Synchronizace uživatelů z vašeho poskytovatele identit do Apple School Manageru
Do Apple School Manageru můžete synchronizovat uživatele z poskytovatele identit (IdP) přes SCIM (System for Cross-domain Identity Management). Pokud uživatele synchronizujete přes SCIM, přidají se údaje o účtech jen pro čtení a zůstanou tak, dokud se neodpojíte. V tu chvíli se z účtů stanou ručně spravované účty a vy budete moct upravovat jejich atributy (například uživatelská jména). Prvotní synchronizace trvá déle než následné cykly. Informace o tom, jak často se uživatelé synchronizují do Apple School Manageru, najdete v dokumentaci ke svému IdP.
Než začnete
Než se pustíte do vytváření připojení přes SCIM, už byste měli mít úspěšně připojené federované ověřování. Viz Používání federovaného ověřování s vaším poskytovatelem identit. Potom kontaktuje svého IdP. Budete potřebovat následující informace:
Pole jedinečného identifikátoru uživatele: Hodnotou tohoto atributu je obvykle e-mailová adresa uživatele. Používá se k vytvoření spravovaného Apple ID uživatele. Může to být například userName.
Způsob ověřování: SAML 2.0.
Režim ověřování: OAuth 2.
URL jednotného přihlašování: Viz dokumentace k vašemu IdP.
URL zpětného volání pro autorizaci: Viz dokumentace k vašemu IdP.
SCIM a federované ověřování
Federované ověřování je nastavené a dá se už zapnout. Pokud je zapnuté ve chvíli, kdy se do Apple School Manageru odesílají účty z IdP, neuvidíte žádnou aktivitu, ale účty se z federované domény přesto synchronizují.
Uživatelské účty z IdP a Apple School Manager
Když pomocí SCIM zkopírujete do Apple School Manageru uživatele z IdP, dostane přidělenou výchozí funkci Student.
Přihlašovací atribut
Apple School Manager vyžaduje, aby atribut použitý pro spravované Apple ID byl jedinečný. Obvykle se jedná o e-mailovou adresu uživatele. Pokud se atribut uživatele přesně shoduje s existujícím uživatelem v Apple School Manageru, který má funkci administrátora, synchronizace neproběhne a zdrojové pole se nezmění.
ID osoby
Když do Apple School Manageru synchronizujete uživatele z IdP, vytvoří se pro jeho účet v Apple School Manageru ID osoby. Toto ID se používá k rozpoznání konfliktů uživatelských účtů. ID osoby se automaticky generuje uživatelům importovaným přes SCIM nebo v rámci integrace se SIS, ale negeneruje se automaticky uživatelům importovaným přes SFTP.
Když SCIM odpojíte a znovu nahrajete uživatele přes SFTP, vytvoří se noví uživatelé – s výjimkou případů, kdy se ID osoby v souboru nahrávaném přes SFTP shoduje s ID osoby, které už bylo předtím přiřazeno přes SCIM. Víc se dočtete v části Import účtů pomocí protokolu SFTP.
Na co je třeba pamatovat při úpravách ID osoby:
Pokud u některého účtu importovaného přes SCIM upravíte ID osoby, nebude už tento účet spárovaný s IdP.
Když u některého účtu importovaného přes SCIM upravíte ID osoby a chcete tento účet znovu připojit, musíte vyřešit konflikt uživatele.
Přihlášení k vašemu IdP
Přihlaste se ke svému IdP jako správce a proveďte jednu z následujících akcí:
Vyhledejte aplikaci vytvořenou vaším IdP. Možná budete moct přeskočit několik kroků v tomto úkolu.
Přejděte do části, kde můžete vytvořit aplikaci nebo připojení.
Vytvořte aplikaci pomocí následujících údajů:
Důležité: Zapamatujte si název SCIM aplikace, protože ho můžete potřebovat pro URL zpětného volání pro ověření.
Apple School Manager: Použijte AppleSchoolManagerSCIM.
Typ aplikace: Použijte SCIM.
Způsob ověřování: Použijte SAML 2.0.
URL jednotného přihlašování používané pro příjemce a cíl: Viz dokumentace k vašemu IdP.
URI cílové skupiny: Použijte ID entity.
Uložte změny.
Konfigurace nastavování SCIM aplikace
Vyhledejte část SCIM aplikace IdP s údaji pro nastavování a zadejte následující hodnoty:
Základní URL SCIM konektoru: https://federation.apple.com/feeds/school/scim
URI přístupového tokenu: https://appleid.apple.com/auth/oauth2/v2/token
URI autorizace: https://appleid.apple.com/auth/oauth2/v2/authorize
ID klienta: 123
Tajný klíč klienta: 123
Důležité: Protože ještě neznáte skutečné ID a tajný klíč klienta ze SCIM, jako zástupný symbol se používá 123. Tyto hodnoty nahradíte v pozdější úloze.
Režim ověřování: OAuth 2.
Pole jedinečného identifikátoru uživatele: Viz dokumentace k vašemu IdP.
Důležité: U identifikátoru se musí shodovat velikost písmen.
Podporované akce nastavování:
Import nových uživatelů a aktualizace profilů.
Automatická synchronizace nových uživatelů.
Automatické aktualizace profilů.
Uložte změny.
Vytvoření URL zpětného volání pro autorizaci
Abyste pomocí SCIM dostali záznamy uživatelů z IdP, musíte pro Apple School Manager vytvořit autorizovanou URL zpětného volání. Tato URL zpětného volání vychází z názvu SCIM aplikace, kterou jste vytvořili v IdP.
Název SCIM aplikace si zapamatujte. Například:
Apple School Manager: AppleSchoolManagerSCIM
Vložte název aplikace do následující URL. Například:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
URL zpětného volání pro autorizaci uložte.
Do Apple School Manageru vložíte adresu v další úloze.
Vytvoření a zkopírování informací o klientovi SCIM do IdP
V Apple School Manageru se přihlaste jako uživatel s funkcí administrátora, správce instituce nebo správce osob.
Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby a zvolte Synchronizace adresářů .
Vedle Vlastní synchronizace vyberte Zapnout.
Vložte URL zpětného volání pro autorizaci z předchozí úlohy a zvolte Vytvořit.
Vyberte SCIM aplikaci a potom zvolte Vytvořit.
Otevřete nový textový soubor nebo tabulku a zadejte následující hodnoty z Apple School Manageru:
Do pole ID klienta OIDC vložte ID klienta SCIM.
Do pole pro tajný klíč klienta OIDC vložte tajný klíč klienta SCIM.
Zvolte Kopírovat vedle ID klienta a pak vložte ID klienta do souboru.
Vyberte Tajný klíč klienta, zvolte, jak dlouho má být tajný klíč aktivní, než vyprší jeho platnost (6, 9 nebo 12 měsíců), a pak vložte tajný klíč klienta do souboru.
Důležité: Pokud tajný klíč klienta před vložením do SCIM aplikace IdP smažete nebo zapomenete, musíte vytvořit nový tajný klíč klienta.
Vyberte Hotovo.
Vložení ID klienta a tajného klíče klienta do SCIM aplikace IdP a ověření připojení
Vraťte se do části SCIM aplikace IdP s údaji pro nastavování a zadejte následující hodnoty:
ID klienta SCIM pro Apple School Manager
Tajný klíč klienta SCIM pro Apple School Manager
Uložte změny.
Pokud váš IdP umožňuje testovat ověřování pomocí účtu správce IdP, teď můžete ověřování otestovat. Může k tomu sloužit tlačítko jako například „Ověřit pomocí [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]“ nebo jakkoli jste SCIM aplikaci pojmenovali.
Zadejte jméno a heslo správce k vašemu IdP a pak zadejte hodnotu dvoufaktorového ověřování.
Pozorně si přečtěte případné informace o autorizaci. Pokud souhlasíte, zvolte Pokračovat.
Pokud je to potřeba, můžete teď pro tuto doménu zapnout federované ověřování.
Váš IdP a Apple School Manager jsou teď nakonfigurované pro synchronizaci určitých změn atributů uživatelů z IdP do Apple School Manageru.