створити програму або підключення.
Створіть програму з наведеною далі інформацією.
Важливо! Запамʼятайте назву програми SCIM, оскільки вона може знадобитися для URL-адреси зворотного виклику авторизації.
Apple Business Manager: виберіть AppleBusinessManagerSCIM.
Тип програми: виберіть SCIM.
Спосіб автентифікації: виберіть SAML 2.0.
URL-адреса єдиного входу, що використовується для отримувача й адресата: ознайомтеся з документацією свого IdP.
URL-адреса аудиторії: виберіть ідентифікатор установи.
Збережіть зміни.
Конфігурування параметрів надання доступу програми SCIM
Знайдіть розділ надання доступу програми SCIM свого IdP та введіть указані далі значення.
URL-адреса бази конекторів SCIM: https://federation.apple.com/feeds/business/scim
URL-адреса токена доступу: https://appleaccount.apple.com/auth/oauth2/v2/token
URL-адреса авторизації: https://appleaccount.apple.com/auth/oauth2/v2/authorize
Ідентифікатор клієнта: 123
Пароль клієнта: 123
Важливо! Оскільки у вас іще немає дійсного ідентифікатора та пароля клієнта SCIM, 123 використовується як заповнювач. Ці значення потрібно буде замінити в одному з наступних завдань.
Режим автентифікації: OAuth 2.
Поле унікального ідентифікатора для користувачів: ознайомтеся з документацією свого IdP.
Важливо! Переконайтеся, що регістр ідентифікатора збігається.
Нижче наведено дії з надання доступу, що підтримуються.
Імпортуйте нових користувачів і оновлення профілів.
Синхронізуйте нових користувачів.
Синхронізуйте оновлення профілів.
Збережіть зміни.
Створення URL-адреси зворотного виклику авторизації
Щоб отримувати записи користувачів з IdP за допомогою SCIM, вам потрібно створити URL-адресу зворотного виклику авторизації для Apple Business Manager. За основу цієї URL-адреси береться назва програми SCIM, яку ви створили в IdP.
Запам’ятайте назву програми SCIM. Наприклад:
Apple Business Manager: AppleBusinessManagerSCIM
Вставте назву програми в наведену нижче URL-адресу. Наприклад:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Збережіть URL-адресу зворотного виклику авторизації.
Її потрібно буде вставити в Apple Business Manager в наступному завданні.
Створення та копіювання інформації про клієнт SCIM в IdP
В Apple Business Manager
увійдіть в обліковий запис користувача, що має роль адміністратора або менеджера з персоналу.У нижній частині бічної панелі виберіть своє ім’я, натисніть «Уподобання»
, а потім — «Керовані облікові записи Apple»
.Натисніть «Увімкнути» поруч із функцією «Власна синхронізація».
Вставте URL-адресу зворотного виклику авторизації, скопійовану під час попереднього завдання, і натисніть «Створити».
Виберіть програму SCIM і натисніть «Створити».
Відкрийте новий текстовий файл або електронну таблицю та введіть туди значення з Apple Business Manager, указані нижче.
У поле ідентифікатора клієнта OIDC вставте ідентифікатор клієнта SCIM.
У поле пароля клієнта OIDC вставте пароль клієнта SCIM.
Поруч з ідентифікатором клієнта натисніть «Скопіювати» й вставте ідентифікатор у файл.
Натисніть «Пароль клієнта», виберіть його довжину й термін дії (6, 9 або 12 місяців), а потім вставте пароль клієнта у файл.
Важливо! Якщо ви видалите або забудете пароль клієнта до того, як вставите його в програму SCIM свого IdP, вам потрібно буде створити новий пароль.
Натисніть «Готово».
Вставлення ідентифікатора та пароля клієнта в програму SCIM свого IdP й перевірка підключення
Поверніться в розділ надання доступу програми SCIM свого IdP та вставте вказані далі значення.
Ідентифікатор клієнта Apple Business Manager в SCIM
Пароль клієнта Apple Business Manager в SCIM
Збережіть зміни.
Якщо ваш IdP дає змогу перевірити підключення за допомогою облікового запису адміністратора IdP, ви можете перевірити його зараз. Наприклад, може відображатися кнопка «Перевірити за допомогою [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM]» залежно від того, як ви назвали програму SCIM.
Укажіть імʼя та пароль облікового запису адміністратора IdP, а потім введіть значення двофакторної автентифікації.
Уважно прочитайте інформацію щодо авторизації. Якщо ви погоджуєтеся з нею, натисніть «Продовжити».
За потреби для цього домену тепер можна ввімкнути обʼєднану автентифікацію.
Тепер IdP і Apple School Manager сконфігуровані для синхронізації певних змін атрибутів користувача з вашого IdP до Apple School Manager.