Käyttäjätilien synkronointi henkilöllisyyden tarjoajastasi Apple School Manageriin
Apple School Managerissa voit synkronoida käyttäjätilit henkilöllisyyden tarjoajastasi OpenID Connectilla (OIDC) tai System for Cross-domain Identity Managementilla (SCIM). Tällä järjestelmällä yhdistät Apple School Managerin ominaisuudet (esimerkiksi arvosanatasot ja roolit) käyttäjätilitietoihin, jotka on tuotu henkilöllisyyden tarjoajastasi. Kun synkronoit käyttäjät SCIM:llä, tilitiedot lisätään Vain luku ‑muodossa, kunnes katkaiset yhteyden. Tileistä tulee silloin manuaalisia tilejä, jolloin tilien määritteitä (esimerkiksi käyttäjätunnuksia) voi muokata. Ensimmäinen synkronointi kestää kauemmin kuin sitä seuraavat synkronoinnit. Tarkista henkilöllisyyden tarjoajasi käyttöohjeista, miten usein se synkronoi käyttäjät Apple School Manageriin.
Tärkeää: Sinulla on vain neljä kalenteripäivää aikaa suorittaa tunnuksen siirto henkilöllisyyden tarjoajaasi ja muodostaa yhteys onnistuneesti. Muussa tapauksessa joudut aloittamaan prosessin alusta.
Ennen aloittamista
Sinun täytyy toimia seuraavasti, ennen kuin synkronoit henkilöllisyyden tarjoajaasi OIDC-yhteydellä:
Määritä ja vahvista domain, jota haluat käyttää. Lue ohjeet uusien domainien yhdistämiseen.
Katkaise yhteys opiskelijatietojärjestelmään tai lopeta SFTP-lataukset.
Määritä, yhdistä ja ota käyttöön domain. Katso lisätietoja kohdasta Yhdistetyn todennuksen käyttö henkilöllisyyden tarjoajan kanssa.
Varmista, että asetusten muokkaamiseen oikeutettu henkilöllisyyden tarjoajasi ylläpitäjä on saatavilla.
Kerää seuraavat tiedot valmiiksi ja ota sitten yhteyttä henkilöllisyyden tarjoajaasi:
Käyttäjien yksilöllinen tunnistekenttä: tämän määritteen arvo on yleensä käyttäjän sähköpostiosoite. Tällä luodaan käyttäjän rajoitettu Apple ID. Se voi olla esimerkiksi userName.
Todennustapa: SAML 2.0.
Todennustapa: OAuth 2.
Kertakirjautumisen URL-osoite: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
Todennuksen vastakutsun URL-osoite: tarkista tämä henkilöllisyyden tarjoajan käyttöohjeista.
Henkilöllisyyden tarjoajan käyttäjätilit Apple School Managerissa
Kun käyttäjä kopioidaan henkilöllisyyden tarjoajastasi SCIM:llä Apple School Manageriin, oletusrooli on Henkilökunta.
Huomaa: Käyttäjäryhmiä henkilöllisyyden tarjoajastasi ei synkronoida Apple School Manageriin.
Kirjautumismäärite
Apple School Manager edellyttää, että rajoitetulle Apple ID:lle käytetty määrite on yksilöllinen. Tämä on yleensä käyttäjän sähköpostiosoite. Jos käyttäjällä on määrite, joka on täysin sama kuin olemassa oleva Apple School Managerin käyttäjä, jolla on ylläpitäjän rooli, synkronointia ei tehdä, jolloin lähdekenttä pysyy ennallaan.
Henkilön tunnus
Kun henkilöllisyyden tarjoajan käyttäjätili synkronoidaan Apple School Manageriin, Apple School Manager ‑käyttäjätilille luodaan henkilön tunnus. Tällä tunnuksella tunnistetaan ristiriitaiset tilit. SCIM:llä tai SIS-integroinnilla tuoduille käyttäjille luodaan lisäksi automaattisesti henkilön tunnus, mutta sitä ei luoda automaattisesti käyttäjille, jotka on tuotu SFTP:llä.
Jos SCIM-yhteys katkeaa ja käyttäjät ladataan uudelleen SFTP:llä, järjestelmä luo uudet käyttäjät, ellei SFTP-latauksessa käytetty henkilön tunnus täsmää SCIM:ssä liitetyn henkilön tunnuksen kanssa. Lue lisätietoja aiheesta Kalentereiden ja tapahtumien palauttaminen iCloud.comissa.
Tärkeitä huomioitavia seikkoja, jos muokkaat henkilön tunnusta:
Jos muokkaat aiemmin henkilöllisyyden tarjoajastasi tuodun käyttäjätilin henkilön tunnusta, tätä käyttäjätiliä ei enää yhdistetä henkilöllisyyden tarjoajaan.
Jos muokkaat henkilöllisyyden tarjoajastasi aiemmin tuodun käyttäjätilin henkilön tunnusta ja haluat yhdistää tämän käyttäjätilin uudelleen, sinun on ratkaistava ristiriita.
Kirjaudu henkilöllisyyden tarjoajasi palveluun
Kirjaudu henkilöllisyyden tarjoajasi palveluun ylläpitäjänä ja toimi sitten seuraavasti:
Etsi henkilöllisyyden tarjoajasi luoma appi. Voit ehkä ohittaa useita vaiheita tässä tehtävässä.
Siirry paikkaan, jossa voit luoda apin tai yhteyden.
Luo appi seuraavin tiedoin:
Tärkeää: Muista SCIM-apin nimi, sillä tarvitset sitä valtuutuksen vastakutsun URL-osoitteessa.
Apple School Manager: käytä arvoa AppleSchoolManagerSCIM.
Appityyppi: käytä SCIM:iä.
Todennustapa: käytä SAML 2.0:aa.
Kertakirjautumisen URL-osoite, jota käytetään vastaanottajalle ja kohteelle: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
Yleisön URI: käytä organisaatiotunnusta.
Tallenna muutokset.
SCIM-apin valmisteluasetusten määrittäminen
Etsi henkilöllisyyden tarjoajasi SCIM-apin valmisteluosio ja anna siinä seuraavat arvot:
SCIM-yhdistimen URL-perusosoite: https://federation.apple.com/feeds/school/scim
Käyttöoikeustunnuksen URI: https://appleid.apple.com/auth/oauth2/v2/token
Todennuksen URI: https://appleid.apple.com/auth/oauth2/v2/authorize
Asiakastunnus: 123
Asiakassalaisuus: 123
Tärkeää: Koska et vielä tiedä todellista SCIM-asiakastunnusta ja ‑asiakassalaisuutta, paikkamerkkinä käytetään arvoa 123. Korvaat nämä arvot myöhemmin.
Todennustapa: OAuth 2.
Käyttäjien yksilöllinen tunnistekenttä: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
Tärkeää: varmista, että tunnisteen kirjainkoko täsmää.
Tuetut valmistelutoiminnot
Tuo uudet käyttäjät ja profiilipäivitykset.
Lähetä uudet käyttäjät.
Lähetä profiilipäivitykset.
Tallenna muutokset.
Valtuutuksen vastakutsun URL-osoitteen luominen
Sinun täytyy luoda Apple School Managerille valtuutuksen vastakutsun URL-osoite, jotta voit hakea käyttäjätietueita henkilöllisyyden tarjoajastasi SCIM:llä. Tämä vastakutsun URL-osoite perustuu henkilöllisyyden tarjoajapalvelussa luomasi SCIM-apin nimeen.
Muista SCIM-appisi nimi. Hajautusarvo voi olla esimerkiksi:
Apple School Manager: AppleSchoolManagerSCIM
Sijoita apin nimi seuraavaan URL-osoitteeseen. Hajautusarvo voi olla esimerkiksi:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Tallenna valtuutuksen vastakutsun URL-osoite.
Sijoitat sen Apple School Manageriin seuraavassa tehtävässä.
SCIM-asiakastietojen luominen ja kopioiminen henkilöllisyyden tarjoajaasi
Kirjaudu Apple School Managerissa sisään tilillä, jonka roolina on ylläpitäjä, järjestelmähallinnoija tai henkilöhallinnoija.
Valitse nimesi sivupalkin alaosassa, valitse Asetukset ja valitse sitten Rajoitetut Apple ID:t .
Valitse Mukautettu Sync -kohdan vierestä Ota käyttöön.
Sijoita valtuutuksen vastakutsun URL-osoite edellisestä tehtävästä ja valitse sitten Luo.
Valitse SCIM-appi ja valitse sitten Luo.
Avaa uusi tekstitiedosto tai laskentataulukko ja anna sitten seuraavat arvot Apple School Managerista:
Sijoita OIDC-asiakastunnuksen kohtaan SCIM-asiakastunnus.
Sijoita OIDC-asiakassalaisuuden kohtaan SCIM-asiakassalaisuus.
Valitse Asiakastunnus-kohdan vierestä Kopioi ja sijoita sitten asiakastunnus tiedostoon.
Valitse Asiakkaan salaisuus, valitse salaisuuden voimassaoloaika (6, 9 tai 12 kuukautta) ja sijoita sitten asiakkaan salaisuus tiedostoon.
Tärkeää: jos poistat tai unohdat asiakassalaisuuden ennen sen sijoittamista henkilöllisyyden tarjoajasi SCIM-appiin, sinun täytyy luoda asiakassalaisuus.
Valitse Valmis.
Sijoita asiakastunnus ja asiakassalaisuus henkilöllisyyden tarjoajasi SCIM-apista ja vahvista yhteys
Palaa henkilöllisyyden tarjoajasi SCIM-apin valmisteluosioon ja sijoita siihen seuraavat arvot:
Apple School Managerin SCIM-asiakastunnus
Apple School Managerin SCIM-asiakassalaisuus
Tallenna muutokset.
Jos henkilöllisyyden tarjoajasi sallii todennuksen testauksen henkilöllisyyden tarjoajan ylläpitäjätilillä, voit testata sen nyt. Palvelussa saattaa olla esimerkiksi painike, jolla voit todentaa apilla [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM] tai antamasi nimen mukaisella SCIM-apilla.
Anna henkilöllisyyden tarjoajasi ylläpitäjän nimi ja salasana. Anna sitten kaksiosaisen todennuksen arvo.
Lue kaikki valtuutustiedot huolellisesti. Jos hyväksyt, valitse Jatka.
Voit tarvittaessa ottaa nyt käyttöön yhdistetyn todennuksen tälle domainille.
Henkilöllisyyden tarjoajasi ja Apple School Manager on nyt määritetty synkronoimaan tiettyjen käyttäjämääritteiden muutokset henkilöllisyyden tarjoajastasi Apple School Manageriin.