שימוש באימות מאוחד עם ספק הזהות בתוך Apple School Manager‏

ב‑Apple School Manager, ניתן ליצור קישור אל ספק הזהות (IdP) באמצעות אימות מאוחד כדי לאפשר למשמשים להתחבר למכשירי Apple באמצעות שם המשתמש ב‑IdP (בדרך כלל כתובת הדוא"ל) והסיסמה.

כתוצאה מכך, המשתמשים יכולים להשתמש בשמות המשתמשים ובסיסמאות שלהם מ‑IdP בתור חשבונות Apple ID מנוהלים. כך, משתמשים יוכלו להתחבר באמצעות פרטי התחברות אלה ל‑iPhone, ל‑iPad או ל‑Mac שהוקצו להם, ואף לשירות iCloud באינטרנט.

לפני שמתחילים

לפני הקישור ל-IdP, חשוב לשים לב לפרטים הבאים:

על האימות המאוחד להשתמש בכתובת הדוא"ל של המשתמש כשם המשתמש. כינויים אינם נתמכים.
לחשבונות קיימים עם כתובת דוא"ל בדומיין של האימות המאוחד, חשבון Apple ID המנוהל משתנה אוטומטית כך שיהיה תואם לכתובת הדוא"ל.
להגדיר ולאמת את הדומיין שבו ברצונך להשתמש. ניתן לעיין בעמוד קישור לדומיינים חדשים.
להתנתק ממערכת המידע לסטודנטים (SIS) או לעצור העלאות באמצעות SFTP.
חשבונות משתמשים עם תפקידי ניהול מערכת, ניהול אתר או ניהול כוח אדם אינם יכולים להתחבר באמצעות אימות מאוחד; חשבונות כאלה יכולים לנהל את תהליך האיחוד בלבד.
כאשר פג תוקפו של החיבור ל‑IdP, איחוד וסנכרון חשבונות המשתמשים עם IdP נפסקים. כדי להמשיך להשתמש באיחוד ובסנכרון, יש צורך להתחבר מחדש אל IdP.

עבור אימות מאוחד, נדרשים הפרטים הבאים:

שיטת התחברות: יש להשתמש ב‑Open ID Connect ‏(OIDC).
גישת היקף: חובה להעניק גישה אל ssf.manage ואל ssf.read.
כתובת URL לתצורת Shared Signals Framework (SSF): יש לעיין במסמכים של ה‑IdP.
כתובת URL לתצורת OpenID: יש לעיין במסמכים של ה‑IdP.

תהליך האימות המאוחד

תהליך זה כולל ארבעה שלבים עיקריים:

הוספה ואימות דומיין.
יצירת חיבור או יישום OIDC חדש.
הגדת אימות מאוחד ובדיקת האימות באמצעות חשבון משתמש אחד ב-IdP.
הפעלת אימות מאוחד.

שלב 1: אימות דומיין

לפני שיהיה ניתן להציג את חשבונות המשתמשים ב‑IdP באמצעות Apple School Manager, עליך להוסיף ולאמת את הדומיין שברצונך להשתמש בו.

ניתן לעיין בעמוד קישור לדומיינים חדשים.

תהליך האימות מבטיח שלארגון שלך יש סמכות לשנות את רשומות השירות של שם הדומיין (DNS) עבור הדומיין שלך. לדוגמה, כדי להשתמש בדומיין בשם betterbag.com, עליך להוסיף רשומת TXT ספציפית לקובץ האזור של שרת שם הדומיין תוך 14 ימים קלנדריים מתחילתו של תהליך האימות (שמתחיל לאחר שבחרת בכפתור ״אימות״).

הערה: אם ניסית לאחד דומיין שכבר אימתת אבל ארגון אחר כבר איחד את הדומיין הזה, עליך ליצור קשר עם אותו ארגון כדי להחליט למי נתונה הסמכות לאחד את הדומיין. יש לעיין בעמוד מידע על התנגשויות בין דומיינים.

שלב 2: יצירת חיבור או יישום OIDC חדש

כדי להתחבר אל Apple School Manager, ה‑IdP חייב לכלול או ליצור יישום, שכולל הגדרות ספציפיות לקישור אל Apple School Manager. מאחר שלכל IdP יש שיטה שונה ליצירת יישום ומקום שבו הגדרות ספציפיות נמצאות, יש לעיין במסמכים של ה‑IdP על הדרך להשלים את תהליך זה.

יש להתחבר ל‑IdP כמנהל מערכת, ולאחר מכן:
- לאתר את היישום שנוצר על ידי ה‑IdP. ייתכן שתהיה לך אפשרות לדלג על מספר שלבים במשימה זו.
- לנווט אל למקום שבו ניתן ליצור יישום או חיבור.
יש ליצור את היישום או החיבור באמצעות הפרטים הבאים:
- Apple School Manager:‏ AppleSchoolManagerOIDC.
- שיטת התחברות: Open ID Connect ‏(OIDC).
- סוג היישום: יישום אינטרנט.
- סוג הרשאה: אסימון רענון.
- הפניית התחברות URI:‏ https://gsa-ws.apple.com/grandslam/GsService2/acs.
- גישה: אישור חשבונות משתמשים ספציפיים.
- גישת היקף: חובה להעניק גישה אל ssf.manage ואל ssf.read.
יש לשמור את השינויים.
מאוחר יותר בדף זה, עליך להדביק פרטים מסוימים ב‑Apple School Manager. המשימה הבאה היא להעתיק את פרטים אלה לקובץ טקסט או גיליון אלקטרוני.
יש לפתוח קובץ טקסט או גיליון אלקטרוני חדש ולאחר מכן להזין את הערכים הבאים מה‑IdP:
- עבור מזהה לקוח OIDC, יש להדביק את מזהה לקוח OIDC.
- עבור סוד לקוח OIDC, יש להדביק את סוד לקוח OIDC.
יש לשמור את הקובץ במיקום בטוח.

שלב 3: הגדת אימות מאוחד ובדיקת האימות באמצעות חשבון משתמש אחד ב-IdP

המשימה מאפשרת ל‑IdP להגדיר מתן אמון ב‑Apple School Manager.

הערה: לאחר השלמת המשימה, המשתמשים לא יוכלו ליצור חשבונות Apple ID אישיים חדשים בדומיין שהגדרת. הדבר עשוי להשפיע על שירותים אחרים של Apple שנמצאים בשימוש. ניתן לעיין בעמוד העברת שירותי Apple כשמשתמשים באימות מאוחד.

ב‑Apple School Manager‏ , יש להתחבר עם משתמש בתפקיד מנהל מערכת, מנהל אתר או מנהל כח אדם.
יש לבחור בשמך בתחתית סרגל הצד, לבחור ״העדפות״ , לבחור ״חשבונות Apple ID מנוהלים״ ואז לבחור ״צעדים ראשונים״ תחת ״התחברות משתמשים וסנכרון ספריה״.
יש לבחור ״ספק זהות בהתאמה אישית״ ואז לבחור ״המשך״.
יש להזין שם עבור חיבור האימות המאוחד.
ניתן להשתמש ב‑128 תווים לכל היותר.
יש להעתיק את ערכי מזהה הלקוח וסוד הלקוח לתוך Apple School Manager מקובץ הטקסט או הגיליון האלקטרוני ששמרת אותו בהם בסעיף הקודם.
יש ליצור קשר עם ה‑IdP כדי לקבל כתובות URL עבור שתי התצורות הבאות:
- Shared Signals Framework‏ (SSF)
- OpenID
יש לבחור ב״המשך״.
אם כל הערכים שסיפקת הם תקפים, יופיע דף ההתחברות של ה‑IdP. יש להמשיך לשלב 8.
יש להתחבר באמצעות שם משתמש וסיסמה של מנהל/ת מערכת IdP.
יש לבחור ב״סיום״.

שלב 4: הפעלת אימות מאוחד

ב‑Apple School Manager‏ , יש להתחבר עם משתמש בתפקיד מנהל מערכת, מנהל אתר או מנהל כח אדם.
יש לבחור בשמך בתחתית סרגל הצד, לבחור ב״העדפות״ , ולאחר מכן לבחור באפשרות ״חשבונות Apple ID מנוהלים״ .
במקטע ״דומיינים״ יש לבחור ״ניהול״ לצד הדומיין שברצונך לאחד, ואז לבחור ״הפעלת התחברות בעזרת ספק הזהות שלך״.
יש להפעיל את האפשרות ״התחברות בעזרת ספק הזהות שלך״.
במידת הצורך, אפשר לסנכרן את חשבונות המשתמשים ל-Apple School Manager. מידע נוסף על סנכרון חשבונות המשתמשים מספק הזהות.

ראה/י גםסנכרון חשבונות משתמשים מספק הזהות בתוך Apple School Manager אודות כתובת URL של callback לאימות ב‑Apple School Manager פתרון התנגשויות בבסנכרון חשבונות משתמשים של OIDC או SCIM של ספק זהות ב‑Apple School Manager

מועיל?

המדריך למשתמש ב-Apple School Manager