Introduktion till katalogsynkronisering med Apple Business Manager
Du kan använda OpenID Connect (OIDC) med Apple Business Manager för att synkronisera användarkonton från följande:
Google Workspace
Microsoft Entra ID
Din identitetsleverantör (IdP)
En del IdP:er kan även använda SCIM (System for Cross-domain Identity Management)
Obs! Du kan synkronisera till Google Workspace, Microsoft Entra-ID eller din IdP, men bara en åt gången.
Innan du börjar
Tänk på följande innan du synkroniserar till Google Workspace, Microsoft Entra ID eller din IdP:
Synkronisering av grupper stöds inte.
Krav
Verifiera vid behov en domän manuellt. Se Lägga till och verifiera en domän.
Du måste aktivera federerad autentisering. Se Introduktion till federerad autentisering.
Se till att en administratör med behörighet att redigera Google Workspace, Microsoft Entra ID eller någon annan IdP:s inställningar står i beredskap.
Apple Business Manager kräver att attributet som används för det hanterade Apple‑kontot är unikt. Det är vanligtvis användarens e‑postadress. Om en användare har ett attribut som är exakt detsamma som en befintlig Apple Business Manager-användare med rollen administratör utförs ingen synkronisering och källfältet förblir oförändrat.
När du konfigurerar den ursprungliga anslutningen bör du använda e-postadressen till en användare som har rollen Administratör eller Personansvarig så att hen kan ta emot notiser från Google Workspace, Microsoft Entra ID eller någon annan IdP som du synkroniserar med.
IdP-specifika krav
Vid koppling till Microsoft Entra ID:
Om du vill använda OIDC med Apple Business Manager får din organisation inte ha samma Microsoft Entra ID-klient som någon annan Apple Business Manager-organisation. Om du vill använda OIDC för din organisation kontaktar du den globala Microsoft Entra ID-administratören för att se till att ingen annan organisation använder din Entra ID‑klient för OIDC.
Om ett användarkonto har ett användarhuvudnamn (User Principal Name, UPN) som är exakt samma som ett befintligt användarkonto med rollen Administratör eller Personansvarig utförs ingen synkronisering och källfältet förblir oförändrat.
Ha följande uppgifter till hands vid koppling till en annan IdP än Google Workspace eller Microsoft Entra ID:
Unikt identifierar-fält för användare: Värdet för det här attributet är vanligtvis användarens e‑postadress. Detta används för att skapa användarens hanterade Apple‑konto. Det kan till exempel vara användarnamn.
Autentiseringsmetod: SAML 2.0.
Autentiseringsläge: OAuth 2.
Single Sign-On-URL: Se din identitetsleverantörs dokumentation.
Motringnings-URL för auktorisering: Se din identitetsleverantörs dokumentation.
Automatiska ändringar
Övervakar ändringar i användarkonton och synkroniserar dem automatiskt med Apple Business Manager.
Tar automatiskt bort hanterade Apple‑konton när motsvarande användarkonton tas bort i Google Workspace, Microsoft Entra ID eller din IdP.
När ett användarkonto synkroniseras med Apple Business Manager är standardrollen Personal. När synkroniseringen har slutförts kan endast användarkontoattributet Roller ändras. Attributet lagras tillsammans med användarkontot i Apple Business Manager och skrivs inte tillbaka till Google Workspace, Microsoft Entra ID eller din IdP.
Den synkroniserade kontoinformationen läggs till i skrivskyddat läge tills du avaktiverar synkronisering. Då blir kontona manuella konton och attribut i dem (till exempel användarnamn) kan redigeras.
Obs! Den första synkroniseringen tar längre tid att utföra än kommande cykler. I identitetsleverantörens dokumentation kan du läsa mer om hur ofta användare synkroniseras.
Om person-ID:t
Första gången ett användarkonto synkroniseras med Apple Business Manager via OIDC genereras ett person-ID automatiskt för användarkontot för att identifiera konton med konflikter.
Om du ändrar person-ID:t i Apple Business Manager för ett användarkonto som tidigare synkroniserats, kommer det användarkontot inte längre att vara kopplat till Google Workspace, Microsoft Entra ID eller din IdP. Du måsta lösa person-ID-konflikten om du vill återansluta användarkontot.