Einführung in die Verzeichnissynchronisierung mit Apple Business Manager
Du kannst OpenID Connect (OIDC) mit Apple Business Manager verwenden, um Benutzeraccounts aus Folgendem zu synchronisieren:
Google Workspace
Microsoft Entra ID
Dein Identitätsprovider (IdP)
Einige IdPs können auch das System für Domain-übergreifendes Identitätsmanagement (SCIM) verwenden
Hinweis: Du kannst mit Google Workspace, Microsoft Entra ID oder deinem IdP synchronisieren, aber immer jeweils nur mit einem davon.
Erste Schritte
Bevor du mit Google Workspace, Microsoft Entra ID oder deinem IdP synchronisierst, solltest du Folgendes beachten:
Die Synchronisierung von Benutzergruppen wird nicht unterstützt.
Voraussetzungen
Falls erforderlich, bestätige eine Domain manuell. Siehe Eine Domain hinzufügen und bestätigen.
Du musst die verknüpfte Authentifizierung aktivieren. Siehe Einführung in die verknüpfte Authentifizierung.
Wende dich telefonisch an eine:n Administrator:in mit der Berechtigung, Einstellungen für Google Workspace, Microsoft Entra ID oder einen anderen IdP zu bearbeiten.
Apple Business Manager erfordert, dass das Attribut für den verwalteten Apple Account eindeutig ist. Hierbei handelt es sich in der Regel um die E‑Mail-Adresse des:der Benutzer:in. Wenn ein:e Benutzer:in ein Attribut hat, das exakt mit dem eines:einer bestehenden Benutzer:in von Apple Business Manager übereinstimmt, der:die die Funktion „Administrator:in“ inne hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert.
Bei der Konfiguration der ersten Verbindung solltest du die E-Mail-Adresse eines:r Benutzer:in mit der Funktion „Administrator:in“ oder „Personenmanager:in“ verwenden, damit diese:r Benachrichtigungen von Google Workspace, Microsoft Entra ID oder einem anderen IdP erhalten kann, mit dem du synchronisierst.
IdP-spezifische Voraussetzungen
Bei der Verknüpfung mit Microsoft Entra ID:
Um OIDC mit Apple Business Manager nutzen zu können, muss deine Organisation einen anderen Entra ID-Mandanten haben als andere Apple Business Manager-Organisationen. Wenn du OIDC in deiner Organisation verwenden möchtest, wende dich an deine:n globale:n Microsoft Entra ID-Administrator:in, um sicherzustellen, dass keine andere Organisation deinen Entra ID-Mandanten für OIDC nutzt.
Wenn ein Benutzeraccount einen Benutzerprinzipalnamen (UPN) hat, der exakt mit dem eines bestehenden Benutzeraccounts übereinstimmt, der:die die Funktion „Administrator:in“ oder „Personenmanager:in“ inne hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert.
Bei der Verknüpfung mi einem anderen IdP als Google Workspace oder Microsoft Entra ID musst du über die folgenden Informationen verfügen:
Eindeutiges ID-Feld für Benutzer:innen: Der Wert für dieses Attribut ist in der Regel die E‑Mail-Adresse der Benutzer:innen. Er wird verwendet, um den verwalteten Apple Account des:der Benutzer:in zu erstellen. Er kann beispielsweise userName lauten.
Authentifizierungsmethode: SAML 2.0
Authentifizierungsmodus: OAuth 2
URL für Single Sign-On: Beziehe dich auf die Dokumentation deines IdP.
Rückruf-URL für die Autorisierung: Beziehe dich auf die Dokumentation deines IdP.
Automatische Änderungen
Überwacht Änderungen von Benutzeraccounts und synchronisiert diese automatisch mit Apple Business Manager.
Entfernt automatisch verwaltete Apple Accounts, wenn die entsprechenden Benutzeraccounts in Google Workspace, Microsoft Entra ID oder deinem IdP gelöscht werden.
Wenn ein Benutzeraccount mit Apple Business Manager synchronisiert wird, hat dieser standardmäßig die Funktion „Mitarbeiter:in“. Nach der Synchronisierung kann nur das Benutzeraccountattribut „Funktionen“ bearbeitet werden. Dieses Attribut wird im Benutzeraccount in Apple Business Manager gespeichert und nicht in Google Workspace, Microsoft Entra ID oder deinen IdP zurückgeschrieben.
Die synchronisierten Account-Informationen werden schreibgeschützt hinzugefügt, bis du die Synchronisierung deaktivierst. Die Accounts werden dann zu manuellen Accounts, und Attribute darin (wie Benutzernamen) können bearbeitet werden.
Hinweis: Die erste Synchronisierung dauert länger als nachfolgende Zyklen. Sieh in der Dokumentation deines IdPs nach, um zu erfahren, wie oft Benutzer:innen synchronisiert werden.
Mehr zum Thema Personen-ID
Um in Konflikt stehende Accounts zu erkennen, wird bei der ersten Synchronisierung eines Benutzeraccounts mittels OIDC mit Apple Business Manager automatisch eine Personen-ID für diesen Benutzeraccount erstellt.
Wenn du die Personen-ID in Apple Business Manager für einen Benutzeraccount änderst, der zuvor synchronisiert wurde, wird dieser Benutzeraccount nicht mehr mit Google Workspace, Microsoft Entra ID oder deinem IdP gekoppelt. Wenn du diesen Benutzeraccount wieder verbinden möchtest, musst du den Konflikt bei der Personen-ID lösen.