Verknüpfte Authentifizierung mit deinem Identitätsprovider in Apple School Manager verwenden
In Apple School Manager kannst du eine Verbindung zu deinem Identitätsprovider (IdP) herstellen, damit sich die Benutzer:innen mit ihrem IdP-Benutzernamen und -Passwort bei ihren Apple-Geräten anmelden können. Damit können deine Benutzer:innen ihre IdP-Benutzernamen und -Passwörter als verwaltete Apple-IDs verwenden. Anschließend ist die Anmeldung mit diesen Anmeldedaten beim zugewiesenen iPhone, iPad oder Mac und sogar bei iCloud im Internet möglich.
Dieser Prozess umfasst vier Hauptschritte:
1. Domain bestätigen
2. Beim IdP anmelden und eine neue Open ID Connect (OIDC)-App oder -Verbindung erstellen
3. App oder Verbindung konfigurieren und testen
4. Verknüpfte Authentifizierung aktivieren
Erste Schritte
Bevor du beginnst, musst du wissen, ob die Synchronisierung mit dem IdP über SCIM erfolgen soll oder nur anhand der verknüpfen Authentifizierung. Wenn du mithilfe von SCIM eine Verbindung zum IdP herstellen möchtest, solltest du mit der Aktivierung der verknüpften Authentifizierung warten, bis die SCIM-Verbindung steht.
Wenn du nur die verknüpfte Authentifizierung verwendest, benötigst du die folgenden Informationen:
Anmeldemethode: Verwende Open ID Connect (OIDC).
Umfangszugriff: Zugriff muss gewährt werden für
ssf.manage
undssf.read
.URL für die Shared Signals Framework (SSF)-Konfiguration: Beziehe dich auf die Dokumentation deines IdP.
URL für die OpenID-Konfiguration: Beziehe dich auf die Dokumentation deines IdP.
Schritt 1: Domain bestätigen
Bevor du deine IdP-Benutzer:innen mit Apple School Manager anzeigen kannst, musst du die gewünschte Domain hinzufügen und bestätigen. Du fügst Domains in Apple School Manager hinzu und bestätigst sie dort auch.
Siehe Neue Domains verknüpfen.
Hinweis: Bei der Bestätigung wird sichergestellt, dass deine Organisation berechtigt ist, die DNS (Domain Name Service)-Einträge für deine Domain zu ändern. Um beispielsweise „betterbag.com“ als Domain zu verwenden, musst du der Zonendatei deines Domain-Nameservers innerhalb von 14 Kalendertagen nach Beginn des Bestätigungsvorgangs (beginnt, wenn du die Taste „Bestätigen“ auswählst) einen bestimmten TXT-Eintrag hinzufügen.
Schritt 2: Neue OIDC-App oder -Verbindung erstellen
Um eine Verbindung mit Apple School Manager herzustellen, muss dein IdP über eine App verfügen, die bestimmte Einstellungen für die Verknüpfung mit Apple School Manager umfasst, oder eine solche App erstellen. Da jeder IdP eine verschiedene Methode zum Erstellen einer App hat und Einstellungen an einem bestimmten Ort speichert, beziehe dich auf die Dokumentation deines IdPs, um zu erfahren, wie dieser Prozess durchgeführt wird.
Melde dich als Administrator bei deinem IdP an, und führe dann einen dieser Schritte aus:
Suche die App, die dein IdP erstellt hat. Unter Umständen kannst du mehrere Schritte dieser Aufgabe überspringen.
Navigiere zum Bildschirm, in dem du eine App oder Verbindung erstellen kannst.
Erstelle die App oder Verbindung mit den folgenden Informationen:
Apple School Manager: AppleSchoolManagerOIDC
Anmeldemethode: Open ID Connect (OIDC)
App-Typ: Web-App
Gewährungstyp: Aktualisierungstoken
URI für Anmelde-Umleitungen: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Zugriff: Gewähre bestimmten Benutzer:innen Zugriff.
Umfangszugriff: Zugriff muss gewährt werden für
ssf.manage
undssf.read
.
Sichere die Änderungen.
Auf dieser Seite musst du später bestimmte Informationen in Apple School Manager einfügen. Die nächste Aufgabe besteht darin, diese Informationen in eine Text- oder Tabellenkalkulationsdatei zu kopieren.
Öffne eine neue Textdatei oder Tabellenkalkulation, und gib die folgenden Werte vom IdP ein:
Füge als OIDC-Client-ID die OIDC-Client-ID ein.
Füge als OIDC-Client-Secret das OIDC-Client-Secret ein.
Sichere die Datei an einem sicheren Speicherort.
Schritt 3: Verbindung konfigurieren und testen
Melde dich bei Apple School Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann „Konten“ aus.
Wähle neben „Verknüpfte Authentifizierung“ die Option „Bearbeiten“, dann „Eigener Identitätsprovider“ und anschließend „Verbinden“ aus.
Gib einen Namen für die verknüpfte Authentifizierungsverbindung ein.
Der Name kann bis zu 128 Zeichen lang sein.
Kopiere die Werte der Client-ID und des Client-Secrets aus der Textdatei oder der Tabellenkalkulation, die du im vorherigen Abschnitt gesichert hast, in Apple School Manager.
Wende dich an deinen IdP, um URLs für die folgenden beiden Konfigurationen zu erhalten:
Shared Signals Framework (SSF)
OpenID
Wähle „Weiter“ aus.
Wenn alle angegebenen Werte gültig sind, wird die Anmeldeseite deines IdPs angezeigt. Fahre mit Schritt 8 fort.
Melde dich mit dem Benutzernamen und Passwort eines:r IdP-Administrator:in an.
Wähle „Fertig“ aus.
Schritt 4: Verknüpfte Authentifizierung aktivieren
Melde dich bei Apple School Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann „Konten“ aus.
Wähle im Bereich „Domains“ die Option „Bearbeiten“ aus, und wähle dann neben der Domain, die du mit dem IdP verknüpfen möchtest, auf „Verknüpfen“.
Warte, bis der Vorgang abgeschlossen ist.