Používání federovaného ověřování s vaším poskytovatelem identit v Apple School Manageru
Apple School Manager můžete pomocí federovaného ověřování propojit se svým poskytovatelem identit (IdP) a umožnit tak uživatelům, aby se k zařízením Apple přihlašovali svými uživatelskými jmény (zpravidla e‑mailovou adresou) a hesly od poskytovatele identit.
Uživatelé pak můžou používat svoje uživatelská jména a hesla od poskytovatele identit jako spravované účty Apple. Těmito údaji se pak můžou přihlašovat ke svému přiřazenému iPhonu, iPadu, Macu, Apple Vision Pro nebo sdílenému iPadu. Po přihlášení k některému z těchto zařízení se pak můžou přihlásit i k iCloudu na webu.
Proces federovaného ověřování
Tento proces obnáší čtyři hlavní kroky:
Přidejte a ověřte doménu.
Vytvořte novou OIDC aplikaci nebo připojení.
Nakonfigurujte federované ověřování a otestuje jej na jednom účtu od poskytovatele identit.
Zapnutí federovaného ověřování.
Důležité: Před nakonfigurováním federovaného ověřování si projděte následující.
Krok 1: Ověření domény
Abyste v Apple School Manageru viděli uživatelské účty od poskytovatele identit, musíte přidat a ověřit doménu, kterou chcete používat.
Víc se dočtete v části Přidání a ověření domény.
Ověřovací proces prověří, jestli vaše organizace skutečně má oprávnění upravovat DNS (Domain Name Service) záznamy vaší domény. Například když chcete jako doménu použít townshipschools.org, musíte do 14 kalendářních dnů od začátku ověřovacího procesu (který začíná výběrem tlačítka Ověřit) přidat do zónového souboru vašeho DNS serveru příslušný TXT záznam.
Poznámka: Pokud se pokoušíte federovat doménu, kterou jste už ověřili, ale už identickou doménu federovala jiná organizace, musíte tuto organizaci kontaktovat a určit, kdo je oprávněn tuto doménu federovat. Další informace najdete v části Konflikty domén.
Krok 2: Vytvořte novou OIDC aplikaci nebo připojení
Na připojení k Apple School Manageru musí váš IdP obsahovat aplikaci s příslušnými nastaveními pro připojení k Apple School Manageru. Případně takovou aplikaci musíte vytvořit. Vzhledem k tomu, že každý IdP používá jiný způsob vytvoření aplikace a v každém se příslušná nastavení nacházejí jinde, dokončete tento proces podle dokumentace k vašemu IdP.
Přihlaste se ke svému IdP jako správce a proveďte jednu z následujících akcí:
Vyhledejte aplikaci vytvořenou vaším IdP. Je možné, že budete moci několik kroků v tomto úkolu přeskočit.
Přejděte do části, kde můžete vytvořit aplikaci nebo připojení.
Při vytváření aplikace nebo připojení použijte následující údaje:
Apple School Manager: AppleSchoolManagerOIDC.
Způsob přihlášení: OIDC (Open ID Connect).
Typ aplikace: Webová aplikace.
Typ udělení: Obnovovací token.
URI přesměrování pro přihlášení: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Přístup: Povolení konkrétních uživatelských účtů.
Přístup k rozsahu: Přístup musí být udělen pro
ssf.manageassf.read.
Uložte změny.
Dále na této stránce musíte do Apple School Manageru vložit určité informace. Další krok proto spočívá ve zkopírování těchto informací do textového nebo tabulkového souboru.
Otevřete nový textový soubor nebo tabulku a zadejte následující hodnoty z IdP:
Do příslušného pole vložte ID klienta OIDC.
Do příslušného pole vložte tajný klíč klienta OIDC.
Uložte soubor na bezpečné místo.
Krok 3: Nakonfigurujte federované ověřování a otestuje ho na jednom účtu od poskytovatele identit
Cílem tohoto kroku je navázat vztah důvěry mezi poskytovatelem identit a Apple School Managerem.
Poznámka: Po dokončení tohoto kroku už uživatelé nebudou moct v nakonfigurované doméně vytvářet nové osobní účty Apple. To může mít vliv na ostatní služby Apple, které vaši uživatelé používají. Další informace najdete v části Převedení služeb Apple pod spravovaný účet Apple.
V Apple School Manageru
se přihlaste jako uživatel s funkcí administrátora, správce instituce nebo správce osob.Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby
, zvolte Spravované účty Apple 
a pak v části Přihlášení uživatele a synchronizace adresáře vyberte Začít.Vyberte Vlastní poskytovatel identity a poté vyberte Pokračovat.
Zadejte název připojení pro federované ověřování.
Můžete použít až 128 znaků.
Z textového souboru nebo tabulky uložené v předchozí části zkopírujte do Apple School Manageru hodnoty ID klienta a tajného klíče klienta.
Získejte ze svého IdP adresy URL pro následující dvě konfigurace:
SSF (Shared Signals Framework)
OpenID
Vyberte Pokračovat.
Pokud byly všechny zadané hodnoty platné, zobrazí se přihlašovací stránka vašeho IdP. Pokračujte krokem 8.
Přihlaste se uživatelským jménem a heslem od poskytovatele identit.
Vyberte Hotovo.
Krok 4: Zapněte federované ověřování
V Apple School Manageru
se přihlaste jako uživatel s funkcí administrátora, správce instituce nebo správce osob.Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby
a zvolte Spravované účty Apple .V části Domény vyberte Spravovat vedle domény, kterou chcete federovat, a poté vyberte Zapnout přihlašování přes vašeho poskytovatele identity.
Zapněte možnost Přihlásit se přes vašeho poskytovatele identity.
Pokud je to potřeba, můžete teď s Apple School Managerem synchronizovat uživatelské účty. Víc se dočtete v části Synchronizace uživatelských účtů od poskytovatele identit.