Gefedereerde authenticatie met je identiteitsprovider gebruiken in Apple School Manager
In Apple School Manager kun je koppelen met je identiteitsprovider (IdP) zodat gebruikers bij hun Apple apparaten kunnen inloggen met hun IdP-gebruikersnaam en -wachtwoord. Het resultaat is dat je gebruikers hun IdP-gebruikersnamen en -wachtwoorden kunnen gebruiken als Beheerde Apple ID’s. Ze kunnen deze inloggegevens gebruiken om in te loggen op hun toegewezen iPhone, iPad of Mac en zelfs bij iCloud op internet.
Dit proces omvat vier belangrijke stappen:
1. Een domein verifiëren
2. Inloggen bij je IdP en een nieuwe OIDC-app of -verbinding (Open ID Connect) aanmaken
3. De app of verbinding configureren en testen
4. Gefedereerde authenticatie inschakelen
Voordat je aan de slag gaat
Voordat je aan de slag gaat, moet je weten of je van plan bent om met SCIM naar je IdP te synchroniseren of dat je alleen gefedereerde authenticatie wilt gebruiken. Als je van plan bent om via SCIM te synchroniseren met je IdP, moet je wachten met het inschakelen van gefedereerde authenticatie tot de SCIM-verbinding is gemaakt.
Voor federatieve authenticatie moet je de volgende informatie hebben:
Inlogmethode: Gebruik Open ID Connect (OIDC).
Bereiktoegang: Toegang moet worden verleend voor
ssf.manage
enssf.read
.Configuratie-URL voor Shared Signals Framework (SSF): raadpleeg de documentatie van je IdP.
Configuratie-URL voor OpenID: raadpleeg de documentatie van je IdP.
Stap 1: Een domein verifiëren
Voordat je je IdP-gebruikers met Apple School Manager kunt bekijken, moet je het domein dat je wilt gebruiken toevoegen en verifiëren. Domeinen voeg je toe en verifieer je in Apple School Manager.
Zie Aan nieuwe domeinen koppelen.
Opmerking: Het verificatieproces waarborgt dat je organisatie de autoriteit heeft om de domeinnaamservice-records (DNS-records) voor je domein te wijzigen. Om bijvoorbeeld betterbag.com als je domein te gebruiken, voeg je binnen 14 kalenderdagen vanaf de datum dat je het verificatieproces bent begonnen, een specifiek TXT-record toe aan het serverzonebestand van je domeinnaam. Het proces begint op het moment dat je de knop 'Verifieer' selecteert.
Stap 2: Een nieuwe OIDC-app of -verbinding maken
Als je verbinding wilt maken met Apple School Manager, moet je IdP een app hebben, of aanmaken, die specifieke instellingen bevat om verbinding te maken met Apple School Manager. Omdat elke IdP een andere methode heeft voor het maken van een app en een plek waar specifieke instellingen zich bevinden, raadpleeg je de documentatie van je IdP over hoe je dit proces voltooit.
Log in als beheerder bij je IdP en voer dan één van de volgende handelingen uit:
Zoek de app die door je IdP is gemaakt. Mogelijk kun je verschillende stappen in deze taak overslaan.
Navigeer naar waar je een app of verbinding kunt maken.
Maak de app of verbinding met de volgende informatie:
Apple School Manager: AppleSchoolManagerOIDC.
Inlogmethode: Open ID Connect (OIDC).
App-type: webapp.
Toestemmingstype: vernieuwingstoken.
Omleidings-URI voor inloggen: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Toegang: sta specifieke gebruikers toe.
Bereiktoegang: Toegang moet worden verleend voor
ssf.manage
enssf.read
.
Sla de wijzigingen op.
Verderop op deze pagina moet je bepaalde informatie in Apple School Manager plakken. Vervolgens moet je die informatie kopiëren naar een tekst- of spreadsheetbestand.
Open een nieuw tekstbestand of spreadsheet en voer de volgende waarden van de IdP in:
Voor de OIDC-client-ID plak je de OIDC-client-ID.
Voor het OIDC-clientgeheim plak je het OIDC-clientgeheim.
Sla het bestand op een veilige locatie op.
Stap 3: De verbinding configureren en testen
Log bij Apple School Manager in als een gebruiker met de rol van beheerder, systeembeheerder of personenmanager.
Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren' en selecteer 'Accounts' .
Selecteer 'Wijzig' naast 'Gefedereerde authenticatie', selecteer 'Aangepaste identiteitsprovider' en selecteer vervolgens 'Verbind'.
Voer een naam in voor je gefedereerde-authenticatieverbinding.
De naam mag 128 tekens lang zijn.
Kopieer de waarden voor de client-ID en het clientgeheim naar Apple School Manager vanuit het tekstbestand of spreadsheet dat je in de vorige sectie hebt opgeslagen.
Neem contact op met je IdP om URL’s te krijgen voor de volgende twee configuraties:
Shared Signals Framework (SSF)
OpenID
Selecteer 'Ga door'.
Als alle waarden die je hebt opgegeven geldig zijn, wordt de inlogpagina van je IdP weergegeven. Ga verder met stap 8.
Log in met de gebruikersnaam en het wachtwoord van een IdP-beheerder.
Selecteer 'Gereed'.
Stap 4: Gefedereerde authenticatie inschakelen
Log bij Apple School Manager in als een gebruiker met de rol van beheerder, systeembeheerder of personenmanager.
Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren' en selecteer 'Accounts' .
Selecteer 'Wijzig' in het gedeelte 'Domeinen' en selecteer 'Federeer' naast het domein dat je wilt federeren met je IdP.
Wacht totdat het proces is voltooid.