שימוש באימות מאוחד עם ספק הזהות בתוך Apple School Manager
ב‑Apple School Manager, ניתן ליצור קישור אל ספק הזהות (IdP) באמצעות אימות מאוחד כדי לאפשר למשמשים להתחבר למכשירי Apple באמצעות שם המשתמש ב‑IdP (בדרך כלל כתובת הדוא"ל) והסיסמה.
כתוצאה מכך, המשתמשים יכולים להשתמש בשמות המשתמשים ובסיסמאות שלהם מ‑IdP בתור חשבונות Apple מנוהלים. כך, משתמשים יוכלו להתחבר באמצעות פרטי התחברות אלה ל‑iPhone, ל‑iPad או ל‑Mac שהוקצו להם, ואף לשירות iCloud באינטרנט.
לפני שמתחילים
לפני הקישור ל-IdP, חשוב לשים לב לפרטים הבאים:
עליכם לנעול ולהפעיל את לכידת דומיין לפני שתוכלו לבצע איחוד זהות. ראו נעילת דומיין.
על האימות המאוחד להשתמש בכתובת הדוא"ל של המשתמש כשם המשתמש. כינויים אינם נתמכים.
לחשבונות קיימים עם כתובת דוא"ל בדומיין של האימות המאוחד, חשבון Apple המנוהל שלהם משתנה אוטומטית כך שיהיה תואם לכתובת הדוא"ל.
להגדיר ולאמת את הדומיין שבו ברצונך להשתמש. ראו הוספה ואימות דומיין.
להתנתק ממערכת המידע לסטודנטים (SIS) או לעצור העלאות באמצעות SFTP.
חשבונות משתמשים עם תפקידי ניהול מערכת, ניהול אתר או ניהול כוח אדם אינם יכולים להתחבר באמצעות אימות מאוחד; חשבונות כאלה יכולים לנהל את תהליך האיחוד בלבד.
כאשר פג תוקפו של החיבור ל‑IdP, איחוד וסנכרון חשבונות המשתמשים עם IdP נפסקים. כדי להמשיך להשתמש באיחוד ובסנכרון, יש צורך להתחבר מחדש אל IdP.
עבור אימות מאוחד, נדרשים הפרטים הבאים:
שיטת התחברות: יש להשתמש ב‑Open ID Connect (OIDC).
גישת היקף: חובה להעניק גישה אל
ssf.manage
ואלssf.read
.כתובת URL לתצורת Shared Signals Framework (SSF): יש לעיין במסמכים של ה‑IdP.
כתובת URL לתצורת OpenID: יש לעיין במסמכים של ה‑IdP.
תהליך האימות המאוחד
תהליך זה כולל ארבעה שלבים עיקריים:
הוספה ואימות דומיין.
יצירת חיבור או יישום OIDC חדש.
הגדת אימות מאוחד ובדיקת האימות באמצעות חשבון משתמש אחד ב-IdP.
הפעלת אימות מאוחד.
שלב 1: אימות דומיין
לפני שיהיה ניתן להציג את חשבונות המשתמשים ב‑IdP באמצעות Apple School Manager, עליך להוסיף ולאמת את הדומיין שברצונך להשתמש בו.
ראו הוספה ואימות דומיין.
תהליך האימות מבטיח שלארגון שלך יש סמכות לשנות את רשומות השירות של שם הדומיין (DNS) עבור הדומיין שלך. לדוגמה, כדי להשתמש בדומיין בשם townshipschools.org, עליך להוסיף רשומת TXT ספציפית לקובץ האזור של שרת שם הדומיין תוך 14 ימים קלנדריים מתחילתו של תהליך האימות (שמתחיל לאחר שבחרת בכפתור ״אימות״).
הערה: אם ניסית לאחד דומיין שכבר אימתת אבל ארגון אחר כבר איחד את הדומיין הזה, עליך ליצור קשר עם אותו ארגון כדי להחליט למי נתונה הסמכות לאחד את הדומיין. ניתן לעיין בעמוד התנגשויות דומיינים.
שלב 2: יצירת חיבור או יישום OIDC חדש
כדי להתחבר אל Apple School Manager, ה‑IdP חייב לכלול או ליצור יישום, שכולל הגדרות ספציפיות לקישור אל Apple School Manager. מאחר שלכל IdP יש שיטה שונה ליצירת יישום ומקום שבו הגדרות ספציפיות נמצאות, יש לעיין במסמכים של ה‑IdP על הדרך להשלים את תהליך זה.
יש להתחבר ל‑IdP כמנהל מערכת, ולאחר מכן:
לאתר את היישום שנוצר על ידי ה‑IdP. ייתכן שתהיה לך אפשרות לדלג על מספר שלבים במשימה זו.
לנווט אל למקום שבו ניתן ליצור יישום או חיבור.
יש ליצור את היישום או החיבור באמצעות הפרטים הבאים:
Apple School Manager: AppleSchoolManagerOIDC.
שיטת התחברות: Open ID Connect (OIDC).
סוג היישום: יישום אינטרנט.
סוג הרשאה: אסימון רענון.
הפניית התחברות URI: https://gsa-ws.apple.com/grandslam/GsService2/acs.
גישה: אישור חשבונות משתמשים ספציפיים.
גישת היקף: חובה להעניק גישה אל
ssf.manage
ואלssf.read
.
יש לשמור את השינויים.
מאוחר יותר בדף זה, עליך להדביק פרטים מסוימים ב‑Apple School Manager. המשימה הבאה היא להעתיק את פרטים אלה לקובץ טקסט או גיליון אלקטרוני.
יש לפתוח קובץ טקסט או גיליון אלקטרוני חדש ולאחר מכן להזין את הערכים הבאים מה‑IdP:
עבור מזהה לקוח OIDC, יש להדביק את מזהה לקוח OIDC.
עבור סוד לקוח OIDC, יש להדביק את סוד לקוח OIDC.
יש לשמור את הקובץ במיקום בטוח.
שלב 3: הגדת אימות מאוחד ובדיקת האימות באמצעות חשבון משתמש אחד ב-IdP
שלב זה נועד ליצירת קשר אמון בין ה-IdP שלך לבין Apple School Manager.
הערה: לאחר השלמת שלב זה, המשתמשים לא יוכלו ליצור חשבונות Apple אישיים חדשים בדומיין שהגדרתם. הדבר עשוי להשפיע על שירותי Apple אחרים שהמשתמשים שלכם ניגשים אליהם. ניתן לעיין בעמוד העברת שירותי Apple כשמשתמשים באימות מאוחד.
ב‑Apple School Manager , יש להתחבר עם משתמש בתפקיד מנהל מערכת, מנהל אתר או מנהל כח אדם.
יש לבחור בשמך בתחתית סרגל הצד, לבחור ״העדפות״ , לבחור ״חשבונות Apple מנוהלים״ ואז לבחור ״צעדים ראשונים״ תחת ״התחברות משתמשים וסנכרון ספריה״.
יש לבחור ״ספק זהות בהתאמה אישית״ ואז לבחור ״המשך״.
יש להזין שם עבור חיבור האימות המאוחד.
ניתן להשתמש ב‑128 תווים לכל היותר.
יש להעתיק את ערכי מזהה הלקוח וסוד הלקוח לתוך Apple School Manager מקובץ הטקסט או הגיליון האלקטרוני ששמרת אותו בהם בסעיף הקודם.
יש ליצור קשר עם ה‑IdP כדי לקבל כתובות URL עבור שתי התצורות הבאות:
Shared Signals Framework (SSF)
OpenID
יש לבחור ב״המשך״.
אם כל הערכים שסיפקת הם תקפים, יופיע דף ההתחברות של ה‑IdP. יש להמשיך לשלב 8.
יש להתחבר באמצעות שם משתמש וסיסמה של מנהל/ת מערכת IdP.
יש לבחור ב״סיום״.
שלב 4: הפעלת אימות מאוחד
ב‑Apple School Manager , יש להתחבר עם משתמש בתפקיד מנהל מערכת, מנהל אתר או מנהל כח אדם.
יש לבחור בשמך בתחתית סרגל הצד, לבחור ב״העדפות״ , ולאחר מכן לבחור באפשרות ״חשבונות Apple מנוהלים״ .
במקטע ״דומיינים״ יש לבחור ״ניהול״ לצד הדומיין שברצונך לאחד, ואז לבחור ״הפעלת התחברות בעזרת ספק הזהות שלך״.
יש להפעיל את האפשרות ״התחברות בעזרת ספק הזהות שלך״.
במידת הצורך, אפשר לסנכרן את חשבונות המשתמשים ל-Apple School Manager. מידע נוסף על סנכרון חשבונות המשתמשים מספק הזהות.