Synkroniser brukere fra identitetsleverandøren din i Apple School Manager
I Apple School Manager kan du bruke SCIM (system for identitetsadministrering mellom domener) for å synkronisere brukere fra identitetsleverandøren din (IdP). Når du bruker SCIM til å synkronisere brukere, blir kontoinformasjonen lagt til som skrivebeskyttet frem til du kobler fra. På dette tidspunktet blir kontoene manuelle kontoer, og attributtene i disse kontoene (f.eks. brukernavn) kan da redigeres. Den første synkroniseringen tar lengre tid enn påfølgende sykluser. Se dokumentasjonen til IdP-en for å finne ut hvor ofte de synkroniserer brukere med Apple School Manager.
Før du starter
Før du begynner å opprette en SCIM-tilkobling, bør du allerede ha klart å koble til via forent autentisering. Se Bruk forent autentisering med identitetsleverandøren din. Kontakt deretter IdP-en, og sørg for at du har følgende informasjon:
Unikt identifikatorfelt for brukere: Verdien av dette attributtet er vanligvis brukerens e-postadresse. Dette brukes til å opprette brukerens administrerte Apple-ID. Det kan for eksempel være userName.
Autentiseringsmetode: SAML 2.0.
Autentiseringsmodus: OAuth 2.
Nettadresse for enkeltpålogging: Se dokumentasjonen til IdP-en din.
Nettadresse for autoriseringstilbakekall: Se dokumentasjonen til IdP-en din.
SCIM og forent autentisering
Forent autentisering er aktivert og er kanskje allerede slått på. Hvis det er slått på, ser du ingen aktivitet når IdP-kontoene sendes til Apple School Manager, men kontoene synkroniseres fremdeles fra det forente domenet.
IdP-brukerkontoer og Apple School Manager
Når en bruker kopieres fra IdP-en til Apple School Manager via SCIM, er standardrollen Elev/student.
Påloggingsattributt
Apple School Manager krever at attributtet som brukes for den administrerte Apple-ID-en, er unikt. Vanligvis er dette brukerens e-postadresse. Hvis en bruker har et attributt som er identisk med en eksisterende Apple School Manager-bruker med rollen administrator, utføres det ingen synkronisering, og kildefeltet forblir uendret.
Person-ID
Når en IdP-bruker synkroniseres med Apple School Manager, opprettes det en person-ID for Apple School Manager-brukerkontoen. Denne ID-en brukes for å identifisere brukerkontoer med konflikter. Dessuten genereres person-ID-en automatisk for brukere som importeres via SCIM eller SIS-integrasjonen, men ikke for brukere som importeres via SFTP.
Hvis SCIM kobles fra og SFTP brukes til å laste opp brukere igjen, opprettes det nye brukere med mindre person-ID-en i SFTP-opplastingsfilen samsvarer med person-ID-en som ble tilordnet av SCIM. Se Importer kontoer ved bruk av SFTP.
Viktig å tenke på hvis du endrer person-ID-en:
Hvis du endrer person-ID-en for en konto som tidligere er importert fra SCIM, er den aktuelle kontoen ikke lenger sammenkoblet med IdP-en.
Hvis du endrer person-ID-en for en konto som tidligere er importert fra SCIM, og vil koble kontoen til igjen, må du løse brukerkonflikten.
Logg på IdP-en din
Logg på IdP-en din som administrator, og gjør ett av følgende:
Finn appen som er opprettet av IdP-en din. Det kan hende du kan hoppe over flere av trinnene i denne oppgaven.
Naviger dit hvor du kan opprette en app eller tilkobling.
Opprett appen med følgende informasjon:
Viktig: Husk navnet på SCIM-appen, for det kan hende du trenger det til nettadressen for autoriseringstilbakekall.
Apple School Manager: Bruk AppleSchoolManagerSCIM.
Apptype: Bruk SCIM.
Autentiseringsmetode: Bruk SAML 2.0.
Nettadresse for enkeltpålogging brukt for mottager og destinasjon: Se dokumentasjonen til IdP-en din.
Publikums-URI: Bruk enhets-ID-en.
Lagre endringene.
Konfigurer klargjøringsinnstillingene for SCIM-appen
Finn klargjøringsdelen i SCIM-appen hos IdP-en, og legg inn disse verdiene:
Grunnadresse for SCIM-kobling: https://federation.apple.com/feeds/school/scim
URI til tilgangstoken: https://appleid.apple.com/auth/oauth2/v2/token
URI for autorisering: https://appleid.apple.com/auth/oauth2/v2/authorize
Klient-ID: 123
Klienthemmelighet: 123
Viktig: Siden du ikke vet den faktiske SCIM-klient-ID-en eller -klienthemmeligheten ennå, bruker du 123 som plassholder. Du skal bytte ut disse verdiene i en senere oppgave.
Autentiseringsmodus: OAuth 2.
Unikt identifikatorfelt for brukere: Se dokumentasjonen til IdP-en din.
Viktig: Pass på store og små bokstaver i identifikatoren.
Støttede klargjøringshandlinger:
Importer nye brukere og profiloppdateringer.
Rull ut nye brukere.
Rull ut profiloppdateringer.
Lagre endringene.
Opprett nettadressen for autoriseringstilbakekall
Du må opprette en nettadresse for autoriseringstilbakekall, slik at Apple School Manager kan hente brukeroppføringer fra IdP-en via SCIM. Denne nettadressen for tilbakekall er basert på navnet på SCIM-appen du opprettet hos IdP-en.
Husk navnet på SCIM-appen. For eksempel:
Apple School Manager: AppleSchoolManagerSCIM
Lim inn appnavnet inni denne nettadressen. For eksempel:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Lagre nettadressen for autoriseringstilbakekall.
I neste oppgave skal du lime den inn i Apple School Manager.
Opprett og kopier SCIM-klientinformasjon til IdP-en din
Logg på Apple School Manager med en bruker som har rollen administrator, institusjonsansvarlig eller personansvarlig.
Velg navnet ditt nederst i sidepanelet, velg Valg , og velg deretter Katalogsynkronisering .
Velg Aktiver ved siden av Tilpasset synkronisering.
Lim inn nettadressen for autoriseringstilbakekall fra forrige oppgave, og velg Opprett.
Velg SCIM-app, og velg deretter Opprett.
Åpne en ny tekst- eller regnearkfil, og legg inn følgende verdier fra Apple School Manager:
For OIDC-klient-ID-en limer du inn SCIM-klient-ID-en.
For OIDC-klienthemmeligheten limer du inn SCIM-klienthemmeligheten.
Velg Kopier ved siden av Klient-ID, og lim klient-ID-en inn i filen.
Velg Klienthemmelighet, velg hvor lenge hemmeligheten skal være aktiv før den utløper (6, 9 eller 12 måneder), og lim klienthemmeligheten inn i filen.
Viktig: Hvis du sletter eller glemmer klienthemmeligheten før du limer den inn i SCIM-appen hos IdP-en, må du opprette en ny klienthemmelighet.
Velg Ferdig.
Lim klient-ID-en og klienthemmeligheten inn i SCIM-appen hos IdP-en, og bekreft tilkoblingen
Gå tilbake til klargjøringsdelen i SCIM-appen hos IdP-en, og lim inn disse verdiene:
SCIM-klient-ID for Apple School Manager
SCIM-klienthemmelighet for Apple School Manager
Lagre endringene.
Hvis IdP-en lar deg teste autentiseringen med en IdP-administratorkonto, kan du teste den nå. Det kan for eksempel være en knapp med teksten «Autentiser deg med [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM] eller [AppleBusinessEssentialsSCIM]» eller det du kalte SCIM-appen for.
Legg inn IdP-administratornavnet og -passordet ditt, og legg deretter inn verdien for tofaktorautentisering.
Les eventuell autoriseringsinformasjon nøye. Hvis du er enig, velger du Fortsett.
Om nødvendig kan du nå slå på forent autentisering for dette domenet.
IdP-en og Apple School Manager er nå konfigurert til å synkronisere spesifikke endringer i brukerattributter fra IdP-en til Apple School Manager.