Benutzer:innen aus deinem IdP in Apple School Manager synchronisieren
Du kannst das System für domainübergreifende Identitätsverwaltung (SCIM) in Apple School Manager verwenden, um Benutzer:innen aus deinem Identitätsprovider (IdP) zu synchronisieren. Wenn du Benutzer:innen per SCIM synchronisierst, werden die Accountinformationen schreibgeschützt hinzugefügt, bis du die Verbindung trennst. Die Accounts werden dann zu manuellen Accounts, und Attribute darin (wie Benutzernamen) können bearbeitet werden. Die erste Synchronisierung dauert länger als nachfolgende Zyklen. Beziehe dich auf die Dokumentation deines IdPs, um zu erfahren, wie oft Benutzer:innen mit Apple School Manager synchronisiert werden.
Erste Schritte
Bevor du mit dem Erstellen einer SCIM-Verbindung beginnst, solltest du bereits erfolgreich eine Verbindung anhand von verknüpfter Authentifizierung hergestellt haben. Siehe Verknüpfte Authentifizierung mit deinem Identitätsprovider verwenden. Kontaktiere dann deinen IdP und stelle sicher, dass du über die folgenden Informationen verfügst:
Eindeutiges ID-Feld für Benutzer:innen: Der Wert für dieses Attribut ist in der Regel die E-Mail-Adresse der Benutzer:innen. Er wird verwendet, um die verwaltete Apple-ID des:der Benutzer:in zu erstellen. Er kann beispielsweise userName lauten.
Authentifizierungsmethode: SAML 2.0
Authentifizierungsmodus: OAuth 2
URL für Single Sign-On: Beziehe dich auf die Dokumentation deines IdP.
Rückruf-URL für die Autorisierung: Beziehe dich auf die Dokumentation deines IdP.
SCIM und verknüpfte Authentifizierung
Die verknüpfte Authentifizierung ist aktiviert und möglicherweise bereits eingeschaltet. Wenn sie beim Senden der IdP-Accounts an Apple School Manager bereits eingeschaltet ist, kannst du keine Aktivität sehen, aber die Accounts werden trotzdem mit den verknüpften Domains synchronisiert.
IdP-Benutzeraccounts und Apple School Manager
Wenn ein:e Benutzer:in mithilfe von SCIM vom IdP in Apple School Manager kopiert wird, hat er:sie standardmäßig die Funktion „Schüler:in/Studierende:r“.
Anmeldeattribut
Apple School Manager erfordert, dass das Attribut für die verwaltete Apple-ID eindeutig ist. Hierbei handelt es sich in der Regel um die E-Mail-Adresse des:der Benutzer:in. Wenn ein:e Benutzer:in ein Attribut hat, das exakt mit dem eines:einer bestehenden Benutzer:in von Apple School Manager übereinstimmt, der:die die Funktion „Administrator:in“ hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert.
Personen-ID
Wenn ein:e IdP-Benutzer:in mit Apple School Manager synchronisiert wird, wird eine Personen-ID für den Apple School Manager-Account erstellt. Diese ID wird zur Ermittlung von in Konflikt stehenden Benutzeraccounts verwendet. Die Personen-ID wird außerdem automatisch für Benutzer:innen erstellt, die über SCIM oder mittels SIS-Integration importiert wurden. Sie wird nicht automatisch für Benutzer:innen erstellt, die mittels SFTP importiert wurden.
Wenn die Verbindung zu SCIM getrennt wird und über SFTP erneut Benutzer:innen hochgeladen werden, werden neue Benutzer:innen erstellt, es sei denn, die Personen-ID in der SFTP-Upload-Datei entspricht der Personen-ID, die von SCIM zugewiesen wurde. Weitere Informationen findest du unter Accounts mittels SFTP importieren.
Wichtige Aspekte, die bei Änderung der Personen-ID berücksichtigt werden müssen:
Wenn du die Personen-ID eines Accounts änderst, der zuvor aus SCIM importiert wurde, ist dieser nicht mehr mit dem IdP gekoppelt.
Wenn du die Personen-ID eines Accounts änderst, der zuvor aus SCIM importiert wurde, und ihn wieder mit dem Account verbinden möchtest, musst du den Benutzerkonflikt lösen.
Bei deinem IdP anmelden
Melde dich als Administrator bei deinem IdP an, und führe dann einen dieser Schritte aus:
Suche die App, die dein IdP erstellt hat. Unter Umständen kannst du mehrere Schritte dieser Aufgabe überspringen.
Navigiere zum Bildschirm, in dem du eine App oder Verbindung erstellen kannst.
Erstelle die App mit den folgenden Informationen:
Wichtig: Notiere den Namen der SCIM-App, da du ihn möglicherweise für die Rückruf-URL für die Autorisierung benötigst.
Apple School Manager: Verwende AppleSchoolManagerSCIM.
App-Typ: Verwende SCIM.
Authentifizierungsmethode: Verwende SAML 2.0.
URL für Single Sign-On für Empfänger und Ziel: Beziehe dich auf die Dokumentation deines IdP.
Zielgruppen-URI: Verwende die Entitäts-ID.
Sichere die Änderungen.
Bereitstellungseinstellungen der SCIM-App konfigurieren
Suche den Bereitstellungsabschnitt der IdP-SCIM-App, und gib die folgenden Werte ein:
Basis-URL des SCIM-Connectors: https://federation.apple.com/feeds/school/scim
Zugriffstoken-URI: https://appleid.apple.com/auth/oauth2/v2/token
Autorisierungs-URI: https://appleid.apple.com/auth/oauth2/v2/authorize
Client-ID: 123
Client-Secret: 123
Wichtig: Da dir die eigentliche SCIM-Client-ID und das Client-Secret noch nicht bekannt sind, wird 123 als Platzhalter verwendet. Du ersetzt diese Werte im Rahmen einer späteren Aufgabe.
Authentifizierungsmodus: OAuth 2.
Eindeutiges ID-Feld für Benutzer:innen: Beziehe dich auf die Dokumentation deines IdP.
Wichtig: Beachte unbedingt die Groß-/Kleinschreibung bei der ID.
Unterstützte Bereitstellungsaktionen:
Importieren neuer Benutzer:innen und Profilaktualisierungen
Push-Vorgänge für neue Benutzer:innen
Push-Vorgänge für Profilaktualisierungen
Sichere die Änderungen.
Erstellen der Rückruf-URL für die Autorisierung
Du musst eine autorisierte Callback-URL für Apple School Manager erstellen, um mit SCIM Benutzerdatensätze von deinem IdP abzurufen. Diese Callback-URL basiert auf dem Namen der SCIM-App, die du in deinem IdP erstellt hast.
Notiere den Namen der SCIM-App. Zum Beispiel:
Apple School Manager: AppleSchoolManagerSCIM
Füge den Namen der App in die folgende URL ein. Zum Beispiel:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Sichere die Rückruf-URL für die Autorisierung.
Du fügst sie in der nächsten Aufgabe in Apple School Manager ein.
SCIM-Client-Informationen erstellen und in deinen IdP kopieren
Melde dich bei Apple School Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann „Verzeichnissynchronisierung“ aus.
Wähle neben „Eigene Synchronisierung“ die Option „Aktivieren“ aus.
Füge die Rückruf-URL für die Autorisierung aus der vorherigen Aufgabe ein, und wähle dann „Erstellen“ aus.
Wähle „SCIM-App“ aus, und wähle dann „Erstellen“ aus.
Öffne eine neue Textdatei oder Tabellenkalkulation, und gib die folgenden Werte von Apple School Manager ein:
Füge als OIDC-Client-ID die SCIM-Client-ID ein.
Füge als OIDC-Client-Secret das SCIM-Client-Secret ein.
Wähle neben der Client-ID die Option „Kopieren“ aus, und füge dann die Client-ID in die Datei ein.
Wähle „Client-Secret“ aus, wähle aus, wie lange das Secret aktiv sein soll, bevor es abläuft (6, 9 oder 12 Monate), und füge dann das Client-Secret in die Datei ein.
Wichtig: Falls du das Client-Secret löschst oder vergisst, bevor du es in die IdP-SCIM-App eingefügt hast, musst du ein neues Client-Secret erstellen.
Wähle „Fertig“ aus.
Die Client-ID und das Client-Secret in die IdP-SCIM-App einfügen und die Verbindung prüfen
Kehre zum Bereitstellungsabschnitt der IdP-SCIM-App zurück, und füge die folgenden Werte ein:
Apple School Manager SCIM-Client-ID
Apple School Manager SCIM-Client-Secret
Sichere die Änderungen.
Wenn dein IdP das Testen der Authentifizierung anhand eines IdP-Administratoraccounts ermöglicht, kannst du dies nun testen. Es gibt zum Beispiel möglicherweise eine Taste „Authentifizieren mit [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]“ oder ähnlich, abhängig vom Namen der SCIM-App.
Gib den IdP-Administratornamen und das -Passwort ein, und gib dann den Wert für die Zwei-Faktor-Authentifizierung ein.
Lies die angezeigten Autorisierungsinformationen sorgfältig durch, falls vorhanden. Wenn du einverstanden bist, wähle „Weiter“ aus.
Falls notwendig, kannst du nun die verknüpfte Authentifizierung für diese Domain aktivieren.
Der IdP und Apple School Manager sind nun für das Synchronisieren bestimmter Benutzerattributänderungen vom IdP nach Apple School Manager konfiguriert.