![](https://help.apple.com/assets/65E112EC05BB1B9DF201366A/65E112F06424D69AB30BB438/he_IL/027012655ffa60501a6b40df04cf18a2.png)
סנכרון חשבונות משתמשים מספק הזהות בתוך Apple School Manager
ב‑Apple School Manager, ניתן להשתמש ב-OpenID Connect (OIDC) או במערכת לניהול זהויות בין דומיינים (SCIM) כדי לסנכרן חשבונות משתמשים מספק הזהות (IdP). באמצעות המערכת, מתבצע מיזוג של מאפייני Apple School Manager (כגון כיתה ותפקידים) עם נתוני חשבון המשתמש שיובאו מספק הזהות. כשמשתמשים ב‑SCIM לסנכרון משתמשים, פרטי החשבון נוספים לקריאה בלבד, עד להתנתקות. בשלב זה, החשבונות הופכים לחשבונות ידניים ולאחר מכן ניתן לערוך את המאפיינים בחשבונות האלה (כגון שמות משתמשים). הסנכרון הראשוני נמשך זמן רב יותר מהסנכרונים שיתבצעו במחזורים הבאים. יש לעיין במסמכים של ה‑IdP כדי לדעת את תדירות הסנכרון של משתמשים ל‑Apple School Manager.
חשוב: עומדים לרשותך ארבעה ימים קלנדריים להשלים את העברת האסימון לספק הזהות ולהקים את החיבור בהצלחה, אחרת יהיה עליך להתחיל את התהליך שוב.
לפני שמתחילים
לפני הסנכרון לספק הזהות באמצעות חיבור OIDC, חובה לבצע את הפעולות הבאות:
להגדיר ולאמת את הדומיין שבו ברצונך להשתמש. ניתן לעיין בעמוד קישור לדומיינים חדשים.
להתנתק ממערכת המידע לסטודנטים (SIS) או לעצור העלאות באמצעות SFTP.
הגדרה, איחוד והפעלה של דומיין. יש לקרוא את שימוש באימות מאוחד עם ספק הזהות.
הצבת מנהל/ת מערכת IdP עם הרשאות לערוך את ההגדרות בכוננות.
יש לוודא שהפרטים הבאים נמצאים ברשותך, ולאחר מכן לפנות לספק הזהות:
שדה מזהה ייחודי למשתמשים: הערך של מאפיין זה הוא בדרך כלל כתובת הדוא"ל של המשתמש. מידע זה משמש ליצירת Apple ID מנוהל של המשתמש. לדוגמה, הוא יכול להיות userName.
שיטת אימות: SAML 2.0.
מצב אימות: OAuth 2.
כתובת URL לכניסה יחידה: יש לעיין במסמכים של ה‑IdP.
כתובת URL של callback לאימות: יש לעיין במסמכים של ה‑IdP.
חשבונות משתמש של IdP עם Apple School Manager
כאשר משתמש מועתק מ‑IdP באמצעות SCIM ל‑Apple School Manager, תפקיד ברירת המחדל הוא "סטודנט".
הערה: קבוצות משתמשים מ‑IdP לא מסנכרנות ל‑Apple School Manager.
מאפיין התחברות
נדרש על ידי Apple School Manager שהמאפיין בשימוש עבור Apple ID מנוהל יהיה ייחודי. זוהי בדרך כלל כתובת הדוא"ל של המשתמש. אם למשתמש יש מאפיין שהוא זהה לחלוטין למשתמש Apple School Manager קיים בעל תפקיד "ניהול מערכת", לא מתבצע סנכרון ושדה המקור נשאר ללא שינוי.
מזהה אדם
כאשר מתבצע סנכרון של חשבון משתמש מ-IdP ל-Apple School Manager, נוצר מזהה אדם עבור חשבון המשתמש של Apple School Manager. מזהה זה משמש לזיהוי משתמש חשבונות משתמש מתנגשים. בנוסף, מזהה האדם נוצר אוטומטית עבור משתמשים שיובאו באמצעות SCIM או שילוב SIS, אבל לא נוצר אוטומטית ממשתמשים שיובאו באמצעות SFTP.
אם SCIM מנותק ונעשה שימוש ב‑SFTP כדי להעלות משתמשים שוב, נוצרים משתמשים חדשים אלא אם מזהה האדם בקובץ ההעלאה של SFTP יהיה תואם למזהה האדם שהוקצה על ידי SCIM. ניתן לעיין בעמוד ייבוא חשבונות באמצעות SFTP.
שיקולים חשובים אם ברצונך לשנות את מזהה האדם:
אם שינית את מזהה האדם של חשבון משתמש שיובא קודם מ‑IdP, חשבון המשתמש לא ישויך עוד ל‑IdP.
אם שינית את מזהה האדם של חשבון משתמש שיובא קודם מ‑IdP וברצונך לחבר שוב את חשבון המשתמש, עליך לפתור את ההתנגשות.
התחברות ל‑IdP
יש להתחבר ל‑IdP כמנהל/ת מערכת, ולאחר מכן:
לאתר את היישום שנוצר על ידי ה‑IdP. ייתכן שתהיה לך אפשרות לדלג על מספר שלבים במשימה זו.
לנווט אל למקום שבו ניתן ליצור יישום או חיבור.
יש ליצור את היישום באמצעות הפרטים הבאים:
חשוב: יש לזכור את שם יישום ה‑SCIM מאחר שייתכן שיהיה בו צורך עבור כתובת URL של callback לאימות.
Apple School Manager: יש להשתמש ב‑AppleSchoolManagerSCIM.
סוג היישום: יש להשתמש ב‑SCIM.
שיטת אימות: יש להשתמש ב‑SAML 2.0.
כתובת URL לכניסה יחידה המשמשת לנמען וליעד: יש לעיין במסמכים של ה‑IdP.
URI קהל: יש להשתמש במזהה ישות.
יש לשמור את השינויים.
יש לקבוע את תצורת ההגדרות של אספקת יישום SCIM
יש לאתר את מקטע האספקה של יישום SCIM של ה‑IdP ולאחר מכן להזין את הערכים הבאים:
כתובת URL של בסיס מחבר SCIM: https://federation.apple.com/feeds/school/scim
URI של אסימון גישה: https://appleid.apple.com/auth/oauth2/v2/token
URI הרשאה: https://appleid.apple.com/auth/oauth2/v2/authorize
מזהה לקוח: 123
סוד לקוח: 123
חשוב: מאחר שמזהה הלקוח וסוד הלקוח SCIM האמיתיים עדיין אינם ידועים לך, 123 משמש כממלא מקום. ערכים אלה יוחלפו במשימה מאוחרת יותר.
מצב אימות: OAuth 2.
שדה מזהה ייחודי של משתמשים: יש לעיין במסמכים של ה‑IdP.
חשוב: יש לוודא שהאותיות של המזהה זהות.
פעולות אספקה נתמכות:
ייבוא משתמשים חדשים ועדכוני פרופיל.
דחיפת משתמשים חדשים.
דחיפת עדכוני פרופיל.
יש לשמור את השינויים.
יצירת כתובת URL של callback לאימות
עליך ליצור כתובת URL של callback לאימות עבור Apple School Manager כדי לקבל רשומות משתמשים מה‑IdP באמצעות SCIM. כתובת URL של callback לאימות זו מבוססת על שם יישום ה‑SCIM שיצרת ב‑IdP.
יש לזכור את השם של יישום ה‑SCIM. למשל:
Apple School Manager: AppleSchoolManagerSCIM
יש להדביק את שם היישום בתוך כתובת ה‑URL הבאה. למשל:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
יש לשמור את כתובת URL של callback לאימות.
עליך להדביק אותה ב‑Apple School Manager במשימה הבאה.
יש ליצור ולהעתיק פרטי לקוח SCIM ל‑IdP
ב‑Apple School Manager
, יש להתחבר עם משתמש בתפקיד ניהול מערכת, ניהול אתר או ניהול כח אדם.
יש לבחור בשמך בתחתית סרגל הצד, לבחור ב"העדפות"
, ולאחר מכן לבחור באפשרות Directory Sync
.
יש לבחור "הפעלה" ליד "סנכרון מותאם אישית".
יש להדביק את כתובת URL של callback לאימות מהמשימה הקודמת ולאחר מכן לבחור "יצירה".
יש לבחור יישום SCIM ולאחר מכן לבחור "יצירה".
יש לפתוח קובץ טקסט או גיליון אלקטרוני חדש ולאחר מכן להזין את הערכים הבאים מ‑Apple School Manager:
עבור מזהה לקוח OIDC, יש להדביק את מזהה לקוח SCIM.
עבור סוד לקוח OIDC, יש להדביק את סוד לקוח SCIM.
יש לבחור "העתקה" ליד מזהה לקוח ולאחר מכן להדביק את מזהה הלקוח בקובץ.
יש לבחור את סוד הלקוח, לבחור כמה זמן הסוד יישאר פעיל לפני שתוקפו יפוג (6, 9 או 12 חודשים) ולאחר מכן להדביק את סוד הלקוח בקובץ.
חשוב: אם מחקת או שכחת את סוד הלקוח לפני שהדבקת אותו ביישום SCIM של ה‑IdP, עליך ליצור סוד לקוח חדש.
יש לבחור ב"סיום".
יש להדביק את מזהה הלקוח וסוד הלקוח ביישום SCIM של ה‑IdP ולאמת את החיבור
יש לחזור אל מקטע האספקה של יישום SCIM של ה‑IdP ולאחר מכן להדביק את הערכים הבאים:
מזהה לקוח SCIM של Apple School Manager
סוד לקוח SCIM של Apple School Manager
יש לשמור את השינויים.
אם ה‑IdP מאפשר לך לבדוק אימות באמצעות חשבון מנהל/ת מערכת של IdP, ניתן לבדוק אותו עכשיו. לדוגמה, ייתכן שקיים כפתור בשם "אימות באמצעות [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM]" או השם שנתת ליישום SCIM.
יש להזין את השם והסיסמה של מנהל/ת מערכת IdP ולאחר מכן להזין את ערך האימות בשני גורמים.
יש לקרוא בתשומת לב את פרטי ההרשאה. כדי להסכים יש לבחור "המשך".
במקרה הצורך, ניתן להפעיל עכשיו אימות מאוחד עבור דומיין זה.
התצורות של IdP ו‑Apple School Manager עכשיו מוגדרות לסנכרן שינויים במאפייני משתמש ספציפיים מה‑IdP ל‑Apple School Manager.