Sincronizzare gli utenti dal proprio Identity provider in Apple School Manager
In Apple School Manager, puoi utilizzare il Sistema per gestione di identità fra domini (SCIM) per sincronizzare gli utenti dal tuo Identity provider (IdP). Quando sincronizzi gli utenti con SCIM, le informazioni dell’account vengono aggiunte in sola lettura finché non ti disconnetti. A quel punto, gli account diventano manuali e gli attributi all’interno di questi account (come ad esempio i nomi utente) possono essere modificati. La sincronizzazione iniziale richiede più tempo di quelle successive. Per conoscere la frequenza con cui avviene la sincronizzazione degli utenti ad Apple School Manager, consulta la documentazione del tuo IdP.
Prima di iniziare
Prima di iniziare a creare una connessione SCIM, dovresti già aver effettuando correttamente una connessione tramite l’autenticazione con account associato. Consulta Usare l’autenticazione con account associato con il proprio Identity provider. Quindi contatta il tuo IdP e assicurati di avere a disposizione le seguenti informazioni:
Campo dell’identificatore univoco per utenti: il valore di questo attributo è generalmente l’indirizzo email dell’utente. Viene utilizzato per creare l’ID Apple gestito dell’utente. Ad esempio può essere userName.
Metodo di autenticazione: SAML 2.0.
Modalità di autenticazione: OAuth 2.
URL del servizio Single Sign-On: consulta la documentazione del tuo IdP.
URL di callback di autorizzazione: consulta la documentazione del tuo IdP.
SCIM e autenticazione con account associato
L’autenticazione con account associato è abilitata e può essere già attivata. Se attiva al momento dell’invio degli account IdP ad Apple School Manager, anche se non viene visualizzata alcuna attività, gli account vengono comunque sincronizzati con il dominio associato.
Account utente IdP e Apple School Manager
Quando un utente viene copiato dal tuo IdP tramite SCIM su Apple School Manager, il ruolo predefinito è Studente/studentessa.
Attributo di accesso
Apple School Manager richiede che l’attributo utilizzato per l’ID Apple gestito sia univoco. Generalmente si tratta dell’indirizzo email dell’utente. Se un utente ha un attributo esattamente uguale a un utente esistente di Apple School Manager con il ruolo di Responsabile amministrazione, non viene eseguita la sincronizzazione e il campo sorgente rimane invariato.
ID persona
Quando un account utente IdP viene sincronizzato con Apple School Manager, viene creato un ID persona per l’account utente Apple School Manager. Questo ID viene utilizzato per identificare gli account utente in conflitto. Inoltre, l’ID persona viene generato automaticamente per gli utenti importati tramite SCIM o l’integrazione del Sistema Informativo Studenti (SIS), ma non viene generato automaticamente per gli utenti importati tramite SFTP.
Se la connessione SCIM è stata interrotta e SFTP viene utilizzato per caricare nuovamente gli utenti, verranno creati nuovi utenti a meno che l’ID persona nel file di caricamento SFTP non corrisponda all’ID persona assegnato da SCIM. Consulta Importare gli account tramite SFTP.
Considerazioni importanti se si modifica l’ID persona:
Se modifichi l’ID persona per un account precedentemente importato da SCIM, tale account non viene più abbinato all’IdP.
Se modifichi l’ID persona per un account precedentemente importato da SCIM e desideri riconnettere l’account, devi risolvere il conflitto dell’account utente.
Accedere al proprio IdP
Accedi al tuo IdP come Responsabile amministrazione, quindi esegui una delle seguenti operazioni:
Trova l’app creata dal tuo IdP. Potresti riuscire a saltare diversi passaggi in questa attività.
Vai alla posizione dove puoi creare un’app o una connessione.
Crea l’app tenendo presenti le seguenti informazioni:
Importante: Ricordati il nome dell’app SCIM perché ne potresti aver bisogno per l’URL di callback di autorizzazione.
Apple School Manager: utilizza AppleSchoolManagerSCIM.
Tipo di app: utilizza SCIM.
Metodo di autenticazione: utilizza SAML 2.0.
URL del servizio Single Sign-On utilizzato per destinatario e destinazione: consulta la documentazione del tuo IdP.
URI del pubblico: utilizza l’ID entità.
Salva le modifiche.
Configurare le impostazioni relative al provisioning dell’app SCIM
Individua la sezione legata al provisioning dell’app SCIM del tuo IdP, quindi inserisci i valori seguenti:
URL di base per il connettore SCIM: https://federation.apple.com/feeds/school/scim
URI del token di accesso: https://appleid.apple.com/auth/oauth2/v2/token
URI di autorizzazione: https://appleid.apple.com/auth/oauth2/v2/authorize
ID client: 123
Segreto client: 123
Importante: Poiché non conosci ancora l’ID client e il segreto client SCIM attuali, si utilizza 123 come segnaposto. Sostituirai questi valori nel corso di un’attività successiva.
Modalità di autenticazione: OAuth 2.
Campo dell’identificatore univoco per utenti: consulta la documentazione del tuo IdP.
Importante: Assicurati di rispettare le maiuscole/minuscole quando digiti l’identificatore.
Azioni relative al provisioning supportate:
Importare nuovi utenti e aggiornamenti di profilo.
Inviare nuovi utenti.
Inviare aggiornamenti di profilo.
Salva le modifiche.
Creare l’URL di callback di autorizzazione
Devi creare un URL di callback autorizzato per Apple School Manager per ottenere i record utente dal tuo IdP tramite SCIM. Questo URL di callback si basa sul nome dell’app SCIM che hai creato nel tuo IdP.
Ricordati il nome della tua app SCIM. Per esempio:
Apple School Manager: AppleSchoolManagerSCIM
Incolla il nome dell’app all'interno del seguente URL. Per esempio:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Salva l’URL di callback di autorizzazione.
Incollalo in Apple School Manager nella prossima attività.
Creare e copiare le informazioni sul client SCIM nel proprio IdP
In Apple School Manager , accedi con un account con il ruolo di responsabile amministrazione, responsabile sede o responsabile persone.
Seleziona il tuo nome nella parte inferiore della barra laterale, seleziona Preferenze , quindi Sincronizzazione directory .
Seleziona Attiva accanto a Sincronizzazione personalizzata.
Incolla l’URL di callback di autorizzazione dall’attività precedente, quindi seleziona Crea.
Seleziona Applicazione SCIM, quindi Crea.
Apri un nuovo file di testo o foglio di calcolo, quindi inserisci i valori seguenti da Apple School Manager:
Per l’ID client OIDC, incolla l’ID client SCIM.
Per il segreto client OIDC, incolla il segreto client SCIM.
Seleziona Copia accanto a ID client, quindi incolla l’ID client nel file.
Seleziona Segreto client, scegli per quanto tempo il segreto deve restare attivo prima di scadere (6, 9 o 12 mesi), quindi incollalo nel file.
Importante: Se elimini o dimentichi il segreto client prima di incollarlo nell’app SCIM del tuo IdP, ne devi creare uno nuovo.
Seleziona Fine.
Incollare l’ID client e il segreto client nell’app SCIM del tuo IdP e verificare la connessione
Torna alla sezione legata al provisioning dell’app SCIM del tuo IdP, quindi inserisci i valori seguenti:
ID client SCIM di Apple School Manager
Segreto client SCIM di Apple School Manager
Salva le modifiche.
Se il tuo IdP ti consente di testare l’autenticazione tramite un account amministratore IdP, lo puoi fare adesso. Ad esempio, potrebbe essere un pulsante “Autentica con [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]” oppure con qualsiasi altro nome tu abbia dato alla tua app SCIM.
Inserisci il nome amministratore e la password del tuo IdP e il valore dell’autenticazione due fattori.
Leggi attentamente tutte le informazioni di autorizzazione. Se le accetti, seleziona Continua.
In caso di necessità, in questo momento puoi attivare l’autenticazione con account associato per questo dominio.
Il tuo IdP e Apple School Manager sono ora configurati per sincronizzare le modifiche ad attributi utente specifici dal tuo IdP ad Apple School Manager.