Використання обʼєднаної автентифікації за допомогою постачальника ідентифікаційних даних в Apple Business Manager

В Apple Business Manager ви можете підʼєднатися до постачальника ідентифікаційних даних (IdP) завдяки обʼєднаній автентифікації, щоб дозволити користувачам входити в систему пристроїв Apple за допомогою свого імені користувача IdP (зазвичай це адреса електронної пошти користувача) і пароля.

Унаслідок цього користувачі зможуть використовувати свої облікові дані IdP як керовані облікові записи Apple. За допомогою цих облікових даних вони можуть входити в систему призначених їм пристроїв iPhone, iPad або комп’ютерів Mac і навіть в iCloud у браузері.

Перш ніж почати

Перш ніж зв’язатися з постачальником ідентифікаційних даних, врахуйте нижчезазначене.

Перед об’єднанням спершу потрібно заблокувати й ввімкнути запис домену. Див. розділ Блокування доменів.
Об’єднана автентифікація має використовувати адресу електронної пошти користувача як ім’я користувача. Псевдоніми не підтримуються.
Керований обліковий запис Apple наявних користувачів, які мають адресу електронної пошти в об’єднаному домені, автоматично змінюється відповідно до цієї адреси.
Налаштуйте та підтвердьте потрібний домен. Див. розділ Додайте та підтвердьте домен.
Облікові записи користувачів із роллю адміністратора або менеджера з персоналу не можуть входити, використовуючи обʼєднану автентифікацію, а лише керувати процесом обʼєднання.
Коли термін дії звʼязку IdP завершується, обʼєднання й синхронізація облікових записів користувачів з IdP призупиняється. Щоб продовжити користуватися ними, потрібно знову підключитися до постачальника ідентифікаційних даних.

Щоб використовувати обʼєднану автентифікацію, укажіть наведену далі інформацію.

Спосіб входу: виберіть Open ID Connect (OIDC).
Обсяг доступу: доступ необхідно надати до ssf.manage і ssf.read.
URL-адреса конфігурації Shared Signals Framework (SSF): ознайомтеся з документацією свого IdP.
URL-адреса конфігурації OpenID: ознайомтеся з документацією свого IdP.

Процес обʼєднаної автентифікації

Процес складається із чотирьох основних кроків:

Додайте та підтвердьте домен.
Створіть програму або підключення OIDC.
Налаштуйте об’єднану автентифікацію та перевірте її за допомогою одного облікового запису користувача IdP.
Увімкнення обʼєднаної автентифікації.

Крок 1. Перевірка домену

Перш ніж переглянути облікові записи користувачів IdP за допомогою Apple Business Manager, потрібно додати й перевірити домен, який ви хочете використовувати.

Див. розділ Додайте та підтвердьте домен.

Процедура перевірки гарантує, що ваша установа може змінювати записи служби доменних імен (DNS) для вашого домену. Наприклад, якщо як домен потрібно використовувати betterbag.com, вам слід додати відповідний запис TXT у файл зони вашого сервера доменних імен протягом 14 календарних днів від початку процедури перевірки (починається, коли ви натискаєте кнопку «Перевірити»).

Примітка. Якщо ви намагаєтесь обʼєднати домен, для якого ви вже підтвердили право власності, але інша установа вже обʼєднала ідентичний домен, вам потрібно звʼязатися із цією установою, щоб зʼясувати, хто має право обʼєднувати домен. Див. розділ Конфлікти доменів.

Крок 2. Створення нової програми чи підключення OIDC

Щоб підключитися до Apple Business Manager, у вашого IdP має бути програма (або її потрібно створити), яка містить визначені параметри для звʼязку з Apple Business Manager. Оскільки в кожного IdP свій метод створення програми та своє розташування визначених параметрів, ознайомтеся з документацією свого IdP, щоб дізнатися, як завершити цей процес.

Увійдіть у свій IdP як адміністратор, а потім виконайте одну з указаних нижче дій:
- Знайдіть програму, створену вашим постачальником ідентифікаційних даних. Ви можете пропустити кілька кроків у цьому завданні.
- Перейдіть до кроку, де можна створити програму або підключення.
Створіть програму або підключення з наведеною далі інформацією.
- Apple Business Manager: AppleBusinessManagerOIDC.
- Спосіб входу: Open ID Connect (OIDC).
- Тип програми: веб-програма.
- Тип доступу: токен, що оновлюється.
- URI‑переспрямування під час входу в систему: https://gsa-ws.apple.com/grandslam/GsService2/acs.
- Доступ: надання доступу певним обліковим записам користувачів.
- Обсяг доступу: доступ необхідно надати до ssf.manage і ssf.read.
Збережіть зміни.
Згодом інформацію із цієї сторінки треба буде вставити в Apple Business Manager. Далі потрібно скопіювати цю інформацію в текстовий файл або електронну таблицю.
Відкрийте новий текстовий файл або електронну таблицю та введіть туди значення з IdP, указані нижче.
- У поле ідентифікатора клієнта OIDC вставте ідентифікатор клієнта OIDC.
- У поле пароля клієнта OIDC вставте пароль клієнта OIDC.
Збережіть файл у надійному розташуванні.

Крок 3. Налаштування об’єднаної автентифікації та тестова автентифікація за допомогою одного облікового запису користувача IdP

Перший крок — установити надійний зв’язок між вашим IdP та Apple Business Manager.

Примітка. Після виконання цього кроку користувачі не зможуть створювати особисті облікові записи Apple в сконфігурованому вами домені. Це може вплинути на інші служби Apple, до яких користувачі мають доступ. Див. розділ Перенесення сервісів Apple під час обʼєднання.

В Apple Business Manager увійдіть в обліковий запис користувача, що має роль адміністратора або менеджера з персоналу.
У нижній частині бічної панелі виберіть своє ім’я, натисніть «Уподобання» , виберіть Керовані облікові записи Apple , а потім — «Початок роботи» в розділі «Вхід користувача та синхронізація каталогів».
Виберіть «Власний постачальник ідентифікаційних даних», а потім натисніть «Продовжити».
Укажіть імʼя для підключення з обʼєднаною автентифікацією.
Можна використати до 128 символів.
Скопіюйте значення ідентифікатора та пароля клієнта в Apple Business Manager зі збереженого під час попереднього кроку текстового файлу або електронної таблиці.
Зверніться до свого IdP, щоб отримати URL-адреси для двох указаних далі конфігурацій.
- Shared Signals Framework (SSF)
- OpenID
Виберіть «Продовжити».
Якщо всі вказані значення дійсні, відкриється сторінка входу в систему вашого IdP. Перейдіть до кроку 8.
Увійдіть у систему за допомогою імені користувача й пароля облікового запису IdP з правами адміністратора.
Натисніть «Готово».

Крок 4. Увімкнення обʼєднаної автентифікації

В Apple Business Manager увійдіть в обліковий запис користувача, що має роль адміністратора або менеджера з персоналу.
У нижній частині бічної панелі виберіть своє ім’я, натисніть «Уподобання» , а потім — «Керовані облікові записи Apple».
У розділі «Домени» натисніть «Керування» поруч із доменом, який ви хочете об’єднати, а потім виберіть «Увімкнути вхід за допомогою постачальника ідентифікаційних даних».
Увімкніть «Вхід за допомогою постачальника ідентифікаційних даних».
За потреби ви можете синхронізувати облікові записи користувачів з Apple Business Manager. Див. розділ Синхронізація облікових записів користувачів постачальника ідентифікаційних даних.

Дивіться такожСинхронізація облікових записів користувачів постачальника ідентифікаційних даних в Apple Business Manager Відомості про URL-адресу зворотного виклику авторизації в Apple Business Manager Усунення конфліктів синхронізації облікових записів користувачів постачальника ідентифікаційних даних OIDC або SCIM в Apple Business Manager Показ некерованих облікових записів, що використовують домен, в Apple Business Manager

Чи була інформація корисна?

Посібник користувача Apple Business Manager