Synkroniser brugerkonti fra din id-leverandør til Apple School Manager
I Apple School Manager kan du bruge OIDC (OpenID Connect) eller SCIM (System til identitetsadministration på tværs af domæner) til at synkronisere konti fra din id-leverandør. Ved hjælp af dette system kan du flette Apple School Manager-egenskaber (f.eks. klassetrin og roller) med kontodata, der er importeret fra din id-leverandør. Når du bruger SCIM til at synkronisere brugere, tilføjes kontooplysningerne som skrivebeskyttet, indtil du afbryder forbindelsen. På dette tidspunkt ændres kontiene til manuelle konti, og attributter på disse konti (f.eks. brugernavne) kan derefter redigeres. Det tager længere tid at udføre den første synkronisering end efterfølgende cyklusser. Se dokumentationen fra din id-leverandør for at få at vide, hvor ofte de synkroniserer brugere til Apple School Manager.
Vigtigt: Du har kun fire kalenderdage til at gennemføre tokenoverførslen til din id-leverandør og etablere en forbindelse, ellers skal du begynde forfra på processen.
Sådan forbereder du dig
Før du synkroniserer til din id-leverandør ved hjælp af en OIDC-forbindelse, skal du gøre følgende:
Konfigurer og bekræft det domæne, du vil bruge. Se Tilføj og bekræft et domæne.
Afbryd forbindelsen til SIS (Student Information System), eller stop overførsler ved hjælp af SFTP.
Konfigurer et domæne, placer det i organisationsnetværket, og aktivér det. Se Brug godkendelse via organisationsnetværket med din id-leverandør.
Hav en id-leverandøradministrator, der har tilladelse til at redigere indstillinger, klar til at hjælpe.
Sørg for, at du har følgende oplysninger, og kontakt så din id-leverandør:
Felt til unikt id for brugere: Værdien i denne attribut er som regel brugerens e-mailadresse. Den bruges til at oprette brugerens administrerede Apple-konto. Det kan f.eks. være userName.
Godkendelsesmetode: SAML 2.0.
Godkendelsesfunktion: OAuth 2.
URL til Log ind i et trin: Se dokumentationen fra din id-leverandør.
URL til tilbagekaldelse af godkendelse: Se dokumentationen fra din id-leverandør.
Brugerkonti hos id-leverandør og Apple School Manager
Når en bruger kopieres fra din id-leverandør til Apple School Manager ved hjælp af SCIM, er standardrollen Studerende.
Bemærk: Brugergrupper fra din id-leverandør synkroniseres ikke til Apple School Manager.
Loginattribut
Apple School Manager kræver, at den attribut, der bruges til den administrerede Apple-konto, er unik. Det er som regel brugerens e-mailadresse. Hvis en bruger har en attribut, der er nøjagtigt den samme som en eksisterende Apple School Manager-bruger med rollen som administrator, udføres der ingen synkronisering, og kildefeltet forbliver uændret.
Person-id
Når en brugerkonto hos en id-leverandør synkroniseres med Apple School Manager, oprettes der et person-id for Apple School Manager-brugerkontoen. Dette id bruges til at identificere brugerkonti med konflikter. Person-id'et genereres også automatisk for brugere, der importeres ved hjælp af SCIM eller SIS-integration, men genereres ikke automatisk for brugere, som importeres ved hjælp af SFTP.
Hvis forbindelsen til SCIM afbrydes, og SFTP bruges til at uploade brugere igen, oprettes der nye brugere, medmindre person-id'et i SFTP-uploadarkivet stemmer overens med det person-id, som blev tildelt af SCIM. Se Overfør SIS-data til Apple School Manager.
Vigtige overvejelser, hvis du ændrer person-id'et:
Hvis du ændrer person-id'et for en brugerkonto, der tidligere er importeret fra din id-leverandør, er den pågældende brugerkonto ikke længere parret med id-leverandøren.
Hvis du ændrer person-id'et for en brugerkonto, der tidligere er importeret fra din id-leverandør, og du ønsker at tilknytte brugerkontoen igen, skal du løse brugerkonflikten.
Log ind på din id-leverandør
Log ind på din id-leverandør som administrator, og gør derefter et af følgende:
Find den app, der er oprettet af din id-leverandør. Du kan muligvis springe flere trin i denne opgave over.
Naviger til det sted, hvor du vil oprette en app eller forbindelse.
Opret appen med følgende oplysninger:
Vigtigt: Husk navnet på SCIM-appen, da du muligvis skal bruge det til URL'en til tilbagekaldelse af godkendelse.
Apple School Manager: Brug AppleSchoolManagerSCIM.
Apptype: Brug SCIM.
Godkendelsesmetode: Brug SAML 2.0.
URL til Log ind i et trin, der bruges til modtager og destination: Se dokumentationen fra din id-leverandør.
URI til målgruppe: Brug enheds-id.
Gem ændringerne.
Konfigurer indstillingerne for klargøring af SCIM-app
Find sektionen til klargøring af SCIM-appen fra din id-leverandør, og indtast derefter følgende værdier:
URL til SCIM-stikbase: https://federation.apple.com/feeds/school/scim
URI til adgangstoken: https://appleaccount.apple.com/auth/oauth2/v2/token
URI til godkendelse: https://appleaccount.apple.com/auth/oauth2/v2/authorize
Klient-id: 123
Klienthemmelighed: 123
Vigtigt: Da du ikke kender det faktiske klient-id og den faktiske klienthemmelighed til SCIM endnu, bruges 123 som eksempel. Du erstatter disse værdier i en senere opgave.
Godkendelsesfunktion: OAuth 2.
Felt til unikt id for brugere: Se dokumentationen fra din id-leverandør.
Vigtigt: Vær opmærksom på, at der skelnes mellem store og små bogstaver.
Understøttede klargøringshandlinger:
Importer nye brugere og profilopdateringer.
Send nye brugere.
Send profilopdateringer.
Gem ændringerne.
Opret URL'en til tilbagekaldelse af godkendelse
Du skal oprette en URL til tilbagekaldelse af godkendelse til Apple School Manager for at få brugerposter fra din id-leverandør ved hjælp af SCIM. Denne URL til tilbagekaldelse er baseret på navnet på den SCIM-app, du har oprettet i din id-leverandør.
Husk navnet på din SCIM-app. For eksempel:
Apple School Manager: AppleSchoolManagerSCIM
Indsæt appnavnet i følgende URL. For eksempel:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Gem URL'en til tilbagekaldelse af godkendelse.
Du skal indsætte den i Apple School Manager i næste opgave.
Opret og kopier SCIM-klientoplysninger til din id-leverandør
I Apple School Manager skal du logge ind med en bruger, der har rollen som administrator, lokalitetsansvarlig eller personansvarlig.
Vælg dit navn nederst i indholdsoversigten, vælg Indstillinger , og vælg derefter Administrerede Apple-konti .
Vælg Aktiver ud for Tilpasset Sync.
Indsæt URL'en til tilbagekaldelse af godkendelse fra den tidligere opgave, og vælg derefter Opret.
Vælg SCIM-app, og vælg derefter Opret.
Åbn et nyt tekstarkiv eller regneark, og indtast derefter følgende værdier fra Apple School Manager:
For OIDC-klient-id'et skal du indsætte SCIM-klient-id'et.
For OIDC-klienthemmeligheden skal du indsætte SCIM-klienthemmeligheden.
Vælg Kopier ud for Klient-id, og indsæt klient-id'et i arkivet.
Vælg Klienthemmelighed, vælg, hvor længe hemmeligheden skal være aktiv, før den udløber (6, 9 eller 12 måneder), og indsæt derefter klienthemmeligheden i arkivet.
Vigtigt: Hvis du sletter eller glemmer klienthemmeligheden, før du indsætter den i SCIM-appen fra din id-leverandør, skal du oprette en ny klienthemmelighed.
Vælg OK.
Indsæt klient-id'et og klienthemmeligheden i SCIM-appen fra din id-leverandør, og bekræft forbindelsen
Vend tilbage til sektionen til klargøring af SCIM-appen fra din id-leverandør, og indsæt derefter følgende værdier:
SCIM-klient-id i Apple School Manager
SCIM-klienthemmelighed i Apple School Manager
Gem ændringerne.
Hvis din id-leverandør giver dig tilladelse til at teste godkendelse ved hjælp af en administratorkonto fra id-leverandøren, kan du teste det nu. Der kan f.eks. være en knap, der kaldes "Godkend med [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]", eller hvad du nu har kaldt din SCIM-app.
Indtast brugernavnet og adgangskoden for en administrator af id-leverandøren, og indtast derefter værdien for tofaktorgodkendelse.
Læs eventuelle godkendelsesoplysninger nøje. Hvis du er enig, skal du vælge Fortsæt.
Hvis det er nødvendigt, kan du nu slå godkendelse via organisationsnetværket til for dette domæne.
Din id-leverandør og Apple School Manager er nu konfigureret til at synkronisere visse ændringer af brugerattributter fra din id-leverandør til Apple School Manager.