Συγχρονισμός λογαριασμών χρηστών από την υπηρεσία παροχής ταυτότητας στην εφαρμογή Apple School Manager
Στο Apple School Manager, μπορείτε να χρησιμοποιήσετε το OpenID Connect (OIDC) ή το Σύστημα για τη Διαχείριση ταυτοτήτων μεταξύ Τομέων (SCIM) για να συγχρονίζετε λογαριασμούς χρηστών από την υπηρεσία παροχής ταυτότητάς σας (IdP). Χρησιμοποιώντας αυτό το σύστημα, συγχωνεύετε ιδιότητες του Apple School Manager (όπως επίπεδα τάξης και ρόλους) με δεδομένα λογαριασμών χρηστών που έχουν εισαχθεί από την υπηρεσία παροχής ταυτότητάς σας (IdP). Όταν χρησιμοποιείτε το SCIM για συγχρονισμό χρηστών, οι πληροφορίες λογαριασμού προστίθενται μόνο για ανάγνωση μέχρι να αποσυνδεθείτε. Τότε, οι λογαριασμοί γίνονται μη αυτόματοι λογαριασμοί και είναι δυνατή η επεξεργασία των χαρακτηριστικών σε αυτούς τους λογαριασμούς (όπως είναι τα ονόματα χρήστη). Η εκτέλεση του αρχικού συγχρονισμού διαρκεί περισσότερο από τους επόμενους κύκλους. Συμβουλευτείτε την τεκμηρίωση του IdP σας για να μάθετε πόσο συχνά συγχρονίζονται οι χρήστες στο Apple School Manager.
Σημαντικό: Έχετε μόνο 4 ημερολογιακές ημέρες για να ολοκληρώσετε τη μεταφορά διαπιστευτηρίων στην υπηρεσία παροχής ταυτότητάς σας (IdP) και να δημιουργήσετε με επιτυχία μια σύνδεση, διαφορετικά πρέπει να ξεκινήσετε ξανά τη διαδικασία.
Πριν ξεκινήσετε
Πριν κάνετε συγχρονισμό με την υπηρεσία παροχής ταυτότητάς σας (IdP) με χρήση μιας σύνδεσης OIDC, πρέπει να κάνετε τα εξής:
Διαμορφώστε και επαληθεύστε τον τομέα που θέλετε να χρησιμοποιήσετε. Δείτε Προσθήκη και επαλήθευση τομέα.
Αποσυνδεθείτε από το σύστημα πληροφόρησης μαθητών (SIS) ή διακόψτε τις αποστολές με χρήση του SFTP.
Να διαμορφώσετε, να συνενώσετε και να ενεργοποιήσετε έναν τομέα. Ανατρέξτε στο άρθρο Χρήση συνενωμένου ελέγχου ταυτότητας με την υπηρεσία παροχής ταυτότητας.
Καλέστε έναν διαχειριστή της υπηρεσίας παροχής ταυτότητάς σας (IdP) με δικαιώματα επεξεργασίας ρυθμίσεων.
Βεβαιωθείτε ότι έχετε τις ακόλουθες πληροφορίες και έπειτα επικοινωνήστε με την υπηρεσία παροχής ταυτότητάς σας (IdP):
Πεδίο μοναδικού αναγνωριστικού για χρήστες: Η τιμή αυτής του χαρακτηριστικού είναι συνήθως η διεύθυνση email του χρήστη. Χρησιμοποιείται για τη δημιουργία του Διαχειριζόμενου λογαριασμού Apple του χρήστη. Για παράδειγμα, μπορεί να είναι userName.
Τρόπος ελέγχου ταυτότητας: SAML 2.0.
Λειτουργία ελέγχου ταυτότητας: OAuth 2.
URL καθολοκής σύνδεσης: Συμβουλευτείτε την τεκμηρίωση του IdP σας.
URL επιστροφής εξουσιοδότησης: Συμβουλευτείτε την τεκμηρίωση του IdP σας.
Λογαριασμοί χρηστών του IdP και Apple School Manager
Όταν ένας χρήστης αντιγράφεται από το IdP με χρήση του SCIM στο Apple School Manager, ο προεπιλεγμένος ρόλος είναι Μαθητής.
Σημείωση: Οι ομάδες χρηστών από την υπηρεσία παροχής ταυτότητάς σας (IdP) δεν συγχρονίζονται στο Apple School Manager.
Χαρακτηριστικό σύνδεσης
Το Apple School Manager απαιτεί το χαρακτηριστικό που χρησιμοποιείται για τον Διαχειριζόμενο λογαριασμό Apple να είναι μοναδικό. Συνήθως είναι η διεύθυνση email του χρήστη. Εάν ένας χρήστης έχει ένα χαρακτηριστικό που είναι ακριβώς το ίδιο με αυτό ενός υπάρχοντα χρήστη του Apple School Manager που έχει τον ρόλο του Διαχειριστή, δεν εκτελείται συγχρονισμός και το πεδίο-πηγή παραμένει απαράλλαχτο.
Αναγνωριστικό ατόμου
Όταν ένας λογαριασμός χρήστη IdP συγχρονίζεται με το Apple School Manager, δημιουργείται ένα Αναγνωριστικό ατόμου για τον λογαριασμό χρήστη του Apple School Manager. Αυτό το αναγνωριστικό χρησιμοποιείται για την αναγνώριση λογαριασμών χρηστών σε διένεξη. Επιπλέον, το Αναγνωριστικό ατόμου δημιουργείται αυτόματα για χρήστες που έχουν εισαχθεί με τη χρήση SCIM ή ενσωμάτωσης SIS αλλά δεν δημιουργείται αυτόματα για χρήστες που έχουν εισαχθεί με τη χρήση SFTP.
Αν το SCIM είναι αποσυνδεδεμένο και το SFTP χρησιμοποιείται για να ανεβάσει ξανά χρήστες, οι νέοι χρήστες δημιουργούνται μόνο αν το Αναγνωριστικό ατόμου στο αρχείο αποστολής του SFTP αντιστοιχεί στο Αναγνωριστικό ατόμου που ανατέθηκε από το SCIM. Δείτε την ενότητα Αποστολή δεδομένων συστήματος πληροφόρησης μαθητών στο Apple School Manager.
Σημαντικά στοιχεία που πρέπει να λάβετε υπόψη αν τροποποιήσετε το Αναγνωριστικό ατόμου:
Εάν τροποποιήσετε το Αναγνωριστικό ατόμου για έναν λογαριασμό χρήστη που έχει εισαχθεί προηγουμένως από την υπηρεσία παροχής ταυτότητάς σας (IdP), αυτός ο λογαριασμός χρήστη δεν ζευγοποιείται πλέον με την υπηρεσία IdP.
Εάν τροποποιήσετε το Αναγνωριστικό ατόμου για έναν λογαριασμό χρήστη που έχει εισαχθεί προηγουμένως από την υπηρεσία παροχής ταυτότητάς σας (IdP) και θέλετε να επανασυνδέσετε τον λογαριασμό χρήστη πρέπει να επιλύσετε τη διένεξη.
Συνδεθείτε στην υπηρεσία IdP σας
Συνδεθείτε στην υπηρεσία IdP ως διαχειριστής και έπειτα κάντε ένα από τα παρακάτω:
Εντοπίστε την εφαρμογή που δημιούργησε η υπηρεσία IdP σας. Ενδέχεται να μπορείτε να παρακάμψετε αρκετά βήματα σε αυτήν την εργασία.
Μεταβείτε εκεί που μπορείτε να δημιουργήσετε μια εφαρμογή ή μια σύνδεση.
Δημιουργήστε την εφαρμογή με τις εξής πληροφορίες:
Σημαντικό: Να θυμάστε το όνομα της εφαρμογής SCIM, επειδή μπορεί να το χρειαστείτε για τη διεύθυνση URL επιστροφής εξουσιοδότησης.
Apple School Manager: Χρήση AppleSchoolManagerSCIM.
Τύπος εφαρμογής: Χρήση SCIM.
Τρόπος ελέγχου ταυτότητας: Χρήση SAML 2.0.
URL καθολικής σύνδεσης που χρησιμοποιήθηκε για παραλήπτη και προορισμό: Συμβουλευτείτε την τεκμηρίωση του IdP σας.
URI κοινού: Χρήση Αναγνωριστικού οντότητας.
Αποθηκεύστε τις αλλαγές.
Διαμορφώστε τις ρυθμίσεις παροχής της εφαρμογής SCIM
Εντοπίστε την ενότητα παροχής της εφαρμογής σας SCIM IdP και, στη συνέχεια, εισαγάγετε τις εξής τιμές:
Βασικό URL συνδέσμου SCIM: https://federation.apple.com/feeds/school/scim
URI διακριτικού πρόσβασης: https://appleaccount.apple.com/auth/oauth2/v2/token
URI εξουσιοδότησης: https://appleaccount.apple.com/auth/oauth2/v2/authorize
Αναγνωριστικό πελάτη: 123
Μυστικό πελάτη: 123
Σημαντικό: Επειδή δεν γνωρίζετε ακόμα το πραγματικό αναγνωριστικό πελάτη και το Μυστικό πελάτη SCIM, χρησιμοποιείται το 123 ως υποκατάστατο. Αντικαθιστάτε αυτές τις τιμές σε μεταγενέστερη εργασία.
Λειτουργία ελέγχου ταυτότητας: OAuth 2.
Πεδίο μοναδικού αναγνωριστικού για χρήστες: Συμβουλευτείτε την τεκμηρίωση του IdP σας.
Σημαντικό: Βεβαιωθείτε ότι έχετε εισαγάγει σωστά την αλληλουχία πεζών-κεφαλαίων, όπως στο αναγνωριστικό.
Υποστηριζόμενες ενέργειες παροχής:
Εισαγωγή νέων χρηστών και ενημερώσεων προφίλ.
Προώθηση νέων χρηστών.
Προώθηση ενημερώσεων προφίλ.
Αποθηκεύστε τις αλλαγές.
Δημιουργία της διεύθυνσης URL επιστροφής εξουσιοδότησης
Πρέπει να δημιουργήσετε μια διεύθυνση URL επιστροφής εξουσιοδότησης, ώστε το Apple School Manager να λάβει εγγραφές χρηστών από το IdP σας χρησιμοποιώντας SCIM. Αυτή η διεύθυνση URL επιστροφής εξουσιοδότησης βασίζεται στο όνομα της εφαρμογής SCIM που δημιουργήσατε στο IdP.
Να θυμάστε το όνομα της εφαρμογής σας SCIM. Για παράδειγμα:
Apple School Manager: AppleSchoolManagerSCIM
Επικολλήστε το όνομα της εφαρμογής στην ακόλουθη διεύθυνση URL. Για παράδειγμα:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Αποθηκεύστε τη διεύθυνση URL επιστροφής εξουσιοδότησης.
Την επικολλάτε στο Apple School Manager στην επόμενη εργασία.
Αντιγράψτε και επικολλήστε τις πληροφορίες πελάτη SCIM στο IdP σας
Στο Apple School Manager , συνδεθείτε με έναν λογαριασμό χρήστη που έχει τον ρόλο Διαχειριστή, Υπευθύνου διαχείρισης ιδρύματος ή Υπευθύνου διαχείρισης ατόμων.
Επιλέξτε το όνομά σας στο κάτω μέρος της πλαϊνής στήλης, επιλέξτε «Προτιμήσεις» και έπειτα επιλέξτε Διαχειριζόμενοι λογαριασμοί Apple .
Επιλέξτε «Ενεργοποίηση» δίπλα στον «Προσαρμοσμένο Συγχρονισμό».
Επικολλήστε τη διεύθυνση URL επιστροφής εξουσιοδότησης από την προηγούμενη εργασία και, στη συνέχεια, επιλέξτε «Δημιουργία».
Επιλέξτε «Εφαρμογή SCIM» και, στη συνέχεια, «Δημιουργία».
Ανοίξτε ένα νέο αρχείο κειμένου ή υπολογιστικού φύλλου, και έπειτα εισαγάγετε τις εξής τιμές από το Apple School Manager:
Για το Αναγνωριστικό πελάτη OIDC, επικολλήστε το Αναγνωριστικό πελάτη SCIM.
Για το Μυστικό πελάτη OIDC, επικολλήστε το Μυστικό πελάτη SCIM.
Επιλέξτε «Αντιγραφή» δίπλα από το Αναγνωριστικό πελάτη και, στη συνέχεια, επικολλήστε το Αναγνωριστικό πελάτη στο αρχείο.
Επιλέξτε «Μυστικό πελάτη», επιλέξτε το διάστημα για το οποίο το μυστικό θα παραμείνει ενεργό μέχρι να λήξει (6,9 ή 12 μήνες) και, στη συνέχεια, επικολλήστε το Μυστικό πελάτη στο αρχείο.
Σημαντικό: Αν διαγράψετε ή ξεχάσετε το Μυστικό πελάτη πριν το επικολλήσετε στην εφαρμογή σας SCIM IdP, πρέπει να δημιουργήσετε ένα νέο Μυστικό πελάτη.
Επιλέξτε «Τέλος».
Επικολλήστε το Αναγνωριστικό πελάτη και το Μυστικό πελάτη στην εφαρμογή σας SCIM IdP και επαληθεύστε τη σύνδεση
Επιστρέψτε στην ενότητα παροχής της εφαρμογής σας SCIM IdP και, στη συνέχεια, επικολλήστε τις εξής τιμές:
Αναγνωριστικό πελάτη SCIM Apple School Manager
Μυστικό πελάτη SCIM Apple School Manager
Αποθηκεύστε τις αλλαγές.
Αν το IdP σάς επιτρέπει να δοκιμάσετε τον έλεγχο ταυτότητας χρησιμοποιώντας λογαριασμό διαχειριστή IdP, μπορείτε να πραγματοποιήσετε τη δοκιμή τώρα. Για παράδειγμα, ενδέχεται να υπάρχει ένα κουμπί «Έλεγχος ταυτότητας με [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM],» ή με το όνομα της εφαρμογής σας SCIM.
Εισαγάγετε το όνομα και το συνθηματικό διαχειριστή σας IdP και, στη συνέχεια, εισαγάγετε την τιμή ελέγχου ταυτότητας δύο παραγόντων.
Διαβάστε τις πληροφορίες σχετικά με την εξουσιοδότηση με προσοχή. Αν συμφωνείτε, επιλέξτε «Συνέχεια».
Εάν είναι απαραίτητο, μπορείτε πλέον να ενεργοποιήσετε τον συνενωμένο έλεγχο ταυτότητας για αυτόν τον τομέα.
Το IdP σας και το Apple School Manager είναι πλέον διαμορφωμένα, έτσι ώστε να συγχρονίζουν συγκεκριμένες αλλαγές στα χαρακτηριστικά χρηστών από το IdP σας στο Apple School Manager.