Apple 商务管理中的目录同步简介
在 Apple 商务管理中,可以使用 OpenID Connect (OIDC) 从以下来源同步用户账户:
Google Workspace
Microsoft Entra ID
你的身份提供方 (IdP)
某些 IDP 还可使用跨域身份管理系统 (SCIM)
【注】你可以将账户同步到 Google Workspace、Microsoft Entra ID 或你的 IdP,但每次只能同步到一个平台。
开始操作前
在同步到 Google Workspace、Microsoft Entra ID 或 IdP 之前,请注意以下几点:
不支持同步用户群组。
必备条件
如有必要,请手动验证域。请参阅添加并验证域。
必须开启联合验证。请参阅联合验证简介。
确保有权限的管理员可随时编辑 Google Workspace、Microsoft Entra ID 或其他 IdP 的设置。
Apple 商务管理要求用于管理式 Apple 账户的属性必须是唯一的。这通常是用户的电子邮件地址。如果用户的属性与具有管理员职务的现有 Apple 商务管理用户完全相同,则不会执行同步,并且源字段将保持不变。
配置初始连接时,应使用具有管理员或人员经理职务的用户的电子邮件地址,以便这些用户接收来自 Google Workspace、Microsoft Entra ID 或你所同步的其他 IdP 的通知。
IdP 特定要求
关联 Microsoft Entra ID 时:
要在 Apple 商务管理中使用 OIDC,你的组织就不得与其他 Apple 商务管理组织拥有相同的 Microsoft Entra ID 租户。如果你想为组织使用 OIDC,请联系你的 Microsoft Entra ID 全局管理员,确保没有其他组织使用你的 Entra ID 租户配置 OIDC。
如果用户帐户的用户主体名称 (UPN) 与具有管理员或人员经理职务的现有用户帐户完全相同,则不会执行同步,并且源字段将保持不变。
当关联非 Google Workspace 或 Microsoft Entra ID 的 IdP 时,需提供以下信息:
用户的唯一标识符字段:这个属性的值通常是用户的电子邮件地址。这将用于创建用户的管理式 Apple 账户。例如,可以是 userName。
验证方法:SAML 2.0。
验证模式:OAuth 2。
单点登录 URL:请查阅 IdP 的文档。
授权回拨 URL:请查阅 IdP 的文档。
自动更改
监控用户账户的更改,并自动将这些更改同步到 Apple 商务管理。
当 Google Workspace、Microsoft Entra ID 或你的 IdP 中移除相应用户账户时,系统会自动移除对应的管理式 Apple 账户。
将用户账户同步到 Apple 商务管理时,默认职务是“员工”。同步完成后,只有“职务”用户帐户属性可以编辑。这一属性会与用户账户一起储存在 Apple 商务管理中,且不会写回到 Google Workspace、Microsoft Entra ID 或你的 IdP。
在关闭同步功能前,已添加的同步账户信息均为只读状态。断开连接后,这些帐户将会变为手动帐户,而你便可编辑这些帐户中的属性(例如用户名)了。
【注】第一次完成同步所需的时间要比后续周期的长。请查阅 IdP 的文档,了解其同步用户的频率。
关于人员 ID
为识别冲突账户,当使用 OIDC 将用户账户同步到 Apple 商务管理时,系统会自动为这个用户账户生成一个人员 ID。
如果你在 Apple 商务管理中修改了之前已同步用户账户的人员 ID,则这个用户账户将不再与 Google Workspace、Microsoft Entra ID 或你的 IdP 配对。要重新连接这个用户账户,你必须解决人员 ID 冲突问题。