Gebruikersaccounts van je identiteitsprovider synchroniseren in Apple School Manager
In Apple School Manager kun je OpenID Connect (OIDC) of het System for Cross-domain Identity Management (SCIM) gebruiken om gebruikersaccounts van je identiteitsprovider (IdP) te synchroniseren. Met dit systeem voeg je eigenschappen van Apple School Manager (zoals niveau en rollen) samen met gebruikersaccountgegevens die zijn geïmporteerd uit je IdP. Wanneer je SCIM gebruikt om gebruikers te synchroniseren, worden de accountgegevens als alleen-lezen toegevoegd totdat je de verbinding verbreekt. Op dat moment worden de accounts handmatige accounts en kunnen kenmerken in deze accounts (zoals gebruikersnamen) worden bewerkt. De eerste synchronisatie duurt langer dan de volgende cycli. Raadpleeg de documentatie van je IdP om te weten te komen hoe vaak ze gebruikers synchroniseren met Apple School Manager.
Belangrijk: Je hebt slechts vier kalenderdagen om het overzetten van de token naar je IdP te voltooien en een geslaagde verbinding tot stand te brengen, anders moet je het hele proces van voren af aan beginnen.
Inloggen bij je IdP
Log in als beheerder bij je IdP en voer dan één van de volgende handelingen uit:
Zoek de app die door je IdP is gemaakt. Mogelijk kun je verschillende stappen in deze taak overslaan.
Navigeer naar waar je een app of verbinding kunt maken.
Maak de app met de volgende informatie:
Belangrijk: Onthoud de naam van de SCIM-app. Deze heb je later wellicht nodig voor de autorisatie van callback-URL.
Apple School Manager: gebruik AppleSchoolManagerSCIM.
App-type: gebruik SCIM.
Authenticatiemethode: gebruik SAML 2.0.
URL voor Single Sign-On voor ontvanger en bestemming: raadpleeg de documentatie van je IdP.
Doelgroep-URI: gebruik identiteits-ID.
Sla de wijzigingen op.
De instellingen voor inrichting van de SCIM-app configureren
Ga naar de sectie met betrekking tot inrichting van je IdP SCIM-app en voer de volgende waarden in:
Basis-URL voor SCIM-connector: https://federation.apple.com/feeds/school/scim
URI voor toegangstoken: https://appleaccount.apple.com/auth/oauth2/v2/token
URI voor autorisatie: https://appleaccount.apple.com/auth/oauth2/v2/authorize
Client ID: 123
Clientgeheim: 123
Belangrijk: Omdat je de werkelijke waarden voor SCIM Client ID en clientgeheim nog niet weet, wordt 123 gebruikt als tijdelijke aanduiding. Deze waarden vervang je tijdens een latere taak.
Authenticatiemodus: OAuth 2.
Veld voor unieke identificatie voor gebruikers: raadpleeg de documentatie van je IdP.
Belangrijk: Zorg ervoor dat de hoofdletters en kleine letters van de identificatie overeenkomen.
Ondersteunde inrichtingsacties:
Importeer nieuwe gebruikers en profielupdates.
Push nieuwe gebruikers.
Push profielupdates.
Sla de wijzigingen op.
De autorisatie van callback-URL aanmaken
Je moet een geautoriseerde callback-URL aanmaken voor Apple School Manager om gebruikersrecords van je IdP op te halen met SCIM. Deze callback-URL is gebaseerd op de naam van de SCIM-app die je in je IdP hebt gemaakt.
Onthoud de naam voor je SCIM-app. Bijvoorbeeld:
Apple School Manager: AppleSchoolManagerSCIM
Plak de naam van de app in de volgende URL. Bijvoorbeeld:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Sla autorisatie van callback-URL op.
Je plakt deze in de volgende taak in Apple School Manager.
SCIM-clientinformatie maken en naar je IdP kopiëren
Log in bij Apple School Manager
als een gebruiker met de rol van beheerder, systeembeheerder of personenmanager.Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren'
en selecteer beheerde Apple Accounts 
.Selecteer 'Schakel in' naast 'Aangepaste synchronisatie'.
Plak hier de autorisatie van callback-URL van de vorige taak en selecteer dan 'Maak aan'.
Selecteer 'SCIM-programma' en vervolgens 'Maak aan'.
Open een nieuw tekstbestand of spreadsheet en voer de volgende waarden uit Apple School Manager in:
Voor de OIDC-client-ID plak je de SCIM-client-ID.
Voor het OIDC-clientgeheim plak je het SCIM-clientgeheim.
Selecteer 'Kopieer' naast Client ID en plak de client-ID in het bestand.
Selecteer 'Client Secret', kies hoe lang het geheim actief moet zijn voordat het verloopt (6, 9 of 12 maanden) en plak het cliëntgeheim in het bestand.
Belangrijk: Als je het cliëntgeheim verwijdert of vergeet voordat je het in de SCIM-app van je IdP plakt, moet je een nieuw cliëntgeheim aanmaken.
Selecteer 'Gereed'.
De client-ID en het clientgeheim in de SCIM-app van je IdP plakken en de verbinding verifiëren
Ga terug naar de sectie met betrekking tot inrichting van je IdP SCIM-app en plak hier de volgende waarden:
Apple School Manager SCIM Client ID
Apple School Manager SCIM-clientgeheim
Sla de wijzigingen op.
Als je IdP je toestaat authenticatie te testen met een IdP-beheerdersaccount, kun je dat nu doen. Zo kan er een knop zijn 'Authenticeer met [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]' of hoe je de SCIM-app ook hebt genoemd.
Voer de naam en het wachtwoord van je IdP-beheerder in en voer vervolgens de waarde voor twee-factor-authenticatie in.
Lees alle autorisatie-informatie zorgvuldig door. Selecteer 'Ga door' als je akkoord gaat.
Indien nodig kun je nu gefedereerde authenticatie voor dit domein inschakelen.
Je IdP en Apple School Manager zijn nu geconfigureerd voor synchronisatie van specifieke wijzigingen in gebruikersattributen van je IdP naar Apple School Manager.