
Gefedereerde authenticatie met je identiteitsprovider gebruiken in Apple School Manager
In Apple School Manager kun je met behulp van gefedereerde authenticatie koppelen met je identiteitsprovider (IdP) zodat gebruikers bij hun Apple apparaten kunnen inloggen met hun IdP-gebruikersnaam (over het algemeen hun e-mailadres) en -wachtwoord.
Het resultaat is dat je gebruikers hun IdP-inloggegevens kunnen gebruiken als een beheerde Apple Account. Ze kunnen deze inloggegevens gebruiken om in te loggen op hun toegewezen iPhone, iPad of Mac, Apple Vision Pro en bij Gedeelde iPad. Nadat ze hebben ingelogd bij een van die apparaten, kunnen ze ook inloggen bij iCloud op internet.
Proces voor gefedereerde authenticatie
Dit proces omvat vier belangrijke stappen:
Een domein toevoegen en verifiëren.
Een nieuwe Open ID Connect (OIDC)-app of -verbinding aanmaken.
Gefedereerde authenticatie configureren en authenticatie testen met één IdP-gebruikersaccount.
Gefedereerde authenticatie inschakelen.
Belangrijk: Bestudeer het volgende voordat je gefedereerde authenticatie configureert.
Stap 1: Een domein verifiëren
Voordat je je IdP-gebruikersaccounts met Apple School Manager kunt bekijken, moet je het domein dat je wilt gebruiken toevoegen en verifiëren.
Zie Een domein toevoegen en verifiëren.
Het verificatieproces waarborgt dat je organisatie de autoriteit heeft om de domeinnaamservice-records (DNS-records) voor je domein te wijzigen. Om bijvoorbeeld townshipschools.org als je domein te gebruiken, voeg je binnen 14 kalenderdagen na aanvang van het verificatieproces, een specifiek TXT-record toe aan het zonebestand van je domeinnaamserver. Het verificatieproces begint wanneer je de knop 'Verifieer' selecteert.
Opmerking: Probeer je een domein te federeren dat je al hebt geverifieerd, maar een andere organisatie heeft het identieke domein al gefedereerd? Neem dan contact op met die organisatie om vast te stellen wie het recht heeft om het domein te federeren. Raadpleeg .Domeinconflicten.
Stap 2: Een nieuwe OIDC-app of -verbinding maken
Om verbinding te maken met Apple School Manager, moet je IdP een app hebben of aanmaken die specifieke instellingen bevat om een te koppelen met Apple School Manager. Omdat elke IdP een andere methode heeft voor het aanmaken van een app en een plaats waar specifieke instellingen zich bevinden, moet je de documentatie van je IdP raadplegen over hoe je dit proces moet voltooien.
Log in als beheerder bij je IdP en voer dan één van de volgende handelingen uit:
Zoek de app die door je IdP is gemaakt. Mogelijk kun je verschillende stappen in deze taak overslaan.
Navigeer naar waar je een app of verbinding kunt maken.
Maak de app of verbinding met de volgende informatie:
Apple School Manager: AppleSchoolManagerOIDC.
Inlogmethode: OIDC.
App-type: webapp.
Toestemmingstype: vernieuwingstoken.
Omleidings-URI voor inloggen: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Toegang: sta specifieke gebruikersaccounts toe.
Bereiktoegang: Toegang moet worden verleend aan
ssf.manage
enssf.read
.
Sla de wijzigingen op.
Verderop op deze pagina moet je bepaalde gegevens in Apple School Manager plakken. Vervolgens moet je die gegevens kopiëren naar een tekst- of spreadsheetbestand.
Open een nieuw tekstbestand of spreadsheet en voer de volgende waarden van de IdP in:
Voor de OIDC-client-ID plak je de OIDC-client-ID.
Voor het OIDC-clientgeheim plak je het OIDC-clientgeheim.
Sla het bestand op een veilige locatie op.
Stap 3: Gefedereerde authenticatie configureren en authenticatie testen met één IdP-gebruikersaccount
Deze stap is bedoeld om een vertrouwensrelatie op te zetten tussen je IdP en Apple School Manager.
Opmerking: Wanneer je deze stap hebt voltooid, kunnen gebruikers geen nieuwe onbeheerde (persoonlijke) Apple Accounts aanmaken op het domein dat je configureert. Dit kan ook invloed hebben op andere voorzieningen van Apple die je gebruikers gebruiken. Raadpleeg Voorzieningen van Apple overzetten.
Log in bij Apple School Manager
als een gebruiker die bevoegdheden heeft om gefedereerde authenticatie te beheren.
Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren'
, selecteer beheerde Apple Accounts
en vervolgens 'Aan de slag' onder 'Gebruikersaanmelding en directory-synchronisatie'.
Selecteer 'Aangepaste identiteitsprovider' en selecteer 'Ga door'.
Voer een naam in voor je gefedereerde-authenticatieverbinding.
De naam mag 128 tekens lang zijn.
Kopieer de waarden voor de client-ID en het clientgeheim naar Apple School Manager vanuit het tekstbestand of spreadsheet dat je in de vorige sectie hebt opgeslagen.
Neem contact op met je IdP om URL’s te krijgen voor de volgende twee configuraties:
Shared Signals Framework (SSF)
OpenID
Selecteer 'Ga door'.
Als alle waarden die je hebt opgegeven geldig zijn, wordt de inlogpagina van je IdP weergegeven. Ga verder met stap 8.
Log in met de gebruikersnaam en het wachtwoord van een IdP-beheerder.
Selecteer 'Gereed'.
Stap 4: Gefedereerde authenticatie inschakelen
Log in bij Apple School Manager
als een gebruiker die bevoegdheden heeft om gefedereerde authenticatie te beheren.
Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren'
en selecteer beheerde Apple Accounts
.
Selecteer 'Beheer' naast het domein dat je wilt federeren in het gedeelte 'Domeinen' en selecteer 'Log in met je identiteitsprovider inschakelen'.
Schakel 'Log in met je identiteitsprovider' in.
Indien nodig kun je nu gebruikersaccounts synchroniseren met Apple School Manager. Zie Gebruikersaccounts van je identiteitsprovider synchroniseren.