Apple Business

Oktaは、Oktaの資格情報を使って特定のAppleサービスにサインインできるマネージドApple IDの作成に利用できます。これは、OktaとApple Businessの間に接続を確立することで行われます。

開始する前に

• Apple Businessへの管理者アクセスが必要です。リストに含まれるその他のロール（ユーザーマネージャー、デバイス登録マネージャー、コンテンツマネージャー、スタッフ）には、このプロセスの完了に必要な権限がありません。

• Oktaアカウントでスーパー管理者権限が有効で、アカウントがユーザーとして割り当てられていることを確認します。

連携認証をセットアップする

連携認証の構成は、Okta Admin ConsoleとApple Businessで行います。

Oktaでアプリ統合を構成する

1. Okta Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。

2. アプリ統合を作成（Create App Integration） をクリックします。

3. サインイン方式（OIDC - OpenID Connect）としてOIDC - OpenID Connect（Sign-in method）、アプリケーションタイプ（Web Application）としてWebアプリケーション（Web Application）（Application type）を選択します。次へ（Next）をクリックします。

4. ［新規Webアプリ統合］ページで次の事項を入力します。

   • アプリ統合名（App Integration Name）：Apple Business OIDC

   • 付与タイプ（Grant type）：認可コード（Authorization Code）およびリフレッシュトークン（Refresh Token）ボックスをチェックします。

   • サインインリダイレクトURI：https://gsa-ws.apple.com/grandslam/GsService2/acsを入力します。これはAppleが提供する静的URIであり、Apple Businessコンソールで見つけることができます。

   • 割り当て：最初のアプリ統合では、管理者にアプリケーションを割り当てます。マネージドApple IDを持ち、Oktaを使って認証する必要があるすべてのアカウントでは、さらに割り当てが必要です。

5. 保存（Save）をクリックします。

6. Okta APIスコープ（Okta API Scopes）タブをクリックします。APIスコープのリストからssf.manageスコープとssf.readスコープを特定し、それぞれの付与（Grant）をクリックします。APIスコープのリストでssf.manageとssf.readを特定できないときは、Oktaアカウント担当者までご連絡ください。

7. Apple Businessに追加する情報が含まれる一般（General）タブをクリックします。次のステップで追加するクライアントID（Client ID）とクライアントシークレット（Client Secret）をメモします。

Apple BusinessでカスタムIDプロバイダーを構成する

1. Apple Businessにサインインし、環境設定（Preferences） > アカウント（Accounts） > 連携認証（Federated Authentication） > カスタムIDプロバイダー（Customer Identity Provider） > 接続（Connect）に移動します。

2. 必要な情報を入力します。

   • クライアントID（Client ID）：これは、前のステップで作成したアプリ統合の［クライアント資格情報］セクションにあります。

   • クライアントシークレット（Client Secret）：これは、前のステップで作成したアプリ統合の［クライアントシークレット］セクションにあります。

   • SSF構成URL（SSF Config URL）：https://yourOktaOrgURL/.well-known/ssf-configuration

   • OpenID構成URL（OpenID Config URL）：https://yourOktaOrgURL/.well-known/openid-configuration

3. 続行（Continue）をクリックします。自分のOkta orgにApple Businessを接続するには、スーパー管理者としてOktaにサインインすることが求められます。

   注:

   続行（Continue）をクリックしてもOktaへのサインインを求められないときは、Apple Businessコンソールをシークレットブラウザーウィンドウで開く必要がある場合があります。

4. Apple BusinessとOktaが正しくリンクされたら、連携認証のセットアップが完了したことを確認するメッセージが表示されます。完了（Done）をクリックします。

AppleとOktaの間のディレクトリ同期をセットアップする

1. Okta Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。

2. アプリ統合を作成（Create App Integration） をクリックします。

3. SAML 2.0を選択し、次へ（Next）をクリックします。

4. アプリ名（App name）をApple Business SCIMとして入力し、次へ（Next）をクリックします。

5. 次のエントリを追加します。

   • シングルサインオンURL：https://YourOktaOrgURL

   • オーディエンスURI（SPエンティティID）：https://YourOktaOrgURL

6. 保存（Save）をクリックします。

7. Apple Businessコンソールウィンドウに切り替えます。

8. 環境設定（Preferences） > アカウント（Accounts） > ディレクトリ同期（Directory Sync）に移動し、カスタム同期（Custom Sync）をクリックします。

9. 認可コールバックURL（Authorization callback URL）を次の形式で入力します。

   https://system-admin.okta.com/admin/app/cpc/<SAML_AppBundleName>/oauth/callback

   • 認可コールバックURLのokta.comの部分は、Oktaテナントの場所に応じてokta.com、oktapreview.com、okta-emea.comのいずれかとなります。

     たとえば、Oktaテナントの場所がoktapreview.comであれば、https://system-admin.okta.com/admin/app/cpc/<SAML_AppBundleName>/oauth/callbackをhttps://system-admin.oktapreview.com/admin/app/cpc/<SAML_AppBundleName>/oauth/callbackに変更します。

   • SAML_AppBundleNameは、Okta Admin Consoleのディレクトリ（Directory） > プロファイルエディター で見つけることができます。フィルター（Filters）という見出しの下のアプリ（Apps）をクリックし、前のステップで作成したApple Business SCIMアプリ統合のエントリを特定します。これを開き、変数名に表示される値をコピーします。この情報を認可コールバックURLに追加します。

     注:

     Okta orgのURLにダッシュ（-）が含まれる場合、操作を続ける前にアプリバンドル名にこの文字が含まれることを確認します。プロファイルエディターは-という文字を削除しますが、org名の一部である場合、これは必須です。

10. Apple Businessに認可コールバックURLを追加したら、続行（Continue）をクリックしてSCIM構成の完了に必要な構成の詳細にアクセスします。
11. Okta Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。ステップ2で作成したApple Business SCIMアプリに移動します。
12. 一般（General）タブでアプリ設定（App Settings）（Edit）セクションの編集（Edit）（App Settings）をクリックします。
13. プロビジョニング（Provisioning）の横でSCIMラジオボタンを選択し、保存（Save）をクリックします。
14. プロビジョニング（Provisioning）タブに移動し、SCIM接続セクションの編集（Edit）をクリックします。
15. 次の情報を入力します。次の情報を入力します。構成の詳細は、Apple Businessで作成したカスタム同期のものです。
    • SCIMコネクターベースURL（SCIM connector base URL）：https://federation.apple.com/feeds/business/scim
    • ユーザーの一意識別子フィールド（Unique identifier field for users）：userName（このフィールドでは大文字/小文字が区別されます）。
    • サポートされるプロビジョニングアクション（Supported provisioning actions）：新規ユーザーとプロファイル更新をインポート（Import New Users and Profile Updates）、新規ユーザーをプッシュ（Push New Users）、プロファイル更新をプッシュ（Push Profile Updates）を選択します。
    • 認証モード（Authentication Mode）：ドロップダウンメニューからOAuth 2を選択します。
    • アクセストークンエンドポイントURI（Access token endpoint URI）：https://appleid.apple.com/auth/oauth2/v2/token
    • 認可エンドポイントURI（Authorization endpoint URI）：https://appleid.apple.com/auth/oauth2/v2/authorize
    • クライアントID（Client ID）：Apple Business カスタム同期（Custom Sync）構成詳細からコピーします。
    • クライアントシークレット（Client Secret）：Apple Business カスタム同期（Custom Sync）構成詳細からコピーします。
16. カスタム同期プロファイルがApple Businessに保存されていることを確認します。Okta Admin Consoleに戻り、コネクター構成をテスト（Test Connector Configuration）をクリックします。
17. プロンプトでApple Businessの資格情報を入力します。正しく完了すると、AppleとOktaの構成が接続されます。

マネージドApple IDを使用するには、ユーザー（自分自身を含む）を新しいアプリケーションに割り当てます。ユーザーのリストは、連携認証をセットアップするで作成したOIDCアプリの割り当てリストと一致する必要があります。

アプリへのプロビジョニングをセットアップする

1. Okta Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。
2. Apple Business SCIMアプリを選択します。
3. プロビジョニング（Provisioning）タブに移動し、アプリへ（To App）をクリックします。
4. 編集（Edit）をクリックし、有効にするオプションを選択します。
   • ユーザーの作成を有効化（Enable Create Users）
   • ユーザー属性を更新（Update User Attributes）
   • ユーザーを非アクティブ化（Deactivate Users）

5. 保存（Save）をクリックします。

6. Apple Businessコンソールウィンドーに切り替えて環境設定（Preferences） > アカウント（Accounts） > ドメイン（Domains）に移動します。
7. 検証済みの会社ドメインで連携認証が有効（Federation Enabled）トグルがオンになっていることを確認します。
8. 完了（Done）をクリックします。

Appleリソースにテストアクセスして構成が適切にセットアップされていることを確認できます。ブラウザーでhttps://appleid.apple.comにアクセスし、Oktaの資格情報でサインインします。

関連項目

アプリ統合を開始する

アプリの統合について

Shared Signals Framework