Giới thiệu về việc đồng bộ hóa danh mục với Apple Business Manager
Bạn có thể sử dụng OpenID Connect (OIDC) với Apple Business Manager để đồng bộ hóa tài khoản người dùng từ những nguồn sau:
Google Workspace
Microsoft Entra ID
Nhà cung cấp nhận dạng (IdP)
Một số IdP cũng có thể sử dụng Hệ thống quản lý danh tính liên miền (SCIM)
Ghi chú: Bạn có thể đồng bộ hóa với Google Workspace, Microsoft Entra ID hoặc IdP của mình, nhưng chỉ có thể thực hiện lần lượt.
Trước khi bạn bắt đầu
Trước khi đồng bộ hóa với Google Workspace, Microsoft Entra ID hoặc IdP của bạn, hãy cân nhắc những điều sau:
Không hỗ trợ đồng bộ hóa nhóm người dùng.
Yêu cầu
Nếu cần, hãy xác minh tên miền theo cách thủ công. Xem Thêm và xác minh tên miền.
Bạn phải bật xác thực có liên kết. Tham khảo Giới thiệu về xác thực có liên kết.
Yêu cầu quản trị viên có quyền sửa cài đặt Google Workspace, Microsoft Entra ID hoặc IdP khác sẵn sàng hỗ trợ.
Apple Business Manager yêu cầu thuộc tính dùng cho Tài khoản Apple được quản lý phải là duy nhất. Đây thường là địa chỉ email của người dùng. Nếu một người dùng có thuộc tính giống hệt thuộc tính của người dùng hiện giữ vai trò Quản trị viên trong Apple Business Manager thì quy trình đồng bộ hóa sẽ không diễn ra và trường nguồn không thay đổi.
Khi định cấu hình kết nối ban đầu, bạn cần sử dụng địa chỉ email của người dùng có vai trò là Quản trị viên hoặc Quản lý người dùng để họ có thể nhận thông báo từ Google Workspace, Microsoft Entra ID hoặc IdP khác mà bạn đang đồng bộ hóa.
Yêu cầu đặc thù của IdP
Khi liên kết tới Microsoft Entra ID:
Để dùng OIDC với Apple Business Manager, tổ chức của bạn không được sử dụng đối tượng thuê Microsoft Entra ID giống với bất kỳ tổ chức Apple Business Manager nào khác. Nếu bạn muốn sử dụng OIDC cho tổ chức của mình, hãy liên hệ với Quản trị viên toàn cầu Microsoft Entra ID để đảm bảo rằng không có tổ chức nào khác đang sử dụng đối tượng thuê Entra ID của bạn cho OIDC.
Nếu tài khoản người dùng có Tên chính của người dùng (UPN) giống hệt với tài khoản người dùng hiện giữ vai trò Quản trị viên hoặc Quản lý người dùng thì quá trình đồng bộ hóa sẽ không diễn ra và trường nguồn sẽ không thay đổi.
Khi liên kết với IdP không phải Google Workspace hay Microsoft Entra ID, bạn cần những thông tin sau:
Trường mã nhận dạng duy nhất cho người dùng: Giá trị của thuộc tính này thường là địa chỉ email của người dùng. Trường này được dùng để tạo Tài khoản Apple được quản lý cho người dùng. Ví dụ: Đó có thể là userName.
Phương thức xác thực: SAML 2.0.
Chế độ xác thực: OAuth 2.
URL đăng nhập một lần: Tham khảo tài liệu của IdP.
URL gọi lại ủy quyền: Tham khảo tài liệu của IdP.
Thay đổi tự động
Theo dõi các thay đổi về tài khoản người dùng và tự động đồng bộ hóa những thay đổi đó với Apple Business Manager.
Tự động xóa Tài khoản Apple được quản lý khi tài khoản người dùng tương ứng bị xóa trong Google Workspace, ID Microsoft Entra hoặc IdP của bạn.
Khi tài khoản người dùng được đồng bộ hóa với Apple Business Manager, thì vai trò mặc định sẽ là Nhân viên. Sau khi quá trình đồng bộ hóa hoàn tất, bạn chỉ có thể sửa thuộc tính Vai trò của tài khoản người dùng. Thuộc tính này được lưu trữ cùng với tài khoản người dùng trong Apple Business Manager và sẽ không được ghi lại vào Google Workspace, Microsoft Entra ID, hoặc IdP.
Thông tin tài khoản đã đồng bộ hóa sẽ được thêm vào dưới dạng chỉ đọc cho đến khi bạn tắt tính năng đồng bộ hóa. Khi đó, các tài khoản này sẽ trở thành tài khoản thủ công và bạn có thể sửa các thuộc tính trong đó (chẳng hạn như tên người dùng).
Ghi chú: Quá trình đồng bộ hóa ban đầu sẽ mất nhiều thời gian hơn các chu trình tiếp theo. Tham khảo tài liệu của IdP để biết tần suất họ đồng bộ hóa người dùng.
Giới thiệu về ID cá nhân
Để xác định các tài khoản xung đột, khi tài khoản người dùng được đồng bộ hóa lần đầu bằng OIDC với Apple School Manager, một ID cá nhân sẽ tự động được tạo cho tài khoản người dùng đó.
Nếu bạn sửa đổi ID cá nhân trong Apple Business Manager cho tài khoản người dùng đã đồng bộ hóa trước đó, tài khoản người dùng đó sẽ không được ghép đôi với Google Workspace, Microsoft Entra ID hoặc IdP của bạn nữa. Nếu muốn kết nối lại tài khoản người dùng, bạn phải giải quyết xung đột ID cá nhân.