Benutzeraccounts aus deinem IdP in Apple School Manager synchronisieren
Du kannst OpenID Connect (OIDC) oder das System für Domain-übergreifende Identitätsverwaltung (SCIM) in Apple School Manager verwenden, um Benutzeraccounts aus deinem Identitätsprovider (IdP) zu synchronisieren. Mithilfe dieses Systems werden Eigenschaften von Apple School Manager (z. B. Klassenstufe und Funktionen) mit importierten Benutzeraccountdaten aus deinem IdP zusammengefügt. Wenn du Benutzer:innen per SCIM synchronisierst, werden die Accountinformationen schreibgeschützt hinzugefügt, bis du die Verbindung trennst. Die Accounts werden dann zu manuellen Accounts, und Attribute darin (wie Benutzernamen) können bearbeitet werden. Die erste Synchronisierung dauert länger als nachfolgende Zyklen. Beziehe dich auf die Dokumentation deines IdPs, um zu erfahren, wie oft Benutzer:innen mit Apple School Manager synchronisiert werden.
Wichtig: Du hast nur 4 Kalendertage Zeit, um den Token an deinen IdP zu übertragen und eine Verbindung herzustellen. Anderenfalls musst du den Vorgang erneut starten.
Erste Schritte
Führe folgende Schritte aus, bevor du eine Synchronisierung mit deinem IdP über eine OIDC-Verbindung durchführst:
Konfiguriere und bestätige die gewünschte Domain. Siehe Eine Domain hinzufügen und bestätigen.
Trenne die Verbindung mit dem Studierendeninformationssystem (SIS) oder höre auf, SFTP für Uploads zu verwenden.
Konfigurieren, Verknüpfen und Aktivieren einer Domain. Siehe Verknüpfte Authentifizierung mit deinem Identitätsprovider verwenden.
Wende dich telefonisch an eine:n IdP-Administrator:in mit der Befugnis, Einstellungen zu bearbeiten.
Stelle sicher, dass du über die folgenden Informationen verfügst und kontaktiere dann deinen IdP:
Eindeutiges ID-Feld für Benutzer:innen: Der Wert für dieses Attribut ist in der Regel die E-Mail-Adresse der Benutzer:innen. Er wird verwendet, um den verwalteten Apple Account des:der Benutzer:in zu erstellen. Er kann beispielsweise userName lauten.
Authentifizierungsmethode: SAML 2.0
Authentifizierungsmodus: OAuth 2
URL für Single Sign-On: Beziehe dich auf die Dokumentation deines IdP.
Rückruf-URL für die Autorisierung: Beziehe dich auf die Dokumentation deines IdP.
IdP-Benutzeraccounts und Apple School Manager
Wenn ein:e Benutzer:in mithilfe von SCIM vom IdP in Apple School Manager kopiert wird, hat er:sie standardmäßig die Funktion „Schüler:in/Studierende:r“.
Hinweis: Benutzergruppen vom IdP werden nicht mit Apple School Manager synchronisiert.
Anmeldeattribut
Apple School Manager erfordert, dass das Attribut für den verwalteten Apple Account eindeutig ist. Hierbei handelt es sich in der Regel um die E-Mail-Adresse des:der Benutzer:in. Wenn ein:e Benutzer:in ein Attribut hat, das exakt mit dem eines:einer bestehenden Benutzer:in von Apple School Manager übereinstimmt, der:die die Funktion „Administrator:in“ hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert.
Personen-ID
Wenn ein IdP-Benutzeraccount mit Apple School Manager synchronisiert wird, wird eine Personen-ID für den Apple School Manager-Account erstellt. Diese ID wird zur Ermittlung von in Konflikt stehenden Benutzeraccounts verwendet. Die Personen-ID wird außerdem automatisch für Benutzer:innen erstellt, die über SCIM oder mittels SIS-Integration importiert wurden. Sie wird nicht automatisch für Benutzer:innen erstellt, die mittels SFTP importiert wurden.
Wenn die Verbindung zu SCIM getrennt wird und über SFTP erneut Benutzer:innen hochgeladen werden, werden neue Benutzer:innen erstellt, es sei denn, die Personen-ID in der SFTP-Upload-Datei entspricht der Personen-ID, die von SCIM zugewiesen wurde. Siehe Daten des Studierendeninformationssystems in Apple School Manager hochladen.
Wichtige Aspekte, die bei Änderung der Personen-ID berücksichtigt werden müssen:
Wenn du die Personen-ID eines Benutzeraccounts änderst, der zuvor aus deinem IdP importiert wurde, ist dieser Benutzeraccount nicht mehr mit dem IdP gekoppelt.
Wenn du die Personen-ID eines Benutzeraccounts änderst, der zuvor aus deinem IdP importiert wurde, und diesen Benutzeraccount wieder verbinden möchtest, musst du den Konflikt lösen.
Bei deinem IdP anmelden
Melde dich als Administrator:in bei deinem IdP an, und führe dann einen dieser Schritte aus:
Suche die App, die dein IdP erstellt hat. Unter Umständen kannst du mehrere Schritte dieser Aufgabe überspringen.
Navigiere zum Bildschirm, in dem du eine App oder Verbindung erstellen kannst.
Erstelle die App mit den folgenden Informationen:
Wichtig: Notiere den Namen der SCIM-App, da du ihn möglicherweise für die Rückruf-URL für die Autorisierung benötigst.
Apple School Manager: Verwende AppleSchoolManagerSCIM.
App-Typ: Verwende SCIM.
Authentifizierungsmethode: Verwende SAML 2.0.
URL für Single Sign-On für Empfänger und Ziel: Beziehe dich auf die Dokumentation deines IdP.
Zielgruppen-URI: Verwende die Entitäts-ID.
Sichere die Änderungen.
Bereitstellungseinstellungen der SCIM-App konfigurieren
Suche den Bereitstellungsabschnitt der IdP-SCIM-App, und gib die folgenden Werte ein:
Basis-URL des SCIM-Connectors: https://federation.apple.com/feeds/school/scim
Zugriffstoken-URI: https://appleaccount.apple.com/auth/oauth2/v2/token
Autorisierungs-URI: https://appleaccount.apple.com/auth/oauth2/v2/authorize
Client-ID: 123
Client-Secret: 123
Wichtig: Da dir die eigentliche SCIM-Client-ID und das Client-Secret noch nicht bekannt sind, wird 123 als Platzhalter verwendet. Du ersetzt diese Werte im Rahmen einer späteren Aufgabe.
Authentifizierungsmodus: OAuth 2.
Eindeutiges ID-Feld für Benutzer:innen: Beziehe dich auf die Dokumentation deines IdP.
Wichtig: Beachte unbedingt die Groß-/Kleinschreibung bei der ID.
Unterstützte Bereitstellungsaktionen:
Importieren neuer Benutzer:innen und Profilaktualisierungen
Push-Vorgänge für neue Benutzer:innen
Push-Vorgänge für Profilaktualisierungen
Sichere die Änderungen.
Erstellen der Rückruf-URL für die Autorisierung
Du musst eine autorisierte Callback-URL für Apple School Manager erstellen, um mit SCIM Benutzerdatensätze von deinem IdP abzurufen. Diese Callback-URL basiert auf dem Namen der SCIM-App, die du in deinem IdP erstellt hast.
Notiere den Namen der SCIM-App. Zum Beispiel:
Apple School Manager: AppleSchoolManagerSCIM
Füge den Namen der App in die folgende URL ein. Zum Beispiel:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Sichere die Rückruf-URL für die Autorisierung.
Du fügst sie in der nächsten Aufgabe in Apple School Manager ein.
SCIM-Client-Informationen erstellen und in deinen IdP kopieren
Melde dich bei Apple School Manager mit einem Benutzeraccount an, der die Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ hat.
Wähle deinen Namen am unteren Rand der Seitenleiste aus und wähle „Einstellungen“ und dann Verwaltete Apple Accounts aus.
Wähle neben „Eigene Synchronisierung“ die Option „Aktivieren“ aus.
Füge die Rückruf-URL für die Autorisierung aus der vorherigen Aufgabe ein, und wähle dann „Erstellen“ aus.
Wähle „SCIM-App“ aus, und wähle dann „Erstellen“ aus.
Öffne eine neue Textdatei oder Tabellenkalkulation, und gib die folgenden Werte von Apple School Manager ein:
Füge als OIDC-Client-ID die SCIM-Client-ID ein.
Füge als OIDC-Client-Secret das SCIM-Client-Secret ein.
Wähle neben der Client-ID die Option „Kopieren“ aus, und füge dann die Client-ID in die Datei ein.
Wähle „Client-Secret“ aus, wähle aus, wie lange das Secret aktiv sein soll, bevor es abläuft (6, 9 oder 12 Monate), und füge dann das Client-Secret in die Datei ein.
Wichtig: Falls du das Client-Secret löschst oder vergisst, bevor du es in die IdP-SCIM-App eingefügt hast, musst du ein neues Client-Secret erstellen.
Wähle „Fertig“ aus.
Die Client-ID und das Client-Secret in die IdP-SCIM-App einfügen und die Verbindung prüfen
Kehre zum Bereitstellungsabschnitt der IdP-SCIM-App zurück, und füge die folgenden Werte ein:
Apple School Manager SCIM-Client-ID
Apple School Manager SCIM-Client-Secret
Sichere die Änderungen.
Wenn dein IdP das Testen der Authentifizierung anhand eines IdP-Administratoraccounts ermöglicht, kannst du dies nun testen. Es gibt zum Beispiel möglicherweise eine Taste „Authentifizieren mit [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]“ oder ähnlich, abhängig vom Namen der SCIM-App.
Gib den IdP-Administratornamen und das -Passwort ein, und gib dann den Wert für die Zwei-Faktor-Authentifizierung ein.
Lies die angezeigten Autorisierungsinformationen sorgfältig durch, falls vorhanden. Wenn du einverstanden bist, wähle „Weiter“ aus.
Falls notwendig, kannst du nun die verknüpfte Authentifizierung für diese Domain aktivieren.
Der IdP und Apple School Manager sind nun für das Synchronisieren bestimmter Benutzerattributänderungen vom IdP nach Apple School Manager konfiguriert.