將使用者帳號從你的身分提供者同步至 Apple 商務管理
在 Apple 商務管理中,你可以使用 OpenID Connect (OIDC) 或跨域身分管理系統 (SCIM) 從身分提供者 (IdP) 同步使用者帳號。使用此系統時,你會將 Apple 商務管理屬性 (例如職務) 與從 IdP 輸入的使用者帳號資料合併。使用 SCIM 同步使用者時,帳號資訊會以唯讀形式新增,直到中斷連線為止。屆時,這些帳號會變成手動帳號,並可編輯其屬性 (例如使用者名稱)。執行初始同步所需的時間會比執行後續週期更長。請參閱你的 IdP 文件,瞭解使用者同步至 Apple 商務管理的頻率。
【重要事項】你只有 4 個日曆天可完成將權杖移轉至 IdP 的程序並順利建立連線,否則必須重新開始此流程。
開始之前
使用 OIDC 連線同步至 IdP 之前,請務必執行下列動作:
設定並驗證要使用的網域。請參閱新增並驗證網域。
設定網域、為其建立聯合驗證並加以啟用。請參閱〈使用身分提供者的聯合驗證〉。
讓具備編輯設定權限的 IdP 管理員保持待命。
確保你具備下列資訊,然後聯絡你的 IdP:
使用者的唯一識別碼欄位:此屬性的值通常是使用者的電子郵件地址。這會用來建立使用者的管理式 Apple 帳號。例如,這可能會是 userName。
驗證方式:SAML 2.0。
驗證模式:OAuth 2。
單一登入 URL:參閱你的 IdP 文件。
授權回撥 URL:參閱你的 IdP·文件。
IdP 使用者帳號與 Apple 商務管理
使用 SCIM 將使用者從 IdP 拷貝至 Apple 商務管理時,其預設職務會是「職員」。
【注意】IdP 的使用者群組不會同步至 Apple 商務管理。如果你想要使用相同的群組,可以在 Apple 商務管理中建立新群組,並為這些群組新增使用者。
登入屬性
使用 Apple 商務管理時,管理式 Apple 帳號所用的屬性不得重複。這通常會是使用者的電子郵件地址。如果有使用者的屬性與具備管理員職務的現有 Apple 商務管理使用者完全相同,則不會執行同步,且來源欄位會保持不變。
成員 ID
當 IdP 使用者帳號同步至 Apple 商務管理時,會為 Apple 商務管理使用者帳號建立成員 ID。成員 ID 會用來辨識衝突的使用者帳號。
以下是修改成員 ID 的重要須知:
如果你為先前從 IdP 輸入的使用者帳號修改了成員 ID,該使用者帳號將無法再與 IdP 配對。
如果你為先前從 IdP 輸入的使用者帳號修改了成員 ID,且希望重新連線至該使用者帳號,則必須解決衝突。
登入你的 IdP
作為管理員登入你的 IdP,然後執行下列其中一項操作:
找到你的 IdP 建立的 App。你或許可以在此作業中跳過數個步驟。
瀏覽至你可建立 App 或連線的位置。
利用下列資訊建立 app:
【重要事項】請牢記 SCIM app 的名稱,因為授權回撥 URL 可能會用到。
Apple 商務管理:使用 AppleBusinessManagerSCIM。
App 類型:使用 SCIM。
驗證方式:使用 SAML 2.0。
收件人和目的地所用的單一登入 URL:參閱你的 IdP·文件。
受眾 URI:使用實體 ID。
儲存變更。
配置 SCIM app 佈建設定
找出 IdP SCIM app 的佈建區段,然後輸入下列值:
SCIM 連接器基底 URL:https://federation.apple.com/feeds/business/scim
存取權杖 URI:https://appleaccount.apple.com/auth/oauth2/v2/token
授權 URI:https://appleaccount.apple.com/auth/oauth2/v2/authorize
用戶端 ID:123
用戶端密鑰:123
【重要事項】由於你尚不知道實際的 SCIM 用戶端 ID 和用戶端密鑰,因此請使用 123 作為預留位置。你會在之後的作業中取代這些值。
驗證模式:OAuth 2。
使用者的唯一識別碼欄位:參閱你的 IdP 文件。
【重要事項】請務必與識別碼的大小寫保持一致。
支援的佈建操作:
輸入新使用者和描述檔更新。
推播新使用者。
推播描述檔更新。
儲存變更。
建立授權回撥 URL
你必須為 Apple 商務管理建立授權回撥 URL,才能使用 SCIM 從 IdP 取得使用者記錄。此回撥 URL 會以你在 IdP 中所建立的 SCIM app 名稱為基礎。
請牢記你的 SCIM app 名稱。例如:
Apple 商務管理:AppleBusinessManagerSCIM
將 app 名稱貼入下列 URL。例如:
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
儲存授權回撥 URL。
你須在下一項作業中,將該 URL 貼入 Apple 商務管理。
建立 SCIM 用戶端資訊,並拷貝至 IdP
以具備管理員或成員經理職務的使用者身分登入 Apple 商務管理 。
在側邊欄底部選取你的姓名,接著選取「偏好設定」,然後選取「管理式 Apple 帳號」。
選取「自訂同步」旁的「啟用」。
貼上前一作業中的授權回撥 URL,然後選取「建立」。
選取 SCIM 應用程式,然後選取「建立」。
開啟一個新的文字檔案或試算表,然後輸入下列 Apple 商務管理的值:
在 OIDC 用戶端 ID 的部分,貼上 SCIM 用戶端 ID。
在 OIDC 用戶端密鑰的部分,貼上 SCIM 用戶端密鑰。
選取「用戶端 ID」旁的「拷貝」,然後將成員 ID 貼入檔案。
選取「用戶端密鑰」,再選擇密鑰的有效期 (6、9 或 12 個月),然後將用戶端密鑰貼入檔案。
【重要事項】如果你在將用戶端密鑰貼入 IdP SCIM app 之前,刪除或忘記用戶端密鑰,則必須建立新的用戶端密鑰。
選取「完成」。
將用戶端 ID 和用戶端密鑰貼入 IdP SCIM app,並驗證連線
回到 IdP SCIM app 的佈建區段,然後貼入下列值:
Apple 商務管理 SCIM 用戶端 ID
Apple 商務管理 SCIM 用戶端密鑰
儲存變更。
如果你的 IdP 可讓你使用 IdP 管理員帳號測試驗證,現在即可進行測試。舉例來說,你可能會看到「以 [AppleSchoolManagerSCIM] 進行驗證」、「以 [AppleBusinessManagerSCIM] 進行驗證」、「以 [AppleBusinessEssentialsSCIM] 進行驗證」的按鈕,或任何你為 SCIM app 命名的名稱。
輸入你的 IdP 管理員名稱和密碼,然後輸入雙重驗證的值。
仔細閱讀所有授權資訊。如果同意,請選取「繼續」。
如有需要,你現在即可為此網域開啟聯合驗證。
現在,你已設定完 IdP 和 Apple 商務管理,可將指定的使用者屬性變更從 IdP 同步至 Apple 校務管理。