Usare l’autenticazione con account associato con il proprio Identity provider in Apple School Manager
In Apple School Manager, puoi collegare il tuo Identity provider (IdP) con l’autenticazione con account associato per consentire agli utenti di accedere ai dispositivi Apple usando il nome utente (generalmente l'indirizzo email) e la password IdP.
Di conseguenza, gli utenti possono usare le credenziali dell’IdP come un Apple Account gestito. Potranno usare tali credenziali per accedere all’iPhone, all’iPad o al Mac assegnato, ad Apple Vision Pro e all’iPad condiviso. Dopo l’accesso a uno di questi dispositivi, potranno anche accedere a iCloud sul web.
Procedura per l’autenticazione con account associato
Questa procedura prevede quattro passaggi principali:
Aggiungere e verificare un dominio.
Creare una nuova app o connessione OIDC.
Configurare l’autenticazione con account associato e testare l’autenticazione con un singolo account utente con IdP.
Attivare l’autenticazione con account associato.
Importante: Prima di configurare l'autenticazione con account associato, rivedi quanto segue.
Passaggio 1: Verificare un dominio
Prima di visualizzare gli account utente del tuo IdP con Apple School Manager, devi aggiungere e verificare il dominio che desideri utilizzare.
Consulta Aggiungere e verificare un dominio.
La procedura di verifica assicura che la tua organizzazione sia l’unica ad avere l’autorizzazione a modificare i record DNS (Domain Name Service) per il tuo dominio. Per esempio, per utilizzare townshipschools.org come dominio, aggiungi un record TXT specifico al tuo file di zona DNS (Domain Name Service) entro 14 giorni di calendario dall’inizio della procedura di verifica (che si avvia quando selezioni Verifica).
Nota: se cerchi di associare un dominio che hai già verificato, ma un’altra organizzazione ha già associato un dominio identico, devi contattare l’organizzazione per determinare chi ha la facoltà di associare il dominio. Consulta Conflitti del dominio.
Passaggio 2: Creare un’app o una connessione OIDC
Per connettersi ad Apple School Manager, il tuo IdP deve avere o creare un’app che contenga impostazioni specifiche per il collegamento ad Apple School Manager. Poiché ogni IdP ha un metodo diverso per creare le app e una posizione specifica per determinate impostazioni, consulta la documentazione del tuo IdP per completare questa procedura.
Accedi al tuo IdP come responsabile amministrazione, poi esegui una delle seguenti operazioni:
Trova l’app creata dal tuo IdP. Potresti riuscire a saltare diversi passaggi in questa attività.
Vai alla posizione in cui puoi creare un’app o una connessione.
Crea l’app o la connessione tenendo presenti le seguenti informazioni:
Apple School Manager: AppleSchoolManagerOIDC.
Metodo di accesso: OpenID Connect (OIDC).
Tipo di app: app web.
Tipo di concessione: token di aggiornamento.
URI di reindirizzamento per l’accesso: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Accesso: consenti ad account utente specifici.
Accesso all’ambito: l’accesso deve essere consentito a
ssf.manageessf.read.
Salva le modifiche.
Più avanti su questa pagina dovrai incollare alcune informazioni in Apple School Manager. La prossima attività consiste nel copiare tali informazioni in un file di testo o in un foglio di calcolo.
Apri un nuovo file di testo o foglio di calcolo, poi inserisci i seguenti valori dall’IdP:
Per l’ID client OIDC, incolla l’ID client OIDC.
Per il segreto client OIDC, incolla il segreto client OIDC.
Salve il file in una posizione sicura.
Passaggio 3: configura l’autenticazione con account associato e testa l’autenticazione con un singolo account utente IdP
Questo passaggio è finalizzato a stabilire un rapporto attendibile tra il tuo IdP e Apple School Manager.
Nota: una volta completato questo passaggio, gli utenti non potranno creare nuovi Apple Account personali sul dominio configurato. Ciò potrebbe influire su altri servizi Apple a cui gli utenti accedono. Consulta Trasferire i servizi Apple a un Apple Account gestito.
In Apple School Manager
, accedi con un account con il ruolo di amministrazione, responsabile sede o responsabile persone.Seleziona il tuo nome nella parte inferiore della barra degli strumenti, seleziona Preferenze
, seleziona Apple Account gestiti 
, quindi seleziona Inizia in “Accesso utente e sincronizzazione directory”.Seleziona Identity provider personalizzato, poi Continua.
Inserisci un nome per la connessione dell’autenticazione con account associato.
Puoi utilizzare fino a 128 caratteri.
Copia i valori dell’ID client e del segreto client in Apple School Manager dal file di testo o dal foglio di calcolo che avevi salvato nella sezione precedente.
Contatta il tuo IdP per ottenere gli URL per le due configurazioni seguenti:
Shared Signals Framework (SSF)
OpenID
Seleziona Continua.
Se tutti i valori che hai inserito sono validi, arriverai alla pagina di accesso del tuo IdP. Vai al passaggio 8.
Accedi con il nome utente e la password dell’amministratore IdP.
Seleziona Fine.
Passaggio 4: attiva l’autenticazione con account associato
In Apple School Manager
, accedi con un account con il ruolo di amministrazione, responsabile sede o responsabile persone.Seleziona il tuo nome nella parte inferiore della barra laterale, seleziona Preferenze
, quindi Apple Account gestiti .Nella sezione Domini, seleziona Gestisci accanto al dominio che vuoi associare, poi seleziona “Attiva Accedi con Identity provider”.
Attiva “Accedi con Identity provider”.
Se necessario, ora puoi sincronizzare gli account utente a Apple School Manager. Consulta Sincronizzare gli account utente dal proprio Identity provider.