ซิงค์บัญชีผู้ใช้จากผู้ให้บริการข้อมูลประจำตัวของคุณใน Apple School Manager

ใน Apple School Manager คุณสามารถใช้ OpenID Connect (OIDC) หรือระบบสำหรับการจัดการข้อมูลประจำตัวข้ามโดเมน (SCIM) เพื่อซิงค์บัญชีผู้ใช้จากผู้ให้บริการข้อมูลประจำตัว (IdP) ของคุณได้ เมื่อใช้ระบบนี้ คุณจะผสานคุณสมบัติของ Apple School Manager (เช่น ระดับชั้นและบทบาท) เข้ากับข้อมูลบัญชีผู้ใช้ที่นำเข้าจาก IdP ของคุณ เมื่อคุณใช้ SCIM ในการซิงค์ผู้ใช้ ข้อมูลบัญชีจะถูกเพิ่มเป็นแบบอ่านอย่างเดียวจนกว่าคุณจะยกเลิกการเชื่อมต่อ ในเวลานั้น บัญชีดังกล่าวจะกลายเป็นบัญชีแบบดำเนินการด้วยตนเองและจะสามารถแก้ไขค่าของคุณลักษณะในบัญชีเหล่านี้ (เช่น ชื่อผู้ใช้) ได้ การซิงค์รอบแรกจะใช้เวลาดำเนินการนานกว่ารอบที่ต่อๆ ไป โปรดศึกษาเอกสารประกอบจาก IdP ของคุณเพื่อดูว่าพวกเขาซิงค์ผู้ใช้กับ Apple School Manager บ่อยแค่ไหน

สิ่งสำคัญ: คุณมีเวลาเพียงแค่ 4 วันปฏิทินในการถ่ายโอนโทเค็นไปยัง IdP ของคุณ และทำการเชื่อมต่อให้เสร็จสมบูรณ์ มิฉะนั้นคุณจะต้องเริ่มกระบวนการใหม่อีกครั้ง

ก่อนที่คุณจะเริ่ม

ก่อนที่จะซิงค์กับ IdP ของคุณโดยใช้การเชื่อมต่อ OIDC คุณต้องดำเนินการต่อไปนี้

กำหนดค่าและยืนยันโดเมนที่คุณต้องการใช้งาน ดูเพิ่มและยืนยันโดเมน
ยกเลิกการเชื่อมต่อจากระบบข้อมูลนักเรียน (SIS) ของคุณ หรือหยุดการอัปโหลดที่ใช้ SFTP
กำหนดค่า รวมศูนย์ และเปิดใช้งานโดเมน โปรดดู ใช้การรับรองความถูกต้องแบบรวมศูนย์กับผู้ให้บริการข้อมูลประจำตัวของคุณ
มีผู้ดูแลระบบ IdP ของคุณที่มีสิทธิ์แก้ไขการตั้งค่าที่เตรียมพร้อมอยู่

ตรวจสอบให้แน่ใจว่าคุณมีข้อมูลต่อไปนี้ จากนั้นติดต่อ IdP ของคุณ:

ช่องตัวระบุที่ไม่ซ้ำกันสำหรับผู้ใช้: โดยทั่วไป ค่าของคุณลักษณะนี้จะเป็นที่อยู่อีเมลของผู้ใช้ ซึ่งจะใช้เพื่อสร้างบัญชี Apple ที่ได้รับการจัดการของผู้ใช้ ตัวอย่างเช่น อาจเป็น userName
วิธีการรับรองความถูกต้อง: SAML 2.0
โหมดการรับรองความถูกต้อง: OAuth 2
URL การลงชื่อเข้าแบบครั้งเดียว: ศึกษาเอกสารประกอบจาก IdP ของคุณ
URL การเรียกกลับการอนุญาต: ศึกษาเอกสารประกอบจาก IdP ของคุณ

บัญชีผู้ใช้ IdP และ Apple School Manager

เมื่อมีการคัดลอกผู้ใช้จาก IdP ของคุณไปยัง Apple School Manager โดยใช้ SCIM บทบาทตามค่าเริ่มต้นจะเป็นนักเรียน

หมายเหตุ: กลุ่มผู้ใช้จาก IdP ของคุณจะไม่ซิงค์กับ Apple School Manager

คุณลักษณะการลงชื่อเข้า

Apple School Manager กำหนดให้คุณลักษณะที่ใช้สำหรับบัญชี Apple ที่ได้รับการจัดการต้องไม่ซ้ำกัน ซึ่งโดยทั่วไปจะเป็นที่อยู่อีเมลของผู้ใช้ หากผู้ใช้มีคุณลักษณะที่เหมือนกันทุกประการกับผู้ใช้ Apple School Manager ที่มีอยู่ ซึ่งมีบทบาทเป็นผู้ดูแลระบบ ระบบจะไม่ซิงค์ข้อมูลและช่องแหล่งที่มาจะไม่มีการเปลี่ยนแปลง

ID บุคคล

เมื่อบัญชีผู้ใช้ IdP ซิงค์กับ Apple School Manager ระบบจะสร้าง ID บุคคลสำหรับบัญชีผู้ใช้ Apple School Manager ID นี้ใช้เพื่อระบุบัญชีผู้ใช้ที่ขัดแย้งกัน นอกจากนี้ ID บุคคลจะถูกสร้างขึ้นโดยอัตโนมัติสำหรับผู้ใช้ที่นำเข้าโดยใช้ SCIM หรือใช้การผสานรวม SIS แต่ ID บุคคลจะไม่สร้างขึ้นโดยอัตโนมัติสำหรับผู้ใช้ที่นำเข้าโดยใช้ SFTP

หาก SCIM ถูกยกเลิกการเชื่อมต่อ และมีการใช้ SFTP เพื่ออัปโหลดผู้ใช้อีกครั้ง ระบบจะสร้างผู้ใช้ใหม่ขึ้นมา นอกจากว่า ID บุคคลในไฟล์ SFTP ที่อัปโหลดตรงกับ ID บุคคลที่ SCIM มอบหมาย โปรดดู อัปโหลดข้อมูลระบบข้อมูลนักเรียนไปยัง Apple School Manager

ข้อควรพิจารณาที่สำคัญหากคุณแก้ไข ID บุคคลมีดังนี้

หากคุณแก้ไข ID บุคคลสำหรับบัญชีผู้ใช้ที่ได้นำเข้าจาก IdP ของคุณก่อนหน้านี้ บัญชีนั้นจะไม่จับคู่กับ IdP ของคุณอีกต่อไป
หากคุณแก้ไข ID บุคคลสำหรับบัญชีผู้ใช้ที่ได้นำเข้าจาก IdP ของคุณก่อนหน้านี้และต้องการเชื่อมต่อบัญชีผู้ใช้อีกครั้ง คุณต้องแก้ไขข้อขัดแย้ง

ลงชื่อเข้า IdP

ลงชื่อเข้า IdP ในฐานะผู้ดูแลระบบ แล้วดำเนินการข้อใดข้อหนึ่งดังต่อไปนี้
- ค้นหาแอปที่ IdP ของคุณสร้างขึ้น คุณอาจข้ามหลายขั้นตอนในงานนี้ได้
- ไปที่ที่คุณสามารถสร้างแอปหรือการเชื่อมต่อได้
สร้างแอปด้วยข้อมูลต่อไปนี้
สิ่งสำคัญ: โปรดจำชื่อแอป SCIM ไว้ เพราะคุณอาจต้องใช้สำหรับ URL การเรียกกลับการอนุญาต
- Apple School Manager: ใช้ AppleSchoolManagerSCIM
- ประเภทแอป: ใช้ SCIM
- วิธีการรับรองความถูกต้อง: ใช้ SAML 2.0
- URL การลงชื่อเข้าแบบครั้งเดียวที่ใช้สำหรับผู้รับและปลายทาง: ศึกษาเอกสารประกอบจาก IdP ของคุณ
- URI กลุ่มเป้าหมาย: ใช้ ID เอนทิตี
บันทึกการเปลี่ยนแปลง

กำหนดการตั้งค่าการจัดสรรแอป SCIM

ค้นหาส่วนการจัดสรรของแอป SCIM จาก IdP ของคุณ จากนั้นป้อนค่าต่อไปนี้
- URL ฐานของตัวเชื่อมต่อ SCIM: https://federation.apple.com/feeds/school/scim
- URI โทเค็นการเข้าถึง: https://appleaccount.apple.com/auth/oauth2/v2/token
- URI การอนุญาต: https://appleaccount.apple.com/auth/oauth2/v2/authorize
- ID ไคลเอนต์: 123
- ข้อมูลลับไคลเอนต์: 123
  สิ่งสำคัญ: เนื่องจากคุณยังไม่ทราบ ID ไคลเอนต์ SCIM และข้อมูลลับไคลเอนต์ที่แท้จริง จึงใช้ 123 เป็นตัวยึดตำแหน่ง คุณจะแทนที่ค่าเหล่านี้ในขั้นตอนถัดไป
- โหมดการรับรองความถูกต้อง: OAuth 2
- ช่องตัวระบุที่ไม่ซ้ำกันสำหรับผู้ใช้: ศึกษาเอกสารประกอบจาก IdP ของคุณ
  สิ่งสำคัญ: โปรดระบุตัวพิมพ์ให้ตรงกับตัวระบุ
- การดำเนินการจัดสรรที่รองรับ:
  - นำเข้าผู้ใช้ใหม่และการอัปเดตโปรไฟล์
  - เพิ่มผู้ใช้ใหม่
  - อัปเดตโปรไฟล์
บันทึกการเปลี่ยนแปลง

สร้าง URL การเรียกกลับการอนุญาต

คุณต้องสร้าง URL การเรียกกลับการอนุญาตสำหรับ Apple School Manager เพื่อรับบันทึกผู้ใช้จาก IdP ของคุณโดยใช้ SCIM URL การเรียกกลับนี้อิงตามชื่อของแอป SCIM ที่คุณสร้างใน IdP ของคุณ

โปรดจำชื่อแอป SCIM ของคุณไว้ ตัวอย่างเช่น:
- Apple School Manager: AppleSchoolManagerSCIM
วางชื่อแอปใน URL ต่อไปนี้ ตัวอย่างเช่น:
- https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
บันทึก URL การเรียกกลับการอนุญาต
คุณจะวาง URL ดังกล่าวลงใน Apple School Manager ในขั้นตอนถัดไป

สร้างและคัดลอกข้อมูลไคลเอนต์ SCIM ไปยัง IdP ของคุณ

ใน Apple School Manager ให้ลงชื่อเข้าด้วยผู้ใช้ที่มีบทบาทผู้ดูแลระบบ ผู้จัดการไซต์ หรือผู้จัดการบุคคล
เลือกชื่อของคุณทางด้านล่างของแถบข้าง เลือก "การตั้งค่า" จากนั้นเลือก บัญชี Apple ที่ได้รับการจัดการ
เลือก "เปิดใช้งาน" ถัดจาก "การซิงค์ที่กำหนดเอง"
วาง URL การเรียกกลับการอนุญาตจากขั้นตอนก่อนหน้า จากนั้นเลือก "สร้าง"
เลือกแอปพลิเคชัน SCIM จากนั้นเลือก "สร้าง"
เปิดไฟล์ข้อความหรือสเปรดชีตใหม่ จากนั้นป้อนค่าต่อไปนี้จาก Apple School Manager:
- สำหรับ ID ไคลเอนต์ OIDC ให้วาง ID ไคลเอนต์ SCIM
- สำหรับข้อมูลลับไคลเอนต์ OIDC ให้วางข้อมูลลับไคลเอนต์ SCIM
เลือก "คัดลอก" ถัดจาก ID ไคลเอนต์ จากนั้นวาง ID ไคลเอนต์ลงในไฟล์
เลือก "ข้อมูลลับไคลเอนต์" เลือกระยะเวลาที่ข้อมูลลับจะทำงานก่อนที่จะหมดอายุ (6, 9 หรือ 12 เดือน) จากนั้นวางข้อมูลลับไคลเอนต์ลงในไฟล์
สิ่งสำคัญ: หากคุณลบหรือลืมข้อมูลลับไคลเอนต์ก่อนที่จะวางลงในแอป SCIM จาก IdP ของคุณ คุณต้องสร้างข้อมูลลับไคลเอนต์ใหม่
เลือก "เสร็จสิ้น"

วาง ID ไคลเอนต์และข้อมูลลับไคลเอนต์ในแอป SCIM จาก IdP ของคุณ และตรวจสอบยืนยันการเชื่อมต่อ

กลับไปที่ส่วนการจัดสรรของแอป SCIM จาก IdP ของคุณ จากนั้นวางค่าต่อไปนี้
- ID ไคลเอนต์ SCIM ของ Apple School Manager
- ข้อมูลลับไคลเอนต์ SCIM ของ Apple School Manager
บันทึกการเปลี่ยนแปลง
หาก IdP ของคุณอนุญาตให้คุณทดสอบการรับรองความถูกต้องโดยใช้บัญชีผู้ดูแลระบบ IdP คุณสามารถทดสอบได้เลย ตัวอย่างเช่น อาจมีปุ่ม "รับรองความถูกต้องด้วย [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]" หรือชื่อใดก็ตามที่คุณใช้ตั้งชื่อแอป SCIM ของคุณ
ป้อนชื่อและรหัสผ่านผู้ดูแลระบบ IdP ของคุณ จากนั้นป้อนค่าการตรวจสอบสิทธิ์แบบ 2 ปัจจัย
โปรดอ่านข้อมูลการอนุญาตทุกรายการอย่างรอบคอบ หากคุณยอมรับ ให้เลือก "ดำเนินการต่อ"
หากจำเป็น คุณสามารถเปิดการรับรองความถูกต้องแบบรวมศูนย์สำหรับโดเมนนี้ได้

ขณะนี้ IdP และ Apple School Manager ของคุณได้รับการกำหนดค่าให้ซิงค์การเปลี่ยนแปลงคุณลักษณะผู้ใช้เฉพาะจาก IdP ของคุณไปยัง Apple School Manager แล้ว

ดูเพิ่มเติมใช้การรับรองความถูกต้องแบบรวมศูนย์กับผู้ให้บริการข้อมูลประจำตัวของคุณใน Apple School Manager เกี่ยวกับ URL การเรียกกลับการอนุญาตใน Apple School Manager แก้ไขความขัดแย้งในการซิงค์ของบัญชีผู้ใช้ OIDC ของ Microsoft Entra ID ใน Apple School Manager

เป็นประโยชน์ไหม

คู่มือผู้ใช้ Apple School Manager