Synchronizowanie użytkowników dostawcy tożsamości w usłudze Apple School Manager
W usłudze Apple School Manager do synchronizowania użytkowników dostawcy tożsamości (IdP) można używać systemu SCIM (System do zarządzania identyfikacją domen). Gdy używasz systemu SCIM do synchronizowania użytkowników, informacje o koncie są dostępne tylko do odczytu do momentu odłączenia się od SCIM. W tym czasie konta stają się kontami dodawanymi ręcznie, co umożliwia edycję atrybutów dostępnych na tych kontach (takich jak nazwy użytkowników). Początkowa synchronizacja trwa dłużej niż kolejne cykle. Zapoznaj się z dokumentacją dostawcy tożsamości, aby dowiedzieć się, jak często synchronizuje on użytkowników z usługą Apple School Manager.
Przed rozpoczęciem
Przed rozpoczęciem tworzenia połączenia SCIM należy uzyskać połączenie przy użyciu uwierzytelniania federacyjnego. Zobacz Korzystanie z uwierzytelniania federacyjnego i dostawcy tożsamości. Następnie skontaktuj się ze swoim dostawcą tożsamości i upewnij się, że masz następujące informacje:
Pole unikatowego identyfikatora dotyczące użytkowników: wartością tego atrybutu jest zwykle adres email użytkownika. Służy do tworzenia zarządzanego Apple IDużytkownika. Może to być na przykład pole nazwa użytkownika (userName).
Metoda uwierzytelniania: usługa SAML 2.0.
Tryb uwierzytelniania: protokół OAuth 2.
Adres URL usługi jednokrotnego logowania: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Adres URL wywołania zwrotnego autoryzacji: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
SCIM i uwierzytelnianie federacyjne
Uwierzytelnianie federacyjne jest dostępne i może być już włączone. Jeśli podczas wysyłania kont dostawcy tożsamości do usługi Apple School Manager federacja jest włączona, nie będziesz widzieć aktywności, ale konta nadal będą synchronizowane z domeną federacyjną.
Konta użytkowników dostawcy tożsamości (IdP) i usługa Apple School Manager
Podczas kopiowania użytkownika z dostawcy tożsamości (IdP) do usługi Apple School Manager przy użyciu systemu SCIM domyślnym ustawieniem roli jest Uczestnik.
Atrybut logowania
Usługa Apple School Manager wymaga, aby atrybut używany w przypadku zarządzanego Apple ID był unikatowy. Zazwyczaj jest to adres email użytkownika. Jeśli użytkownik ma atrybut, który jest dokładnie taki sam jak w przypadku istniejącego użytkownika usługi Apple School Manager z rolą administratora, synchronizacja nie jest wykonywana, a pole źródłowe pozostaje niezmienione.
ID osoby
Podczas synchronizowania użytkownika dostawcy tożsamości z usługą Apple School Manager tworzony jest ID osoby dla konta użytkownika usługi Apple School Manager. Ten ID służy do identyfikowania konfliktowych kont użytkownika. Ponadto ID osoby jest generowany automatycznie dla użytkowników zaimportowanych przy użyciu systemu SCIM lub integracji z systemem SIS, ale nie jest generowany automatycznie dla użytkowników zaimportowanych przy użyciu protokołu SFTP.
Jeśli system SCIM zostanie odłączony, a użytkownicy zostaną ponownie przesłani przy użyciu protokołu SFTP, zostaną utworzeni nowi użytkownicy, chyba że ID osoby w pliku przesyłania SFTP jest zgodny z ID osoby przydzielonym przez system SCIM. Zobacz Importowanie kont przy użyciu protokołu SFTP.
Ważne kwestie dotyczące modyfikowania ID osoby:
Jeśli zmodyfikujesz ID osoby dla konta wcześniej zaimportowanego z systemu SCIM, konto to nie będzie już dłużej sparowane z dostawcą tożsamości.
Jeśli zmodyfikujesz ID osoby dla konta wcześniej zaimportowanego z systemu SCIM i chcesz ponownie połączyć to konto, musisz rozstrzygnąć konflikt użytkowników.
Logowanie się do dostawcy tożsamości (IdP)
Zaloguj się do dostawcy tożsamości (IdP) jako administrator, a następnie wykonaj jedną z następujących czynności:
Odszukaj aplikację utworzoną przez dostawcę tożsamości (IdP). Możesz pominąć kilka kroków w tym zadaniu.
Przejdź do miejsca, w którym możesz utworzyć aplikację lub połączenie.
Utwórz aplikację przy użyciu następujących informacji:
Ważne: Zapamiętaj nazwę aplikacji SCIM, ponieważ może być ona potrzebna podczas tworzenia adresu URL wywołania zwrotnego autoryzacji.
Usługa Apple School Manager: należy użyć nazwy AppleSchoolManagerSCIM.
Typ aplikacji: należy użyć aplikacji SCIM.
Metoda uwierzytelniania: należy użyć usługi SAML 2.0.
Adres URL usługi jednokrotnego logowania używany w przypadku odbiorcy i miejsca docelowego: należy zapoznać się z dokumentacją dostawcy tożsamości.
URI odbiorcy: należy użyć ID podmiotu.
Zachowaj zmiany.
Konfigurowanie ustawień aprowizacji dla aplikacji SCIM
Znajdź sekcję aprowizacji w aplikacji SCIM dostawcy tożsamości, a następnie wprowadź następujące wartości:
Podstawowy adres URL połączenia SCIM: https://federation.apple.com/feeds/school/scim
URI tokenu dostępu: https://appleid.apple.com/auth/oauth2/v2/token
URI autoryzacji: https://appleid.apple.com/auth/oauth2/v2/authorize
ID klienta: 123
Tajny klucz klienta: 123
Ważne: Ponieważ nie znasz jeszcze rzeczywistego ID klienta i tajnego klucza klienta SCIM, ciąg 123 pełni rolę symbolu zastępczego. Zastąpisz te wartości w późniejszym zadaniu.
Tryb uwierzytelniania: protokół OAuth 2.
Pole unikatowego identyfikatora użytkownika: należy zapoznać się z dokumentacją dostawcy tożsamości.
Ważne: Upewnij się, że wielkość liter w identyfikatorze jest zgodna.
Obsługiwane działania związane z aprowizacją:
Importowanie nowych użytkowników i aktualizacje profili.
Przesyłanie nowych użytkowników.
Przesyłanie aktualizacji profili.
Zachowaj zmiany.
Tworzenie adresu URL wywołania zwrotnego autoryzacji
Aby uzyskać rekordy użytkownika od dostawcy tożsamości przy użyciu systemu SCIM, należy utworzyć autoryzowany adres URL wywołania zwrotnego dla usługi Apple School Manager. Ten adres URL wywołania zwrotnego jest oparty na nazwie aplikacji SCIM utworzonej na poziomie dostawcy tożsamości (IdP).
Zapamiętaj nazwę swojej aplikacji SCIM. Na przykład:
Usługa Apple School Manager: AppleSchoolManagerSCIM
Wklej nazwę aplikacji do poniższego adresu URL. Na przykład:
https://dostawca-tozsamosci.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Zachowaj adres URL wywołania zwrotnego autoryzacji.
Wkleisz go do usługi Apple School Manager w następnym zadaniu.
Tworzenie informacji o kliencie SCIM i kopiowanie ich na konto dostawcy tożsamości
W usłudze Apple School Manager zaloguj się jako użytkownik z rolą administratora, menedżera placówki lub menedżera użytkowników.
Wybierz swoje imię i nazwisko na dole paska bocznego, wybierz opcję Preferencje , a następnie wybierz opcję Synchronizacja katalogu .
Wybierz opcję Włącz obok opcji Niestandardowa synchronizacja.
Wklej adres URL wywołania zwrotnego autoryzacji z poprzedniego zadania, a następnie wybierz opcję Utwórz.
Wybierz pozycję Aplikacja SCIM, a następnie wybierz opcję Utwórz.
Otwórz nowy plik tekstowy lub arkusz kalkulacyjny, a następnie wprowadź następujące wartości z usługi Apple School Manager:
W polu ID klienta OIDC wklej ID klienta SCIM.
W polu Tajny klucz klienta OIDC wklej tajny klucz klienta SCIM.
Wybierz przycisk Kopiuj obok ID klienta, a następnie wklej ID klienta do pliku.
Wybierz opcję Tajny klucz klienta, zdecyduj, jak długo tajny klucz klienta ma pozostawać aktywny przed wygaśnięciem (6, 9 lub 12 miesięcy), a następnie wklej tajny klucz klienta do pliku.
Ważne: W przypadku usunięcia lub zapomnienia tajnego klucza klienta przed wklejeniem go do aplikacji SCIM dostawcy tożsamości (IdP) należy utworzyć nowy tajny klucz klienta.
Wybierz przycisk Gotowe.
Wklejanie ID klienta i tajnego klucza klienta do aplikacji SCIM dostawcy tożsamości i sprawdzanie połączenia
Wróć do sekcji aprowizacji w aplikacji SCIM dostawcy tożsamości, a następnie wklej następujące wartości:
ID klienta SCIM usługi Apple School Manager
Tajny klucz klienta SCIM usługi Apple School Manager
Zachowaj zmiany.
Jeśli Twój dostawca tożsamości umożliwia testowanie uwierzytelniania przy użyciu konta administratora dostawcy tożsamości, możesz przetestować je w tej chwili. Może na przykład pojawić się przycisk „Uwierzytelnij przy użyciu [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM]” lub inny, jeśli nadano inną nazwę aplikacji SCIM.
Wprowadź nazwę i hasło administratora dostawcy tożsamości, a następnie wprowadź wartość uwierzytelniania dwupoziomowego.
Przeczytaj uważnie wszystkie informacje dotyczące autoryzacji. Jeśli wyrażasz zgodę, wybierz przycisk Kontynuuj.
W razie potrzeby możesz teraz włączyć uwierzytelnianie federacyjne dla tej domeny.
Konto dostawcy tożsamości (IdP) i usługa Apple School Manager są skonfigurowane pod kątem synchronizacji określonych zmian atrybutów użytkownika między dostawcą tożsamości a usługą Apple School Manager.