Sincronizzare gli account utente dal proprio Identity provider in Apple School Manager
In Apple School Manager, puoi utilizzare OpenID Connect (OIDC) o il Sistema per gestione di identità fra domini (SCIM) per sincronizzare gli account utente dal tuo Identity provider (IdP). Quando ciò avviene, unisci le proprietà di Apple School Manager (come livello di istruzione e ruoli) ai dati degli account importati dal tuo IdP. Quando sincronizzi gli utenti con SCIM, le informazioni dell’account vengono aggiunte in sola lettura finché non ti disconnetti. A quel punto, gli account diventano manuali e gli attributi all’interno di questi account (come ad esempio i nomi utente) possono essere modificati. La sincronizzazione iniziale richiede più tempo di quelle successive. Per conoscere la frequenza con cui avviene la sincronizzazione degli utenti ad Apple School Manager, consulta la documentazione del tuo IdP.
Importante: Hai a disposizione solo 4 giorni di calendario per completare il trasferimento del token al tuo IdP e stabilire una connessione; in caso contrario, dovrai iniziare la procedura daccapo.
Prima di iniziare
Prima di sincronizzare con il tuo IdP utilizzando una connessione OIDC, devi:
Configura e verifica il dominio che intendi usare. Consulta Aggiungere e verificare un dominio.
Disconnettiti dal Sistema Informativo Studenti (SIS) o interrompi i caricamenti con SFTP.
Configura, associa e abilita un dominio. Consulta Usare l'autenticazione con account associato con il proprio Identity provider.
Effettua una chiamata a un amministratore o una amministratrice IdP con l'autorizzazione di modificare le impostazioni.
Assicurati di avere le seguenti informazioni, quindi contatta il tuo IdP:
Campo dell’identificatore univoco per utenti: il valore di questo attributo è generalmente l’indirizzo email dell’utente. Consente di creare l'Apple Account gestito dell'utente. Ad esempio può essere userName.
Metodo di autenticazione: SAML 2.0.
Modalità di autenticazione: OAuth 2.
URL del servizio Single Sign-On: consulta la documentazione del tuo IdP.
URL di richiamo dell’autorizzazione: consulta la documentazione del tuo IdP.
Account utente IdP e Apple School Manager
Quando singoli utenti vengono copiati dal tuo IdP tramite SCIM su Apple School Manager, il ruolo predefinito è Studente/studentessa.
Nota: I gruppi utente del tuo IdP non sono sincronizzati ad Apple School Manager.
Attributo di accesso
Apple School Manager richiede che l'attributo utilizzato per l'Apple Account gestito sia univoco. Generalmente si tratta dell’indirizzo email dell’utente. Se un/una utente ha un attributo esattamente uguale a un/una utente esistente di Apple School Manager con il ruolo di amministrazione, non viene eseguita la sincronizzazione e il campo sorgente rimane invariato.
ID persona
Quando un account utente IdP viene sincronizzato con Apple School Manager, viene creato un ID persona per l'account utente Apple School Manager. Questo ID viene utilizzato per identificare gli account utente in conflitto. Inoltre, l'ID persona viene generato automaticamente per gli utenti sincronizzati tramite SCIM o l'integrazione SIS, ma non viene generato automaticamente per gli utenti importati tramite SFTP.
Se la connessione SCIM è stata interrotta e SFTP viene utilizzato per caricare nuovamente gli utenti, verranno creati nuovi utenti a meno che l’ID persona nel file di caricamento SFTP non corrisponda all’ID persona assegnato da SCIM. Consulta Caricare dati del Sistema Informativo Studenti su Apple School Manager.
Considerazioni importanti se si modifica l’ID persona:
Se modifichi l'ID persona per un account utente precedentemente importato dal tuo IdP, tale account utente non viene più abbinato a IdP.
Se modifichi l'ID persona per un account precedentemente importato dal tuo IdP e desideri riconnettere l'account, devi risolvere il conflitto.
Accedere al proprio IdP
Accedi al tuo IdP come amministrazione, poi esegui una delle seguenti operazioni:
Trova l’app creata dal tuo IdP. Potresti riuscire a saltare diversi passaggi in questa attività.
Vai alla posizione in cui puoi creare un’app o una connessione.
Crea l’app tenendo presenti le seguenti informazioni:
Importante: Ricordati il nome dell’app SCIM perché ne potresti aver bisogno per l’URL di richiamo dell’autorizzazione.
Apple School Manager: utilizza AppleSchoolManagerSCIM.
Tipo di app: utilizza SCIM.
Metodo di autenticazione: utilizza SAML 2.0.
URL del servizio Single Sign-On utilizzato per destinatario e destinazione: consulta la documentazione del tuo IdP.
URI del pubblico: utilizza l’ID entità.
Salva le modifiche.
Configurare le impostazioni relative al provisioning dell’app SCIM
Individua la sezione legata al provisioning dell’app SCIM del tuo IdP, poi inserisci i valori seguenti:
URL di base per il connettore SCIM: https://federation.apple.com/feeds/school/scim
URI del token di accesso: https://appleaccount.apple.com/auth/oauth2/v2/token
URI di autorizzazione: https://appleaccount.apple.com/auth/oauth2/v2/authorize
ID client: 123
Segreto client: 123
Importante: poiché non conosci ancora l’ID client e il segreto client SCIM attuali, si utilizza 123 provvisoriamente. Sostituirai questi valori nel corso di un’attività successiva.
Modalità di autenticazione: OAuth 2.
Campo dell’identificatore univoco per utenti: consulta la documentazione del tuo IdP.
Importante: assicurati di rispettare le maiuscole/minuscole quando digiti l’identificatore.
Azioni relative al provisioning supportate:
Importare nuovi utenti e aggiornamenti di profilo.
Inviare nuovi utenti.
Inviare aggiornamenti di profilo.
Salva le modifiche.
Creare l’URL di richiamo dell’autorizzazione
Devi creare un URL di richiamo autorizzato per Apple School Manager per ottenere i record utente dal tuo IdP tramite SCIM. Questo URL di richiamo si basa sul nome dell’app SCIM che hai creato nel tuo IdP.
Ricordati il nome della tua app SCIM. Per esempio:
Apple School Manager: AppleSchoolManagerSCIM
Incolla il nome dell’app all'interno del seguente URL. Per esempio:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Salva l’URL di richiamo dell’autorizzazione
Incollalo in Apple School Manager nella prossima attività.
Creare e copiare le informazioni sul client SCIM nel proprio IdP
In Apple School Manager
, accedi con un account con il ruolo di amministrazione, responsabile sede o responsabile persone.Seleziona il tuo nome nella parte inferiore della barra laterale, seleziona Preferenze
, quindi Apple Account gestiti 
.Seleziona Attiva accanto a Sincronizzazione personalizzata.
Incolla l’URL di richiamo dell’autorizzazione dall’attività precedente, poi seleziona Crea.
Seleziona Applicazione SCIM, poi Crea.
Apri un nuovo file di testo o foglio di calcolo, poi inserisci i valori seguenti da Apple School Manager:
Per l’ID client OIDC, incolla l’ID client SCIM.
Per il segreto client OIDC, incolla il segreto client SCIM.
Seleziona Copia accanto a ID client, poi incolla l’ID client nel file.
Seleziona Segreto client, scegli per quanto tempo il segreto deve restare attivo prima di scadere (6, 9 o 12 mesi), poi incollalo nel file.
Importante: se elimini o dimentichi il segreto client prima di incollarlo nell’app SCIM del tuo IdP, ne devi creare uno nuovo.
Seleziona Fine.
Incollare l’ID client e il segreto client nell’app SCIM del tuo IdP e verificare la connessione
Torna alla sezione legata al provisioning dell’app SCIM del tuo IdP, poi inserisci i valori seguenti:
ID client SCIM di Apple School Manager
Segreto client SCIM di Apple School Manager
Salva le modifiche.
Se il tuo IdP ti consente di testare l’autenticazione tramite un account di amministrazione IdP, lo puoi fare adesso. Ad esempio, potrebbe essere un tasto “Autentica con [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]” oppure con qualsiasi altro nome tu abbia dato alla tua app SCIM.
Inserisci il nome di amministrazione e la password del tuo IdP e il valore dell’autenticazione due fattori.
Leggi attentamente tutte le informazioni di autorizzazione. Se le accetti, seleziona Continua.
In caso di necessità, in questo momento puoi attivare l’autenticazione con account associato per questo dominio.
Il tuo IdP e Apple School Manager sono ora configurati per sincronizzare le modifiche ad attributi utente specifici dal tuo IdP ad Apple School Manager.