Apple School Manager에서 신원 확인 제공업체의 사용자 계정 동기화
Apple School Manager에서는 Open ID Connect(OIDC) 또는 교차 도메인 ID 관리 시스템(SCIM)을 사용하여 신원 확인 제공업체(IdP)의 사용자 계정을 동기화할 수 있습니다. 이 시스템을 사용하면 Apple School Manager 속성(예: 학년 및 역할)이 IdP에서 가져온 사용자 계정 데이터와 병합됩니다. SCIM을 사용하여 사용자를 동기화하는 경우 연결 해제하기까지 계정 정보가 읽기 전용으로 추가됩니다. 읽기 전용으로 추가되면 계정은 수동 계정이 되며, 이때 해당 계정의 속성(사용자 이름 등)을 편집할 수 있습니다. 초기 동기화는 이후 주기보다 수행하는 데 더 오래 걸립니다. Apple School Manager에 사용자를 동기화하는 빈도를 알아보려면 IdP의 문서를 참조합니다.
중요사항: 4일 이내에 IdP로의 토큰 전송을 완료하고 연결을 설정해야 합니다. 이 기간이 지나면 프로세스를 다시 시작해야 합니다.
시작하기 전에
OIDC 연결을 사용하여 IdP에 동기화하기 전에 다음을 수행해야 합니다.
사용하려는 도메인을 구성 및 확인합니다. 새 도메인에 연결을 참고하십시오.
학생 정보 시스템(SIS)에서 연결을 해제하거나 SFTP를 사용하는 업로드를 중지합니다.
도메인을 구성하고 연합한 후 활성화합니다. 신원 확인 제공업체와의 연합 인증 사용을 참조하십시오.
설정을 편집할 권한이 있는 IdP 책임자와 통화를 연결합니다.
다음과 같은 정보를 준비한 후에 IdP에 문의해야 합니다.
사용자를 위한 고유 식별자 필드: 이 속성의 값은 일반적으로 사용자의 이메일 주소입니다. 사용자의 관리형 Apple ID를 생성하는 데 사용됩니다. 예를 들어, userName일 수 있습니다.
인증 방법: SAML 2.0.
인증 모드: OAuth 2.
단일 로그인 URL: IdP의 문서를 참조합니다.
인증 콜백 URL: IdP의 문서를 참조합니다.
IdP 사용자 계정 및 Apple School Manager
SCIM을 사용하여 IdP에서 사용자를 Apple School Manager로 복사하는 경우 기본 역할은 학생입니다.
참고: IdP의 사용자 그룹은 Apple School Manager에 동기화되지 않습니다.
로그인 속성
Apple School Manager에서는관리형 Apple ID에 사용되는 속성이 고유해야 합니다. 일반적으로 이는 사용자의 이메일 주소입니다. 사용자에게 책임자 역할이 있는 기존 Apple School Manager와 정확히 동일한 속성이 있는 경우, 동기화가 수행되지 않고 원본 필드가 변경되지 않은 상태로 유지됩니다.
사용자 ID
IdP 사용자 계정이 Apple School Manager와 동기화되면 Apple School Manager 사용자 계정에 대한 사용자 ID가 생성됩니다. 이 ID는 충돌하는 사용자 계정을 식별하는 데 사용됩니다. 또한 사용자 ID는 SCIM 또는 SIS 통합을 사용하여 가져온 사용자에 대해 자동으로 생성되지만 SFTP를 사용하여 가져온 사용자에서는 자동으로 생성되지 않습니다.
SCIM의 연결이 해제되고 SFTP로 사용자를 다시 업로드하는 경우 SFTP 업로드 파일의 사용자 ID가 SCIM에서 할당한 사용자 ID와 일치하지 않으면 새로운 사용자가 생성됩니다. Apple School Manager에 학생 정보 시스템 데이터 업로드를 참고하십시오.
사용자 ID를 수정하는 경우의 중요한 고려 사항:
이전에 IdP에서 가져온 사용자 계정에 대한 사용자 ID를 수정하면 해당 사용자 계정은 더 이상 IdP와 쌍으로 연결되지 않습니다.
이전에 IdP에서 가져온 사용자 계정에 대한 사용자 ID를 수정하고 사용자 계정을 다시 연결하려는 경우 충돌을 해결해야 합니다.
IdP에 로그인
책임자로 IdP에 로그인한 후 다음 중 하나를 수행합니다.
IdP로 생성된 앱 위치를 알아냅니다. 여러 단계를 건너뛸 수도 있습니다.
앱 또는 연결을 생성할 수 있는 곳으로 갑니다.
다음 정보로 앱을 생성합니다.
중요사항: SCIM 앱의 이름을 기억합니다. 인증 콜백 URL에 필요할 수 있습니다.
Apple School Manager: AppleSchoolManagerSCIM을 사용합니다.
앱 유형: SCIM을 사용합니다.
인증 방법: SAML 2.0을 사용합니다.
수신자 및 대상에 사용된 단일 로그인 URL: IdP의 문서를 참조합니다.
대상 URI: 법인 ID를 사용합니다.
변경 사항을 저장합니다.
SCIM 앱 프로비저닝 설정 구성
IdP SCIM 앱의 프로비저닝 섹션을 찾은 후 다음 값을 입력합니다.
SCIM 커넥터 기본 URL: https://federation.apple.com/feeds/school/scim
액세스 토큰 URI: https://appleid.apple.com/auth/oauth2/v2/token
인증 URI: https://appleid.apple.com/auth/oauth2/v2/authorize
클라이언트 ID: 123
클라이언트 암호123
중요사항: SCIM 클라이언트 ID 및 클라이언트 암호를 아직 모르므로, 위치 지정자로 123을 사용합니다. 이러한 값은 이후의 작업에서 대치하게 됩니다.
인증 모드: OAuth 2.
사용자를 위한 고유 식별자 필드: IdP의 문서를 참조합니다.
중요사항: 고유 식별자는 대소문자를 구별합니다.
지원되는 프로비저닝 작업:
새 사용자 및 프로필 업데이트를 가져옵니다.
새 사용자를 푸시합니다.
프로필 업데이트를 푸시합니다.
변경 사항을 저장합니다.
인증 콜백 URL 생성
SCIM을 사용하여 IdP에서 사용자 기록을 가져오려면 Apple School Manager에 대한 승인된 콜백 URL을 생성해야 합니다. 이 콜백 URL은 IdP에서 생성한 SCIM 앱의 이름을 기반으로 합니다.
SCIM 앱의 이름을 기억해 둡니다. 예를 들면 다음과 같습니다.
Apple School Manager: AppleSchoolManagerSCIM
다음 URL에 앱 이름을 붙여넣습니다. 예를 들면 다음과 같습니다.
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
인증 콜백 URL을 저장합니다.
다음 작업에서 Apple School Manager에 붙여넣게 됩니다.
SCIM 클라이언트 정보를 생성하여 IdP에 복사
Apple School Manager 에서 책임자, 사이트 관리자 또는 사용자 관리자 역할이 있는 사용자로 로그인합니다.
사이드바 하단에서 사용자의 이름을 선택하고 환경설정 을 선택한 다음 관리형 Apple ID를 선택합니다.
사용자 지정 동기화 옆의 활성화를 선택합니다.
이전 작업의 인증 콜백 URL을 붙여넣은 다음 생성을 선택합니다.
SCIM 응용 프로그램을 선택한 다음 생성을 선택합니다.
새 텍스트 파일이나 스프레드시트를 연 후 Apple School Manager에서 가져온 다음 값을 입력합니다.
OIDC 클라이언트 ID의 경우, SCIM 클라이언트 ID를 붙여넣습니다.
OIDC 클라이언트 암호의 경우, SCIM 클라이언트 암호를 붙여넣습니다.
클라이언트 ID 옆에 있는 복사를 선택한 다음 파일에 클라이언트 ID를 붙여넣습니다.
클라이언트 암호를 선택하고, 암호가 만료되기까지 얼마나 오래 활성화되는지(6개월, 9개월 또는 12개월) 선택한 다음, 파일에 클라이언트 암호를 붙여넣습니다.
중요사항: IdP SCIM 앱에 붙여넣기 전에 클라이언트 암호를 삭제하거나 잊어버리는 경우, 새 클라이언트 암호를 생성해야 합니다.
완료를 선택합니다.
IdP SCIM 앱에 클라이언트 ID 및 클라이언트 암호를 붙여넣고 연결을 확인합니다.
IdP SCIM 앱의 프로비저닝 섹션으로 돌아간 후 다음 값을 붙여넣습니다.
Apple School Manager SCIM 클라이언트 ID
Apple School Manager SCIM 클라이언트 암호
변경 사항을 저장합니다.
IdP가 IdP 책임자 계정을 사용하여 인증을 테스트하도록 허용하는 경우, 지금 테스트할 수 있습니다. 예를 들어, '[AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialSCIM]에서 인증'이라는 버튼 또는 SCIM 앱 이름을 지정한 버튼이 있을 수 있습니다.
IdP 책임자 이름 및 암호를 입력한 다음 이중 인증 값을 입력합니다.
모든 인증 정보를 주의 깊게 읽습니다. 동의하면 계속을 선택합니다.
필요한 경우, 이제 이 도메인에 대해 연합 인증을 켤 수 있습니다.
이제 IdP 및 Apple School Manager가 IdP의 특정한 사용자 속성 변경 사항을 Apple School Manager에 동기화하도록 구성되었습니다.