Korzystanie z uwierzytelniania federacyjnego za pomocą dostawcy tożsamości w usłudze Apple Business Manager
W usłudze Apple Business Manager możesz nawiązać połączenie z dostawcą tożsamości przy użyciu uwierzytelniania federacyjnego, aby umożliwić użytkownikom logowanie się do urządzeń Apple za pomocą ich nazwy użytkownika (zazwyczaj adresu email)i hasła u dostawcy tożsamości.
W rezultacie użytkownicy mogą używać swoich danych uwierzytelniających dostawcy tożsamości jako zarządzanych kont Apple. Mogą oni następnie używać tych danych uwierzytelniających do logowania się do przydzielonego iPhone’a, iPada, Maca, Apple Vision Pro oraz do Wspólnego iPada. Po zalogowaniu się na jednym z tych urządzeń mogą oni również zalogować się do usługi iCloud w Internecie.
Proces uwierzytelniania federacyjnego
Ten proces obejmuje cztery główne etapy:
Dodanie i zweryfikowanie domeny.
Utworzenie nowej aplikacji lub połączenia OIDC.
Skonfigurowanie uwierzytelniania federacyjnego i przetestowanie uwierzytelniania za pomocą jednego konta użytkownika dostawcy tożsamości.
Włączanie uwierzytelniania federacyjnego.
Ważne: Przed skonfigurowaniem uwierzytelniania federacyjnego zapoznaj się z następującymi informacjami.
Krok 1: Zweryfikuj domenę
Zanim będzie można wyświetlić konta użytkowników dostawcy tożsamości w usłudze Apple Business Manager, musisz dodać i zweryfikować domenę, której chcesz użyć.
Zobacz Dodawanie i weryfikowanie domeny.
Proces weryfikacji gwarantuje, że Twoja organizacja jest tą, która ma uprawnienia do modyfikowania rekordów DNS Twojej domeny. Na przykład jeśli chcesz używać domeny betterbag.com jako swojej domeny, musisz dodać określony rekord TXT do pliku strefy serwera nazw domen w ciągu 14 dni kalendarzowych od rozpoczęcia procesu weryfikacji (który rozpoczyna się po wybraniu przycisku Potwierdź).
Uwaga: Jeśli próbujesz sfederować domenę, której własność została już przez Ciebie potwierdzona, ale inna organizacja już sfederowała identyczną domenę, musisz skontaktować się z tą organizacją, aby ustalić, kto ma uprawnienia do sfederowania domeny. Zobacz Konflikty domen.
Krok 2: Utwórz nową aplikację lub połączenie OIDC
Aby połączyć się z usługą Apple Business Manager, dostawca tożsamości (IdP) musi mieć aplikację lub utworzyć aplikację, która zawiera określone ustawienia umożliwiające nawiązanie połączenia z usługą Apple Business Manager. Każdy dostawca tożsamości korzysta z innej metody tworzenia aplikacji i udostępnia określone ustawienia w innym miejscu, dlatego zalecamy zapoznanie się z dokumentacją dostawcy tożsamości, aby dowiedzieć się, jak ukończyć ten proces.
Zaloguj się do dostawcy tożsamości (IdP) jako administrator, a następnie wykonaj jedną z następujących czynności:
Odszukaj aplikację utworzoną przez dostawcę tożsamości (IdP). Możesz pominąć kilka kroków w tym zadaniu.
Przejdź do miejsca, w którym możesz utworzyć aplikację lub połączenie.
Utwórz aplikację lub połączenie przy użyciu następujących informacji:
Usługa Apple Business Manager: AppleBusinessManagerOIDC.
Metoda logowania: protokół Open ID Connect (OIDC).
Typ aplikacji: aplikacja internetowa.
Typ udzielania poświadczeń: token odświeżania.
URI przekierowania logowania: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Dostęp: dozwolone określone konta użytkowników.
Zakres dostępu: dostęp należy przyznać do
ssf.manageissf.read.
Zachowaj zmiany.
W dalszej części tej strony konieczne będzie wklejenie określonych informacji w usłudze Apple Business Manager. Następnym zadaniem jest skopiowanie tych informacji do pliku tekstowego lub arkusza kalkulacyjnego.
Otwórz nowy plik tekstowy lub arkusz kalkulacyjny, a następnie wprowadź następujące wartości z konta dostawcy tożsamości (IdP):
W polu ID klienta OIDC wklej ID klienta OIDC.
W polu Tajny klucz klienta OIDC wklej tajny klucz klienta OIDC.
Zachowaj plik w bezpiecznej lokalizacji.
Krok 3. Skonfiguruj uwierzytelnianie federacyjne i przetestuj uwierzytelnianie za pomocą jednego konta użytkownika dostawcy tożsamości
Ten krok ma na celu ustanowienie relacji zaufania między dostawcą tożsamości i usługą Apple Business Manager.
Uwaga: Po wykonaniu tego kroku użytkownicy nie mogą tworzyć nowych osobistych kont Apple w skonfigurowanej domenie. Może to mieć wpływ na inne usługi Apple, z których korzystają użytkownicy. Zobacz Przenoszenie usług Apple do zarządzanego konta Apple.
W usłudze Apple Business Manager
zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.Wybierz swoje imię i nazwisko u dołu paska bocznego, wybierz opcję Preferencje
, wybierz opcję Zarządzane konta Apple 
, a następnie wybierz opcję Rozpocznij w obszarze „Logowanie użytkownika i synchronizacja katalogu”.Wybierz opcję Niestandardowy dostawca tożsamości, a następnie wybierz opcję Kontynuuj.
Wprowadź nazwę połączenia uwierzytelniania federacyjnego.
Możesz użyć maksymalnie 128 znaków.
Skopiuj ID klienta i tajny klucz klienta do usługi Apple Business Manager z pliku tekstowego lub arkusza kalkulacyjnego zachowanego w poprzedniej sekcji.
Skontaktuj się ze swoim dostawcą tożsamości, aby uzyskać adresy URL następujących dwóch konfiguracji:
Shared Signals Framework (SSF)
OpenID
Wybierz opcję Dalej.
Jeśli wszystkie podane wartości są prawidłowe, zostanie wyświetlona strona logowania Twojego dostawcy tożsamości. Przejdź do kroku 8.
Zaloguj się za pomocą nazwy użytkownika i hasła administratora dostawcy tożsamości.
Wybierz przycisk Gotowe.
Krok 4. Włącz uwierzytelnianie federacyjne
W usłudze Apple Business Manager
zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.Wybierz swoje imię i nazwisko u dołu paska bocznego, wybierz opcję Preferencje
, a następnie wybierz opcję Zarządzane konta Apple .W sekcji Domeny wybierz przycisk Zarządzaj obok domeny, którą chcesz sfederować, a następnie wybierz opcję „Włącz logowanie za pomocą dostawcy tożsamości”.
Włącz „Zaloguj się za pomocą dostawcy tożsamości”.
W razie potrzeby możesz teraz zsynchronizować konta użytkowników z usługą Apple Business Manager. Zobacz Synchronizowanie kont użytkowników z dostawcy tożsamości.