Käyttäjien synkronointi henkilöllisyyden tarjoajastasi Apple School Manageriin
Apple School Managerissa voit synkronoida käyttäjät henkilöllisyyden tarjoajastasi SCIM:n (System for Cross-domain Identity Management) avulla. Kun synkronoit käyttäjät SCIM:llä, tilitiedot lisätään Vain luku ‑muodossa, kunnes katkaiset yhteyden. Tileistä tulee silloin manuaalisia tilejä, jolloin tilien määritteitä (esimerkiksi käyttäjätunnuksia) voi muokata. Ensimmäinen synkronointi kestää kauemmin kuin sitä seuraavat synkronoinnit. Tarkista henkilöllisyyden tarjoajasi käyttöohjeista, miten usein se synkronoi käyttäjät Apple School Manageriin.
Ennen aloittamista
Sinun olisi pitänyt jo muodostaa yhteys yhdistetyllä todennuksella ennen SCIM-yhteyden luomisen aloittamista. Katso lisätietoja kohdasta Yhdistetyn todennuksen käyttö henkilöllisyyden tarjoajan kanssa. Ota sitten yhteyttä henkilöllisyyden tarjoajaasi ja varmista, että sinulla on seuraavat tiedot:
Käyttäjien yksilöllinen tunnistekenttä: tämän määritteen arvo on yleensä käyttäjän sähköpostiosoite. Tällä luodaan käyttäjän rajoitettu Apple ID. Se voi olla esimerkiksi userName.
Todennustapa: SAML 2.0.
Todennustapa: OAuth 2.
Kertakirjautumisen URL-osoite: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
Todennuksen vastakutsun URL-osoite: tarkista tämä henkilöllisyyden tarjoajan käyttöohjeista.
SCIM ja yhdistetty todennus
Yhdistetty todennus on jo otettu käyttöön ja se saattaa olla jo käytössä. Jos se on käytössä, et näe toimintoa, kun henkilöllisyyden tarjoajan tilit lähetetään Apple School Manageriin, mutta tilit synkronoidaan silti yhdistetystä domainista.
Henkilöllisyyden tarjoajan käyttäjätilit Apple School Managerissa
Kun käyttäjä kopioidaan henkilöllisyyden tarjoajastasi SCIM:llä Apple School Manageriin, oletusrooli on Henkilökunta.
Kirjautumismäärite
Apple School Manager edellyttää, että rajoitetulle Apple ID:lle käytetty määrite on yksilöllinen. Tämä on yleensä käyttäjän sähköpostiosoite. Jos käyttäjällä on määrite, joka on täysin sama kuin olemassa oleva Apple School Managerin käyttäjä, jolla on ylläpitäjän rooli, synkronointia ei tehdä, jolloin lähdekenttä pysyy ennallaan.
Henkilön tunnus
Kun henkilöllisyyden tarjoajan käyttäjä synkronoidaan Apple School Manageriin, Apple School Manager ‑käyttäjätilille luodaan henkilön tunnus. Tällä tunnuksella tunnistetaan ristiriitaiset tilit. SCIM:llä tai SIS-integroinnilla tuoduille käyttäjille luodaan lisäksi automaattisesti henkilön tunnus, mutta sitä ei luoda automaattisesti käyttäjille, jotka on tuotu SFTP:llä.
Jos SCIM-yhteys katkeaa ja käyttäjät ladataan uudelleen SFTP:llä, järjestelmä luo uudet käyttäjät, ellei SFTP-latauksessa käytetty henkilön tunnus täsmää SCIM:ssä liitetyn henkilön tunnuksen kanssa. Katso Tilien tuominen SFTP:llä.
Tärkeitä huomioitavia seikkoja, jos muokkaat henkilön tunnusta:
Jos muokkaat aiemmin SCIM:stä tuodun tilin henkilön tunnusta, tätä tiliä ei enää yhdistetä henkilöllisyyden tarjoajaan.
Jos muokkaat sellaisen tilin henkilön tunnusta, joka on tuotu aiemmin SCIM:stä, ja haluat yhdistää tilin uudelleen, sinun on ratkaistava käyttäjäristiriita.
Kirjaudu henkilöllisyyden tarjoajasi palveluun
Kirjaudu henkilöllisyyden tarjoajasi palveluun ylläpitäjänä ja toimi sitten seuraavasti:
Etsi henkilöllisyyden tarjoajasi luoma appi. Voit ehkä ohittaa useita vaiheita tässä tehtävässä.
Siirry paikkaan, jossa voit luoda apin tai yhteyden.
Luo appi seuraavin tiedoin:
Tärkeää: Muista SCIM-apin nimi, sillä tarvitset sitä valtuutuksen vastakutsun URL-osoitteessa.
Apple School Manager: käytä arvoa AppleSchoolManagerSCIM.
Appityyppi: käytä SCIM:iä.
Todennustapa: käytä SAML 2.0:aa.
Kertakirjautumisen URL-osoite, jota käytetään vastaanottajalle ja kohteelle: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
Yleisön URI: käytä organisaatiotunnusta.
Tallenna muutokset.
SCIM-apin valmisteluasetusten määrittäminen
Etsi henkilöllisyyden tarjoajasi SCIM-apin valmisteluosio ja anna siinä seuraavat arvot:
SCIM-yhdistimen URL-perusosoite: https://federation.apple.com/feeds/school/scim
Käyttöoikeustunnuksen URI: https://appleid.apple.com/auth/oauth2/v2/token
Todennuksen URI: https://appleid.apple.com/auth/oauth2/v2/authorize
Asiakastunnus: 123
Asiakassalaisuus: 123
Tärkeää: Koska et vielä tiedä todellista SCIM-asiakastunnusta ja -asiakassalaisuutta, paikkamerkkinä käytetään arvoa 123. Korvaat nämä arvot myöhemmin tehtävässä.
Todennustapa: OAuth 2.
Käyttäjien yksilöllinen tunnistekenttä: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
Tärkeää: Varmista, että tunnisteen kirjainkoko täsmää.
Tuetut valmistelutoiminnot
Tuo uudet käyttäjät ja profiilipäivitykset.
Lähetä uudet käyttäjät.
Lähetä profiilipäivitykset.
Tallenna muutokset.
Valtuutuksen vastakutsun URL-osoitteen luominen
Sinun täytyy luoda Apple School Managerille valtuutuksen vastakutsun URL-osoite, jotta voit hakea käyttäjätietueita henkilöllisyyden tarjoajastasi SCIM:llä. Tämä vastakutsun URL-osoite perustuu henkilöllisyyden tarjoajapalvelussa luomasi SCIM-apin nimeen.
Muista SCIM-appisi nimi. Hajautusarvo voi olla esimerkiksi:
Apple School Manager: AppleSchoolManagerSCIM
Sijoita apin nimi seuraavaan URL-osoitteeseen. Hajautusarvo voi olla esimerkiksi:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Tallenna valtuutuksen vastakutsun URL-osoite.
Sijoitat sen Apple School Manageriin seuraavassa tehtävässä.
SCIM-asiakastietojen luominen ja kopioiminen henkilöllisyyden tarjoajaasi
Kirjaudu Apple School Managerissa sisään tilillä, jonka roolina on ylläpitäjä, järjestelmähallinnoija tai henkilöhallinnoija.
Valitse nimesi sivupalkin alaosassa, valitse Asetukset ja valitse sitten Hakemistosynkronointi .
Valitse Mukautettu Sync -kohdan vierestä Ota käyttöön.
Sijoita valtuutuksen vastakutsun URL-osoite edellisestä tehtävästä ja valitse sitten Luo.
Valitse SCIM-appi ja valitse sitten Luo.
Avaa uusi tekstitiedosto tai laskentataulukko ja anna sitten seuraavat arvot Apple School Managerista:
Sijoita OIDC-asiakastunnuksen kohtaan SCIM-asiakastunnus.
Sijoita OIDC-asiakassalaisuuden kohtaan SCIM-asiakassalaisuus.
Valitse Asiakastunnus-kohdan vierestä Kopioi ja sijoita sitten asiakastunnus tiedostoon.
Valitse Asiakkaan salaisuus, valitse salaisuuden voimassaoloaika (6, 9 tai 12 kuukautta) ja sijoita sitten asiakkaan salaisuus tiedostoon.
Tärkeää: Jos poistat tai unohdat asiakassalaisuuden ennen sen sijoittamista henkilöllisyyden tarjoajasi SCIM-appiin, sinun täytyy luoda asiakassalaisuus.
Valitse Valmis.
Sijoita asiakastunnus ja asiakassalaisuus henkilöllisyyden tarjoajasi SCIM-apista ja vahvista yhteys
Palaa henkilöllisyyden tarjoajasi SCIM-apin valmisteluosioon ja sijoita siihen seuraavat arvot:
Apple School Managerin SCIM-asiakastunnus
Apple School Managerin SCIM-asiakassalaisuus
Tallenna muutokset.
Jos henkilöllisyyden tarjoajasi sallii todennuksen testauksen henkilöllisyyden tarjoajan ylläpitäjätilillä, voit testata sen nyt. Palvelussa saattaa olla esimerkiksi painike, jolla voit todentaa apilla [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM] tai antamasi nimen mukaisella SCIM-apilla.
Anna henkilöllisyyden tarjoajasi ylläpitäjän nimi ja salasana. Anna sitten kaksiosaisen todennuksen arvo.
Lue kaikki valtuutustiedot huolellisesti. Jos hyväksyt, valitse Jatka.
Voit tarvittaessa ottaa nyt käyttöön yhdistetyn todennuksen tälle domainille.
Henkilöllisyyden tarjoajasi ja Apple School Manager on nyt määritetty synkronoimaan tiettyjen käyttäjämääritteiden muutokset henkilöllisyyden tarjoajastasi Apple School Manageriin.