Používání federovaného ověřování s vaším poskytovatelem identit v Apple School Manageru
Apple School Manager můžete propojit se svým poskytovatelem identit (IdP), a umožnit tak uživatelům, aby se k zařízením Apple přihlašovali svými uživatelskými jmény a hesly z IdP. Vaši uživatelé tak můžou používat svá uživatelská jména a hesla z IdP jako spravovaná Apple ID. Potom se k přiřazenému iPhonu, iPadu, Macu, a dokonce i k iCloudu na webu přihlásí těmito přihlašovacími údaji.
Tento proces obnáší čtyři hlavní kroky:
1. Ověření domény
2. Přihlášení k IdP a vytvoření nové OIDC (Open ID Connect) aplikace nebo připojení
3. Konfigurace a otestování aplikace nebo připojení
4. Zapnutí federovaného ověřování
Než začnete
Než začnete, musíte se rozhodnout, jestli chcete pomocí SCIM synchronizovat s IdP, nebo jenom používat federované ověřování. Pokud plánujete pomocí SCIM synchronizovat s IdP, počkejte se zapnutím federovaného ověřování, dokud nebude připojení přes SCIM úspěšně navázané.
Pro samotné federované ověřování budete potřebovat následující informace:
Způsob přihlášení: Použijte OIDC (Open ID Connect).
Přístup k rozsahu: Přístup musí být udělen pro
ssf.manage
assf.read
.Konfigurační URL frameworku SSF (Shared Signals Framework): Viz dokumentace k vašemu IdP.
Konfigurační URL OpenID: Viz dokumentace k vašemu IdP.
Krok 1: Ověření domény
Abyste v Apple School Manageru viděli uživatele z IdP, musíte přidat a ověřit doménu, kterou chcete používat. Domény se přidávají a ověřují v Apple School Manageru.
Viz Odkazování na nové domény.
Poznámka: Ověřovací proces prověří, jestli vaše organizace skutečně má oprávnění upravovat DNS (Domain Name Service) záznamy vaší domény. Například když chcete jako doménu použít betterbag.com, musíte do 14 kalendářních dnů od začátku ověřovacího procesu (který začíná výběrem tlačítka Ověřit) přidat do zónového souboru vašeho DNS serveru příslušný TXT záznam.
Krok 2: Vytvořte novou OIDC aplikaci nebo připojení
Na připojení k Apple School Manageru musí váš IdP obsahovat aplikaci s příslušnými nastaveními pro připojení k Apple School Manageru. Případně takovou aplikaci musíte vytvořit. Vzhledem k tomu, že každý IdP používá jiný způsob vytvoření aplikace a v každém se příslušná nastavení nacházejí jinde, dokončete tento proces podle dokumentace k vašemu IdP.
Přihlaste se ke svému IdP jako správce a proveďte jednu z následujících akcí:
Vyhledejte aplikaci vytvořenou vaším IdP. Možná budete moct přeskočit několik kroků v tomto úkolu.
Přejděte do části, kde můžete vytvořit aplikaci nebo připojení.
Při vytváření aplikace nebo připojení použijte následující údaje:
Apple School Manager: AppleSchoolManagerOIDC.
Způsob přihlášení: OIDC (Open ID Connect).
Typ aplikace: Webová aplikace.
Typ udělení: Obnovovací token.
URI přesměrování pro přihlášení: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Přístup: Povolte určité uživatele.
Přístup k rozsahu: Přístup musí být udělen pro
ssf.manage
assf.read
.
Uložte změny.
Dále na této stránce musíte do Apple School Manageru vložit určité informace. Další krok proto spočívá ve zkopírování těchto informací do textového nebo tabulkového souboru.
Otevřete nový textový soubor nebo tabulku a zadejte následující hodnoty z IdP:
Do příslušného pole vložte ID klienta OIDC.
Do příslušného pole vložte tajný klíč klienta OIDC.
Uložte soubor na bezpečné místo.
Krok 3: Konfigurace a otestování připojení
V Apple School Manageru se přihlaste jako uživatel s funkcí administrátora, správce instituce nebo správce osob.
Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby a zvolte Účty .
Vedle volby Ověření federované totožnosti vyberte Upravit, vyberte Vlastní poskytovatel identity a zvolte Připojit.
Zadejte název připojení pro federované ověřování.
Můžete použít až 128 znaků.
Z textového souboru nebo tabulky uložené v předchozí části zkopírujte do Apple School Manageru hodnoty ID klienta a tajného klíče klienta.
Získejte ze svého IdP adresy URL pro následující dvě konfigurace:
SSF (Shared Signals Framework)
OpenID
Vyberte Pokračovat.
Pokud byly všechny zadané hodnoty platné, zobrazí se přihlašovací stránka vašeho IdP. Pokračujte krokem 8.
Přihlaste se uživatelským jménem a heslem správce IdP.
Vyberte Hotovo.
Krok 4: Zapnutí federovaného ověřování
V Apple School Manageru se přihlaste jako uživatel s funkcí administrátora, správce instituce nebo správce osob.
Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby a zvolte Účty .
V části Domény vyberte Upravit a pak vyberte Federovat vedle domény, kterou chcete pomocí IdP federovat.
Počkejte na dokončení procesu.