Usare l’autenticazione con account associato con il proprio Identity provider in Apple School Manager
In Apple School Manager, puoi collegare il tuo Identity provider (IdP) con l'autenticazione con account associato per consentire agli utenti di accedere ai dispositivi Apple usando il nome utente (generalmente l'indirizzo email) e la password IdP.
Di conseguenza, gli utenti possono usare le credenziali dell'IdP come ID Apple gestiti. Potranno usare tali credenziali per accedere all’iPhone, all’iPad o al Mac assegnato e perfino ad iCloud sul web.
Prima di iniziare
Prima di collegarti a Google Workspace, considera quanto segue:
L'autenticazione con account associato deve utilizzare l'indirizzo email dell'utente come nome utente. Gli alias non sono supportati.
Per gli utenti esistenti con un indirizzo email nel dominio associato: il proprio ID Apple gestito viene automaticamente modificato per corrispondere all'indirizzo email.
Configura e verifica il dominio che intendi usare. Consulta Collegarsi a nuovi domini.
Disconnettiti dal Sistema Informativo Studenti (SIS) o interrompi i caricamenti con SFTP.
Gli account con ruolo di amministrazione, responsabile sede o responsabile persone non possono accedere tramite autenticazione con account associato, ma possono unicamente gestire la procedura di associazione.
Una volta scaduta la connessione all'IdP, l'autenticazione con account associato e la sincronizzazione degli account utente con IdP vengono interrotte. Per continuare ad usare l'associazione e la sincronizzazione, occorre riconnettersi all'IdP.
Per l'autenticazione con account associato, tieni presente le seguenti informazioni:
Metodo di accesso: utilizza OpenID Connect (OIDC).
Accesso all’ambito: l'accesso deve essere consentito a
ssf.manageessf.read.URL per la configurazione di Shared Signals Framework (SSF): consulta la documentazione del tuo IdP.
URL di configurazione di OpenID: consulta la documentazione del tuo IdP.
Procedura per l'autenticazione con account associato
Questa procedura prevede quattro passaggi principali:
Aggiungere e verificare un dominio.
Creare una nuova app o connessione OIDC.
Configura l'autenticazione con account associato e testa l'autenticazione con un singolo account utente con IdP.
Attivare l’autenticazione con account associato.
Passaggio 1: Verificare un dominio
Prima di visualizzare gli account utente del tuo IdP con Apple School Manager, devi aggiungere e verificare il dominio che desideri utilizzare.
Consulta Collegarsi a nuovi domini.
la procedura di verifica assicura che la tua organizzazione sia l’unica ad avere l’autorizzazione a modificare i record DNS (Domain Name Service) per il tuo dominio. Per esempio, per utilizzare betterbagcompany.com come dominio, aggiungi un record TXT specifico al tuo file di zona DNS entro 14 giorni di calendario dall’inizio della procedura di verifica (che si avvia quando selezioni il pulsante Verifica).
Nota: Se cerchi di associare un dominio che hai già verificato, ma un’altra organizzazione ha già associato un dominio identico, devi contattare l’organizzazione per determinare chi ha la facoltà di associare il dominio. Consulta Informazioni sui conflitti di dominio.
Passaggio 2: Creare un’app o una connessione OIDC
Per connettersi ad Apple School Manager, il tuo IdP deve avere o creare un’app che contenga impostazioni specifiche per il collegamento ad Apple School Manager. Poiché ogni IdP ha un metodo diverso per creare le app e una posizione specifica per determinate impostazioni, consulta la documentazione del tuo IdP per completare questa procedura.
Accedi al tuo IdP come responsabile amministrazione, poi esegui una delle seguenti operazioni:
Trova l’app creata dal tuo IdP. Potresti riuscire a saltare diversi passaggi in questa attività.
Vai alla posizione in cui puoi creare un’app o una connessione.
Crea l’app o la connessione tenendo presenti le seguenti informazioni:
Apple School Manager: AppleSchoolManagerOIDC.
Metodo di accesso: OpenID Connect (OIDC).
Tipo di app: app web.
Tipo di concessione: token di aggiornamento.
URI di reindirizzamento per l’accesso: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Accesso:consenti ad account utente specifici.
Accesso all’ambito: l'accesso deve essere consentito a
ssf.manageessf.read.
Salva le modifiche.
Più avanti su questa pagina dovrai incollare alcune informazioni in Apple School Manager. La prossima attività consiste nel copiare tali informazioni in un file di testo o in un foglio di calcolo.
Apri un nuovo file di testo o foglio di calcolo, poi inserisci i seguenti valori dall'IdP:
Per l’ID client OIDC, incolla l’ID client OIDC.
Per il segreto client OIDC, incolla il segreto client OIDC.
Salve il file in una posizione sicura.
Passaggio 3: configura l'autenticazione con account associato e testa l'autenticazione con un singolo account utente IdP
Questa attività consente all'IdP di autorizzare Apple School Manager.
Nota: Una volta completato questa attività, gli utenti non potranno creare nuovi ID Apple personali sul dominio da te configurato. Questo potrebbe influire su altri servizi Apple in uso. consulta Trasferire i servizi Apple quando si esegue l’associazione.
In Apple School Manager
, accedi con un account con il ruolo di amministrazione, responsabile sede o responsabile persone.Seleziona il tuo nome nella parte inferiore della barra degli strumenti, seleziona Preferenze
, seleziona ID Apple gestiti
, quindi seleziona Inizia in “Accesso utente e sincronizzazione directory”.Seleziona Identity provider personalizzato, poi Continua.
Inserisci un nome per la connessione dell’autenticazione con account associato.
Puoi utilizzare fino a 128 caratteri.
Copia i valori dell’ID client e del segreto client in Apple School Manager dal file di testo o dal foglio di calcolo che avevi salvato nella sezione precedente.
Contatta il tuo IdP per ottenere gli URL per le due configurazioni seguenti:
Shared Signals Framework (SSF)
OpenID
Seleziona Continua.
Se tutti i valori che hai inserito sono validi, arriverai alla pagina di accesso del tuo IdP. Vai al passaggio 8.
Accedi con il nome utente e la password dell'amministratore IdP.
Seleziona Fine.
Passaggio 4: attiva l’autenticazione con account associato
In Apple School Manager
, accedi con un account con il ruolo di amministrazione, responsabile sede o responsabile persone.Seleziona il tuo nome nella parte inferiore della barra laterale, seleziona Preferenze
, quindi ID Apple gestiti .Nella sezione Domini, seleziona Gestisci accanto al dominio che vuoi associare, poi seleziona “Attiva Accedi con Identity provider”.
Attiva “Accedi con Identity provider”.
Se necessario, ora puoi sincronizzare gli account utente a Apple School Manager. Consulta Sincronizzare gli account utente dal proprio Identity provider.