Συγχρονισμός χρηστών από την υπηρεσία παροχής ταυτότητας στην εφαρμογή Apple School Manager
Στο Apple School Manager, μπορείτε να χρησιμοποιήσετε το Σύστημα για τη διαχείριση ταυτότητας μεταξύ τομέων (SCIM) για να συγχρονίσετε χρήστες από την υπηρεσία παροχής ταυτότητάς σας (IdP). Όταν χρησιμοποιείτε το SCIM για συγχρονισμό χρηστών, οι πληροφορίες λογαριασμού προστίθενται μόνο για ανάγνωση μέχρι να αποσυνδεθείτε. Τότε, οι λογαριασμοί γίνονται μη αυτόματοι λογαριασμοί και είναι δυνατή η επεξεργασία των χαρακτηριστικών σε αυτούς τους λογαριασμούς (όπως είναι τα ονόματα χρήστη). Η εκτέλεση του αρχικού συγχρονισμού διαρκεί περισσότερο από τους επόμενους κύκλους. Συμβουλευτείτε την τεκμηρίωση του IdP σας για να μάθετε πόσο συχνά συγχρονίζονται οι χρήστες στο Apple School Manager.
Πριν ξεκινήσετε
Πριν ξεκινήσετε τη δημιουργία μιας σύνδεσης SCIM, πρέπει να έχετε συνδεθεί επιτυχώς χρησιμοποιώντας συνενωμένο έλεγχο ταυτότητας. Ανατρέξτε στο άρθρο Χρήση συνενωμένου ελέγχου ταυτότητας με την υπηρεσία παροχής ταυτότητας. Στη συνέχεια, επικοινωνήστε με το IdP σας και βεβαιωθείτε πως έχετε τις εξής πληροφορίες:
Πεδίο μοναδικού αναγνωριστικού για χρήστες: Η τιμή αυτής της ιδιότητας είναι συνήθως η διεύθυνση email του χρήστη. Χρησιμοποιείται για τη δημιουργία του Διαχειριζόμενου Apple ID του χρήστη. Για παράδειγμα, μπορεί να είναι userName.
Τρόπος ελέγχου ταυτότητας: SAML 2.0.
Λειτουργία ελέγχου ταυτότητας: OAuth 2.
URL καθολοκής σύνδεσης: Συμβουλευτείτε την τεκμηρίωση του IdP σας.
URL επιστροφής εξουσιοδότησης: Συμβουλευτείτε την τεκμηρίωση του IdP σας.
SCIM και συνενωμένος έλεγχος ταυτότητας
Ο συνενωμένος έλεγχος ταυτότητας είναι ενεργοποιημένος και ενδέχεται να είχε ενεργοποιηθεί από πριν. Αν είναι ενεργοποιημένος κατά την αποστολή των λογαριασμών IdP στο Apple School Manager, δεν θα δείτε κάποια δραστηριότητα, ωστόσο οι λογαριασμοί θα εξακολουθήσουν να συγχρονίζονται από τον συνενωμένο τομέα.
Λογαριασμοί χρηστών του IdP και Apple School Manager
Όταν ένας χρήστης αντιγράφεται από το IdP με χρήση του SCIM στο Apple School Manager, ο προεπιλεγμένος ρόλος είναι Μαθητής.
Χαρακτηριστικό σύνδεσης
Το Apple School Manager απαιτεί το χαρακτηριστικό που χρησιμοποιείται για το Διαχειριζόμενο Apple ID να είναι μοναδικό. Συνήθως είναι η διεύθυνση email του χρήστη. Εάν ένας χρήστης έχει ένα χαρακτηριστικό που είναι ακριβώς το ίδιο με αυτό ενός υπάρχοντα χρήστη του Apple School Manager που έχει τον ρόλο του Διαχειριστή, δεν εκτελείται συγχρονισμός και το πεδίο-πηγή παραμένει απαράλλαχτο.
Αναγνωριστικό ατόμου
Όταν ένας χρήστης IdP συγχρονίζεται με το Apple School Manager, δημιουργείται ένα αναγνωριστικό ατόμου για τον λογαριασμό του Apple School Manager. Αυτό το αναγνωριστικό χρησιμοποιείται για την αναγνώριση λογαριασμών χρηστών σε διένεξη. Επιπλέον, το αναγνωριστικό ατόμου δημιουργείται αυτόματα για χρήστες που έχουν εισαχθεί με τη χρήση SCIM ή ενσωμάτωσης SIS αλλά δεν δημιουργείται αυτόματα για χρήστες που έχουν εισαχθεί με τη χρήση SFTP.
Αν το SCIM είναι αποσυνδεδεμένο και το SFTP χρησιμοποιείται για να ανεβάσει ξανά χρήστες, οι νέοι χρήστες δημιουργούνται μόνο αν το αναγνωριστικό ατόμου στο αρχείο αποστολής του SFTP αντιστοιχεί στο αναγνωριστικό ατόμου που ανατέθηκε από το SCIM. Δείτε Εισαγωγή λογαριασμών χρησιμοποιώντας SFTP.
Σημαντικά στοιχεία που πρέπει να λάβετε υπόψη αν τροποποιήσετε το αναγνωριστικό ατόμου:
Αν τροποποιήσετε το αναγνωριστικό ατόμου για έναν λογαριασμό που έχει εισαχθεί προηγουμένως από το SCIM, αυτός ο λογαριασμός δεν ζευγοποιείται πλέον με το IdP.
Αν τροποποιήσετε το αναγνωριστικό ατόμου για ένα λογαριασμό που έχει εισαχθεί προηγουμένως από το SCIM και θέλετε να επανασυνδέσετε το λογαριασμό, πρέπει να επιλύσετε τη διένεξη χρήστη.
Συνδεθείτε στην υπηρεσία IdP σας
Συνδεθείτε στην υπηρεσία IdP ως διαχειριστής και έπειτα κάντε ένα από τα παρακάτω:
Εντοπίστε την εφαρμογή που δημιούργησε η υπηρεσία IdP σας. Ενδέχεται να μπορείτε να παρακάμψετε αρκετά βήματα σε αυτήν την εργασία.
Μεταβείτε εκεί που μπορείτε να δημιουργήσετε μια εφαρμογή ή μια σύνδεση.
Δημιουργήστε την εφαρμογή με τις εξής πληροφορίες:
Σημαντικό: Να θυμάστε το όνομα της εφαρμογής SCIM, επειδή μπορεί να το χρειαστείτε για τη διεύθυνση URL επιστροφής εξουσιοδότησης.
Apple School Manager: Χρήση AppleSchoolManagerSCIM.
Τύπος εφαρμογής: Χρήση SCIM.
Τρόπος ελέγχου ταυτότητας: Χρήση SAML 2.0.
URL καθολικής σύνδεσης που χρησιμοποιήθηκε για παραλήπτη και προορισμό: Συμβουλευτείτε την τεκμηρίωση του IdP σας.
URI κοινού: Χρήση Αναγνωριστικού οντότητας.
Αποθηκεύστε τις αλλαγές.
Διαμορφώστε τις ρυθμίσεις παροχής της εφαρμογής SCIM
Εντοπίστε την ενότητα παροχής της εφαρμογής σας SCIM IdP και, στη συνέχεια, εισαγάγετε τις εξής τιμές:
Βασικό URL συνδέσμου SCIM: https://federation.apple.com/feeds/school/scim
URI διακριτικού πρόσβασης: https://appleid.apple.com/auth/oauth2/v2/token
URI εξουσιοδότησης: https://appleid.apple.com/auth/oauth2/v2/authorize
Αναγνωριστικό πελάτη: 123
Μυστικό πελάτη: 123
Σημαντικό: Επειδή δεν γνωρίζετε ακόμα το πραγματικό αναγνωριστικό πελάτη και το Μυστικό πελάτη SCIM, χρησιμοποιείται το 123 ως υποκατάστατο. Αντικαθιστάτε αυτές τις τιμές σε μεταγενέστερη εργασία.
Λειτουργία ελέγχου ταυτότητας: OAuth 2.
Πεδίο μοναδικού αναγνωριστικού για χρήστες: Συμβουλευτείτε την τεκμηρίωση του IdP σας.
Σημαντικό: Βεβαιωθείτε ότι έχετε εισαγάγει σωστά την αλληλουχία πεζών-κεφαλαίων, όπως στο αναγνωριστικό.
Υποστηριζόμενες ενέργειες παροχής:
Εισαγωγή νέων χρηστών και ενημερώσεων προφίλ.
Προώθηση νέων χρηστών.
Προώθηση ενημερώσεων προφίλ.
Αποθηκεύστε τις αλλαγές.
Δημιουργία της διεύθυνσης URL επιστροφής εξουσιοδότησης
Πρέπει να δημιουργήσετε μια διεύθυνση URL επιστροφής εξουσιοδότησης, ώστε το Apple School Manager να λάβει εγγραφές χρηστών από το IdP σας χρησιμοποιώντας SCIM. Αυτή η διεύθυνση URL επιστροφής εξουσιοδότησης βασίζεται στο όνομα της εφαρμογής SCIM που δημιουργήσατε στο IdP.
Να θυμάστε το όνομα της εφαρμογής σας SCIM. Για παράδειγμα:
Apple School Manager: AppleSchoolManagerSCIM
Επικολλήστε το όνομα της εφαρμογής στην ακόλουθη διεύθυνση URL. Για παράδειγμα:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Αποθηκεύστε τη διεύθυνση URL επιστροφής εξουσιοδότησης.
Την επικολλάτε στο Apple School Manager στην επόμενη εργασία.
Αντιγράψτε και επικολλήστε τις πληροφορίες πελάτη SCIM στο IdP σας
Στο Apple School Manager , συνδεθείτε με έναν λογαριασμό χρήστη που έχει τον ρόλο Διαχειριστή, Υπευθύνου διαχείρισης ιδρύματος ή Υπευθύνου διαχείρισης ατόμων.
Επιλέξτε το όνομά σας στο κάτω μέρος της πλαϊνής στήλης, επιλέξτε «Προτιμήσεις» και μετά επιλέξτε «Συγχρονισμός καταλόγου» .
Επιλέξτε «Ενεργοποίηση» δίπλα στον «Προσαρμοσμένο Συγχρονισμό».
Επικολλήστε τη διεύθυνση URL επιστροφής εξουσιοδότησης από την προηγούμενη εργασία και, στη συνέχεια, επιλέξτε «Δημιουργία».
Επιλέξτε «Εφαρμογή SCIM» και, στη συνέχεια, «Δημιουργία».
Ανοίξτε ένα νέο αρχείο κειμένου ή υπολογιστικού φύλλου και, στη συνέχεια, εισαγάγετε τις εξής τιμές από το Apple School Manager:
Για το Αναγνωριστικό πελάτη OIDC, επικολλήστε το Αναγνωριστικό πελάτη SCIM.
Για το Μυστικό πελάτη OIDC, επικολλήστε το Μυστικό πελάτη SCIM.
Επιλέξτε «Αντιγραφή» δίπλα από το Αναγνωριστικό πελάτη και, στη συνέχεια, επικολλήστε το Αναγνωριστικό πελάτη στο αρχείο.
Επιλέξτε «Μυστικό πελάτη», επιλέξτε το διάστημα για το οποίο το μυστικό θα παραμείνει ενεργό μέχρι να λήξει (6,9 ή 12 μήνες) και, στη συνέχεια, επικολλήστε το Μυστικό πελάτη στο αρχείο.
Σημαντικό: Αν διαγράψετε ή ξεχάσετε το Μυστικό πελάτη πριν το επικολλήσετε στην εφαρμογή σας SCIM IdP, πρέπει να δημιουργήσετε ένα νέο Μυστικό πελάτη.
Επιλέξτε «Τέλος».
Επικολλήστε το Αναγνωριστικό πελάτη και το Μυστικό πελάτη στην εφαρμογή σας SCIM IdP και επαληθεύστε τη σύνδεση
Επιστρέψτε στην ενότητα παροχής της εφαρμογής σας SCIM IdP και, στη συνέχεια, επικολλήστε τις εξής τιμές:
Αναγνωριστικό πελάτη SCIM Apple School Manager
Μυστικό πελάτη SCIM Apple School Manager
Αποθηκεύστε τις αλλαγές.
Αν το IdP σάς επιτρέπει να δοκιμάσετε τον έλεγχο ταυτότητας χρησιμοποιώντας λογαριασμό διαχειριστή IdP, μπορείτε να πραγματοποιήσετε τη δοκιμή τώρα. Για παράδειγμα, ενδέχεται να υπάρχει ένα κουμπί «Έλεγχος ταυτότητας με [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM],» ή με το όνομα της εφαρμογής σας SCIM.
Εισαγάγετε το όνομα και το συνθηματικό διαχειριστή σας IdP και, στη συνέχεια, εισαγάγετε την τιμή ελέγχου ταυτότητας δύο παραγόντων.
Διαβάστε τις πληροφορίες σχετικά με την εξουσιοδότηση με προσοχή. Αν συμφωνείτε, επιλέξτε «Συνέχεια».
Εάν είναι απαραίτητο, μπορείτε πλέον να ενεργοποιήσετε τον συνενωμένο έλεγχο ταυτότητας για αυτόν τον τομέα.
Το IdP σας και το Apple School Manager είναι πλέον διαμορφωμένα, έτσι ώστε να συγχρονίζουν συγκεκριμένες αλλαγές στα χαρακτηριστικά χρηστών από το IdP σας στο Apple School Manager.