Apple Business Manager

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Oktaは、Oktaの資格情報を使って特定のAppleサービスにサインインできるマネージドApple IDの作成に利用できます。これは、OktaとApple Business Managerの間に接続を確立することで行われます。

このプロセスでApple Business Managerが必要となるすべての手順は、Apple School Managerで完了することもできます（管理者ロールがある場合）。

開始する前に

Apple Business Managerへの管理者アクセスが必要です。リストに含まれるその他のロール（ユーザーマネージャー、デバイス登録マネージャー、コンテンツマネージャー、スタッフ）には、このプロセスの完了に必要な権限がありません。
Okta Admin Console（［Settings（設定）］［Features（機能）］）で［Managed Apple ID Federation and Provisioning（マネージドApple IDの連携認証とプロビジョニング）］機能を探して有効化します。
Oktaアカウントでスーパー管理者権限が有効で、アカウントがユーザーとして割り当てられていることを確認します。

連携認証をセットアップする

連携認証の構成は、Okta Admin ConsoleとApple Business Managerで行います。

Oktaでアプリ統合を構成する

Okta Admin Consoleで［Applications（アプリケーション）］［Applications（アプリケーション）］に移動します。
［Create App Integration（アプリ統合を作成）］をクリックします。
サインイン方式として［OIDC - OpenID Connect］、アプリケーションタイプとして［Web Application（Webアプリケーション）］を選択します。［Next（次へ）］をクリックします。
［新規Webアプリ統合］ページで次の事項を入力します。
- ［App Integration Name（アプリ統合名）］：Apple Business Manager OIDC
- ［Grant type（付与タイプ）］：［Authorization Code（認証コード）］および［Refresh Token（リフレッシュトークン）］ボックスをチェックします。
- サインインリダイレクトURI：https://gsa-ws.apple.com/grandslam/GsService2/acsを入力します。これはAppleが提供する静的URIであり、Apple Business Managerコンソールで見つけることができます。
- 割り当て：最初のアプリ統合では、管理者にアプリケーションを割り当てます。マネージドApple IDを持ち、Oktaを使って認証する必要があるすべてのアカウントでは、さらに割り当てが必要です。
［Save（保存）］をクリックします。
［Okta APIスコープ］タブをクリックします。APIスコープのリストからssf.manageスコープとssf.readスコープを特定し、それぞれの［Grant（付与）］をクリックします。APIスコープのリストでssf.manageとssf.readを特定できないときは、Oktaアカウント担当者までご連絡ください。
Apple Business Managerに追加する情報が含まれる［一般］タブをクリックします。次のステップで追加するクライアントIDとクライアントシークレットをメモします。

Apple Business ManagerでカスタムIDプロバイダーを構成する

Apple Business Managerにサインインし、［Preferences（環境設定）］［Accounts（アカウント）］［Federated Authentication（連携認証）］［Customer Identity Provider（カスタムIDプロバイダー）］［Connect（接続）］に移動します。
必要な情報を入力します。
- ［Client ID（クライアントID）］：これは、前のステップで作成したアプリ統合の［クライアント資格情報］セクションにあります。
- ［Client Secret（クライアントシークレット）］：これは、前のステップで作成したアプリ統合の［クライアントシークレット］セクションにあります。
- ［SSF Config URL（SSF構成URL）］：https://yourOktaOrgURL/.well-known/ssf-configuration
- ［OpenID Config URL（OpenID構成URL）］：https://yourOktaOrgURL/.well-known/openid-configuration
［Continue（続行）］をクリックします。自分のOkta orgにApple Business Managerを接続するには、スーパー管理者としてOktaにサインインすることが求められます。

［続行］をクリックしてもOktaへのサインインを求められないときは、Apple Business Managerコンソールをシークレットブラウザーウィンドウで開く必要がある場合があります。
Apple Business ManagerとOktaが正しくリンクされたら、連携認証のセットアップが完了したことを確認するメッセージが表示されます。［Done（完了）］をクリックします。

AppleとOktaの間のディレクトリ同期をセットアップする

Okta Admin Consoleで［Applications（アプリケーション）］［Applications（アプリケーション）］に移動します。
［Create App Integration（アプリ統合を作成）］をクリックします。
［SAML 2.0］を選択し、［Next（次へ）］をクリックします。
アプリ名としてApple Business Manager SCIMと入力し、［Next（次へ）］をクリックします。
次のエントリを追加します。
- シングルサインオンURL：https://YourOktaOrgURL
- オーディエンスURI（SPエンティティID）：https://YourOktaOrgURL
［Save（保存）］をクリックします。
Apple Business Managerコンソールウィンドウに切り替えます。
［Preferences（環境設定）］［Accounts（アカウント）］［Directory Sync（ディレクトリ同期）］に移動し、［Custom Sync（カスタム同期）］をクリックします。
［Authorization callback URL（認証コールバックURL）］を次の形式で入力します。
コピー
```
https://system-admin.okta.com/admin/app/cpc/<SAML_AppBundleName>/oauth/callback
```
- 認可コールバックURLのokta.comの部分は、Oktaテナントの場所に応じてokta.com、oktapreview.com、okta-emea.comのいずれかとなります。
  
  たとえば、Oktaテナントの場所がoktapreview.comであれば、https://system-admin.okta.com/admin/app/cpc/<SAML_AppBundleName>/oauth/callbackをhttps://system-admin.oktapreview.com/admin/app/cpc/<SAML_AppBundleName>/oauth/callbackに変更します。
- SAML_AppBundleNameは、Okta Admin Consoleの［Directory（ディレクトリ）］［Profile Editor（プロファイルエディター）］で見つけることができます。フィルターという見出しの下の［Apps（アプリ）］をクリックし、前のステップで作成したApple Business Manager SCIMアプリ統合のエントリを特定します。これを開き、変数名に表示される値をコピーします。この情報を認可コールバックURLに追加します。
  
  Okta orgのURLにダッシュ（-）が含まれる場合、操作を続ける前にアプリバンドル名にこの文字が含まれることを確認します。プロファイルエディターは「-」という文字を削除しますが、org名の一部である場合、これは必須です。
Apple Business Managerに認可コールバックURLを追加したら、［Continue（続行）］をクリックしてSCIM構成の完了に必要な構成の詳細にアクセスします。
Okta Admin Consoleで［Applications（アプリケーション）］［Applications（アプリケーション）］に移動します。ステップ2で作成したApple Business Manager SCIMアプリに移動します。
［一般］タブで［App Settings（アプリ設定）］セクションの［Edit（編集）］をクリックします。
［プロビジョニング］の横で［SCIM］ラジオボタンを選択し、［Save（保存）］をクリックします。
［プロビジョニング］タブに移動し、SCIM接続セクションの［Edit（編集）］をクリックします。
次の情報を入力します。次の情報を入力します。構成の詳細は、Apple Business Managerで作成したカスタム同期のものです。
- ［SCIM connector base URL（SCIMコネクターベースURL）］：https://federation.apple.com/feeds/business/scim
- ［Unique identifier field for users（ユーザーの一意識別子フィールド）］：userName（このフィールドでは大文字/小文字が区別されます）。
- ［Supported provisioning actions（サポートされるプロビジョニングアクション）］：［Import New Users and Profile Updates（新規ユーザーとプロファイル更新をインポート）］、［Push New Users（新規ユーザーをプッシュ）］、［Push Profile Updates（プロファイル更新をプッシュ）］を選択します。
- ［Authentication Mode（認証モード）］：ドロップダウンメニューから［OAuth 2］を選択します。
- ［Access token endpoint URI（アクセストークンエンドポイントURI）］：https://appleid.apple.com/auth/oauth2/v2/token
- ［Authorization endpoint URI（認可エンドポイントURI）］：https://appleid.apple.com/auth/oauth2/v2/authorize
- ［Client ID（クライアントID）］：Apple Business Manager ［カスタム同期］構成詳細からコピーします。
- ［Client Secret（クライアントシークレット）］：Apple Business Manager ［カスタム同期］構成詳細からコピーします。
カスタム同期プロファイルがApple Business Managerに保存されていることを確認します。Okta Admin Consoleに戻り、［Test Connector Configuration（コネクター構成をテスト）］をクリックします。
プロンプトでApple Business Managerの資格情報を入力します。正しく完了すると、AppleとOktaの構成が接続されます。

マネージドApple IDを使用するには、ユーザー（自分自身を含む）を新しいアプリケーションに割り当てます。ユーザーのリストは、「連携認証をセットアップする」で作成したOIDCアプリの割り当てリストと一致する必要があります。

アプリへのプロビジョニングをセットアップする

Okta Admin Consoleで［Applications（アプリケーション）］［Applications（アプリケーション）］に移動します。
Apple Business Manager SCIMアプリを選択します。
［プロビジョニング］タブに移動し、［To App（アプリへ）］をクリックします。
［Edit（編集）］をクリックし、有効にするオプションを選択します。
- Enable Create Users（ユーザーの作成を有効化）
- Update User Attributes（ユーザー属性を更新）
- Deactivate Users（ユーザーを非アクティブ化）
［Save（保存）］をクリックします。
Apple Business Managerコンソールウィンドーに切り替えて［Preferences（環境設定）］［Accounts（アカウント）］［Domains（ドメイン）］に移動します。
検証済みの会社ドメインで［Federation Enabled（連携認証が有効）］トグルがオンになっていることを確認します。
［Done（完了）］をクリックします。

Appleリソースにテストアクセスして構成が適切にセットアップされていることを確認できます。ブラウザーでhttps://appleid.apple.comにアクセスし、Oktaの資格情報でサインインします。

会社所有のメールアドレスで個人のApple IDが競合するときは、「Apple Business Managerでのユーザー名の競合」を参照してください。