在 Apple 校務管理中使用身分提供者的聯合驗證。
在 Apple 校務管理中,你可以使用聯合驗證連結至身分提供者 (IdP),讓使用者透過其 IdP 使用者名稱 (通常是其電子郵件地址) 和密碼登入 Apple 裝置。
因此,你的使用者可以利用其 IdP 憑證作為管理式 Apple 帳號。然後使用者可利用這些憑證,登入獲派的 iPhone、iPad 或 Mac,甚至是網頁版 iCloud。
開始之前
在你連結至 IdP 之前,請考慮下列事項:
你必須先鎖定並啟用網域擷取,才能進行聯合驗證。請參閱鎖定網域。
聯合驗證應使用使用者的電子郵件地址作為其使用者名稱。不支援別名。
針對聯合驗證網域中具有電子郵件地址的現有使用者,其管理式 Apple 帳號會自動變更以符合該電子郵件地址。
設定並驗證要使用的網域。請參閱新增並驗證網域。
中斷與學生資訊系統 (SIS) 的連線,或停止使用 SFTP 進行上傳。
具備管理員、機構經理或成員經理職務的使用者帳號無法使用聯合驗證登入,只能管理聯合驗證程序。
若 IdP 連線已過期,使用 IdP 的聯合驗證和使用者帳號同步也會一併停止。你必須重新連線到 IdP,才能繼續使用聯合驗證和同步功能。
如打算使用聯合驗證,請瞭解下列資訊:
登入方式:使用 Open ID Connect (OIDC)。
範圍存取:必須將存取權授予下列項目
ssf.manage
和ssf.read
。Shared Signals Framework (SSF) 設定 URL:參閱你的身分提供者文件。
OpenID 設定 URL:參閱你的 IdP 文件。
聯合驗證程序
此流程有四個主要步驟:
新增並驗證網域。
建立新的 OIDC app 或連線。
使用單一 IdP 使用者帳號設定聯合驗證並測試驗證。
開啟聯合驗證.
步驟 1:驗證網域
步驟 2:建立新的 OIDC app 或連線
你的 IdP 必須具備或建立包含可連結至 Apple 校務管理之特定設定的 app,才能連線至 Apple 校務管理。由於各個 IdP 建立 app 的方式各有不同,特定設定所在的位置也不相同,因此請參閱你的 IdP 文件,瞭解如何完成此流程。
作為管理員登入你的 IdP,然後執行下列其中一項操作:
找到你的 IdP 建立的 App。你或許可以在此作業中跳過數個步驟。
瀏覽至你可建立 App 或連線的位置。
利用下列資訊建立 app 或連線:
Apple 校務管理:AppleSchoolManagerOIDC。
登入方式:Open ID Connect (OIDC)。
App 類型:網頁 app。
授予類型:重新整理權杖。
登入重新導向 URI:https://gsa-ws.apple.com/grandslam/GsService2/acs。
存取:允許特定使用者帳號。
範圍存取:必須將存取權授予下列項目
ssf.manage
和ssf.read
。
儲存變更。
稍後,你必須將此頁面的特定資訊貼至 Apple 校務管理。下一項作業是要將該資訊拷貝至文字或試算表檔案中。
開啟一個新的文字檔案或試算表,然後輸入下列 IdP 的值:
在 OIDC 用戶端 ID 的部分,貼上 OIDC 用戶端 ID。
在 OIDC 用戶端密鑰的部分,貼上 OIDC 用戶端密鑰。
將檔案儲存至安全的位置。
步驟 3:使用單一 IdP 使用者帳號設定聯合驗證並測試驗證
第一步是要在你的 IdP 與 Apple 校務管理之間建立信任關係。
【注意】完成此步驟後,使用者將無法在你設定的網域上建立新的個人 Apple 帳號。這可能會影響你的使用者所存取的其他 Apple 服務。可參閱〈建立聯合驗證時移轉 Apple 服務〉。
以具備管理員、機構經理或成員經理職務的使用者身分登入 Apple 校務管理 。
在側邊欄底部選取你的姓名,接著依序選取「偏好設定」、「管理式 Apple 帳號」,以及「使用者登入和目錄同步」底下的「開始使用」。
選取「自訂身分提供者」,再選取「繼續」。
為聯合驗證連線輸入命稱。
你最多可以使用 128 個字元。
從你在上一部分所儲存的文字檔案或試算表中,將用戶端 ID 及用戶端密鑰值拷貝至 Apple 校務管理內。
與你的 IdP 聯絡,以取得下列兩項設定的 URL:
Shared Signals Framework (SSF)
OpenID
選取「繼續」。
如果你提供的所有值皆為有效值,畫面上即會顯示 IdP 的登入頁面。繼續執行步驟 8。
使用 IdP 管理員使用者名稱和密碼登入。
選取「完成」。
步驟 4:開啟聯合驗證
以具備管理員、機構經理或成員經理職務的使用者身分登入 Apple 校務管理 。
在側邊欄底部選取你的姓名,接著選取「偏好設定」,然後選取「管理式 Apple 帳號」。
在「網域」區段中所要建立聯合驗證的網域旁邊,選取「管理」,然後選取「開啟『使用身分提供者登入』」。
開啟「使用身分提供者登入」。
如有必要,你現在可以將使用者帳號同步至 Apple 校務管理。請參閱〈從你的身分提供者同步使用者帳號〉。