Đồng bộ hóa tài khoản người dùng từ nhà cung cấp nhận dạng trong Apple Business Manager

Trong Apple Business Manager, bạn có thể dùng OpenID Connect (OIDC) hoặc Hệ thống quản lý nhận dạng miền chéo (SCIM) để đồng bộ hóa tài khoản người dùng từ nhà cung cấp nhận dạng (IdP). Với hệ thống này, bạn có thể hợp nhất các thuộc tính của Apple Business Manager (chẳng hạn như vai trò) với dữ liệu tài khoản người dùng được nhập từ IdP. Khi bạn dùng SCIM để đồng bộ hóa người dùng, thông tin tài khoản sẽ được thêm ở dạng chỉ đọc cho đến khi bạn ngắt kết nối. Khi đó, các tài khoản này sẽ trở thành tài khoản thủ công và bạn có thể sửa các thuộc tính trong đó (chẳng hạn như tên người dùng). Quá trình đồng bộ hóa ban đầu sẽ mất nhiều thời gian hơn các chu trình tiếp theo. Tham khảo tài liệu của IdP để tìm hiểu về tần suất họ đồng bộ hóa người dùng sang Apple Business Manager.

Quan trọng: Bạn chỉ có 4 ngày theo lịch để hoàn thành việc chuyển mã thông báo sang IdP và thiết lập kết nối thành công. Nếu không, bạn sẽ phải bắt đầu lại quy trình.

Trước Khi Bạn Bắt Đầu

Trước khi đồng bộ hóa với IdP qua kết nối OIDC, bạn phải thực hiện những việc sau:

Cấu hình và xác minh tên miền bạn muốn sử dụng. Xem Thêm và xác minh tên miền.
Cấu hình, liên kết và kích hoạt miền. Xem phần Sử dụng tính năng xác thực có liên kết với nhà cung cấp nhận dạng.
Bố trí quản trị viên IdP thường trực có quyền sửa cài đặt.

Đảm bảo bạn có những thông tin sau, rồi liên hệ với IdP:

Trường mã nhận dạng duy nhất cho người dùng: Giá trị của thuộc tính này thường là địa chỉ email của người dùng. Trường này được dùng để tạo Tài khoản Apple được quản lý cho người dùng. Ví dụ: Đó có thể là userName.
Phương thức xác thực: SAML 2.0.
Chế độ xác thực: OAuth 2.
URL đăng nhập một lần: Tham khảo tài liệu của IdP.
URL gọi lại ủy quyền: Tham khảo tài liệu của IdP.

Tài khoản người dùng IdP và Apple Business Manager

Khi bạn sao chép một người dùng từ IdP sang Apple Business Manager bằng SCIM, vai trò mặc định sẽ là Nhân viên.

Ghi chú: Nhóm người dùng từ IdP sẽ không được đồng bộ hóa sang Apple Business Manager. Nếu muốn có các nhóm giống như vậy thì bạn có thể tạo nhóm mới trong Apple Business Manager và thêm người dùng vào đó.

Thuộc tính đăng nhập

Apple Business Manager yêu cầu thuộc tính dùng cho Tài khoản Apple được quản lý phải là duy nhất. Đây thường là địa chỉ email của người dùng. Nếu một người dùng có thuộc tính giống hệt thuộc tính của người dùng hiện giữ vai trò Quản trị viên trong Apple Business Manager thì quy trình đồng bộ hóa sẽ không diễn ra và trường nguồn không thay đổi.

ID Cá nhân

Khi bạn đồng bộ hóa tài khoản người dùng IdP sang Apple Business Manager, một ID cá nhân sẽ được tạo cho tài khoản người dùng Apple Business Manager. ID cá nhân được dùng để xác định tài khoản người dùng xung đột.

Lưu ý quan trọng khi sửa đổi ID cá nhân:

Nếu bạn sửa đổi ID cá nhân cho tài khoản người dùng được nhập từ IdP, thì tài khoản người dùng đó sẽ không được liên kết với IdP nữa.
Nếu bạn sửa đổi ID cá nhân cho tài khoản người dùng được nhập từ IdP và muốn kết nối lại tài khoản người dùng đó thì bạn cần phải giải quyết xung đột.

Đăng nhập vào IdP

Đăng nhập vào IdP với tư cách quản trị viên, sau đó thực hiện một trong những thao tác sau:
- Xác định ứng dụng do IdP của bạn tạo. Bạn có thể bỏ qua một vài bước khi thực hiện việc này.
- Chuyển đến nơi bạn có thể tạo ứng dụng hoặc kết nối.
Tạo ứng dụng bằng thông tin sau:
Quan trọng: Hãy nhớ tên của ứng dụng SCIM vì bạn có thể cần tên đó cho URL gọi lại ủy quyền.
- Apple Business Manager: Sử dụng AppleBusinessManagerSCIM.
- Loại ứng dụng: Sử dụng SCIM.
- Phương thức xác thực: Sử dụng SAML 2.0.
- URL đăng nhập một lần dùng cho người nhận và điểm đến: Tham khảo tài liệu của IdP.
- URI đối tượng: Sử dụng ID thực thể.
Lưu thay đổi.

Cấu hình cài đặt cấp quyền ứng dụng SCIM

Tìm phần cấp quyền của ứng dụng IdP SCIM, rồi nhập các giá trị sau:
- URL cơ sở của trình kết nối SCIM: https://federation.apple.com/feeds/business/scim
- URI mã thông báo truy cập: https://appleaccount.apple.com/auth/oauth2/v2/token
- URI ủy quyền: https://appleaccount.apple.com/auth/oauth2/v2/authorize
- ID ứng dụng khách: 123
- Mã bí mật ứng dụng khách: 123
  Quan trọng: Vì bạn chưa biết ID ứng dụng khách SCIM và Mã bí mật ứng dụng khách thực tế nên 123 sẽ được dùng làm phần giữ chỗ. Bạn sẽ thay thế các giá trị này trong tác vụ sau.
- Chế độ xác thực: OAuth 2.
- Trường mã nhận dạng duy nhất cho người dùng: Tham khảo tài liệu của IdP.
  Quan trọng: Đảm bảo bạn viết hoa giống với mã định danh.
- Các hành động cấp quyền được hỗ trợ:
  - Nhập thông tin cập nhật hồ sơ và người dùng mới.
  - Đẩy người dùng mới.
  - Đẩy thông tin cập nhật hồ sơ.
Lưu thay đổi.

Tạo URL gọi lại ủy quyền

Bạn phải tạo URL gọi lại được ủy quyền cho Apple Business Manager để nhận bản ghi người dùng từ IdP bằng SCIM. URL gọi lại này phụ thuộc vào tên của ứng dụng SCIM mà bạn đã tạo trong IdP.

Hãy nhớ tên cho ứng dụng SCIM của bạn. Ví dụ:
- Apple Business Manager: AppleBusinessManagerSCIM
Dán tên ứng dụng vào URL sau. Ví dụ:
- https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Lưu URL gọi lại ủy quyền.
Bạn sẽ dán URL đó vào Apple Business Manager trong tác vụ tiếp theo.

Tạo và sao chép thông tin ứng dụng khách SCIM vào IdP

Trong Apple Business Manager , đăng nhập bằng người dùng có vai trò Quản Trị Viên hoặc Quản Lý Người Dùng.
Chọn tên của bạn ở cuối thanh bên, chọn Tùy chọn hệ thống , sau đó chọn Tài khoản Apple được quản lý .
Chọn Kích hoạt bên cạnh Đồng bộ hóa tùy chỉnh.
Dán URL gọi lại ủy quyền đã tạo ở tác vụ trước, rồi chọn Tạo.
Chọn Ứng dụng SCIM, rồi chọn Tạo.
Mở một tệp văn bản hoặc bảng tính mới, rồi nhập các giá trị sau từ Apple Business Manager:
- Đối với ID ứng dụng khách OIDC, hãy dán ID ứng dụng khách SCIM.
- Đối với mã bí mật ứng dụng khách OIDC, hãy dán mã bí mật ứng dụng khách SCIM.
Chọn Sao chép bên cạnh ID ứng dụng khách, rồi dán ID ứng dụng khách vào tệp.
Chọn Mã bí mật ứng dụng khách, chọn khoảng thời gian mã bí mật có hiệu lực trước khi hết hạn (6, 9 hoặc 12 tháng), rồi dán mã bí mật ứng dụng khách vào tệp.
Quan trọng: Nếu xóa hoặc quên mã bí mật ứng dụng khách trước khi dán vào ứng dụng IdP SCIM thì bạn phải tạo một mã bí mật ứng dụng khách mới.
Chọn Xong.

Dán ID ứng dụng khách và mã bí mật ứng dụng khách vào ứng dụng IdP SCIM, rồi xác minh kết nối

Quay lại phần cấp quyền của ứng dụng IdP SCIM, rồi dán các giá trị sau:
- ID ứng dụng khách SCIM cho Apple Business Manager
- Mã bí mật ứng dụng khách SCIM cho Apple Business Manager
Lưu thay đổi.
Nếu IdP cho phép bạn kiểm thử xác thực bằng tài khoản quản trị viên IdP thì bạn có thể làm việc đó vào lúc này. Ví dụ: Có thể có nút “Xác thực bằng [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]” hoặc bất cứ tên nào bạn đặt cho ứng dụng SCIM của mình.
Nhập tên và mật khẩu quản trị viên IdP, rồi nhập giá trị xác thực hai yếu tố.
Đọc kỹ mọi thông tin ủy quyền. Nếu bạn đồng ý, hãy chọn Tiếp tục.
Nếu cần thiết, bạn có thể bật tính năng xác thực có liên kết cho tên miền vào lúc này.

IdP và Apple Business Manager của bạn hiện được cấu hình để đồng bộ hóa một số thay đổi về thuộc tính người dùng từ IdP sang Apple Business Manager.

Xem thêmSử dụng tính năng xác thực có liên kết với nhà cung cấp nhận dạng trong Apple Business Manager Giới thiệu về URL gọi lại ủy quyền trong Apple Business Manager Giải quyết xung đột khi đồng bộ hóa tài khoản người dùng Microsoft Entra ID OIDC trong Apple Business Manager

Có ích?

Hướng Dẫn Sử Dụng Apple Business Manager