Sincronize usuários do seu provedor de identidade no Apple School Manager
No Apple School Manager é possível usar o System for Cross-domain Identity Management (SCIM) para sincronizar usuários de seu fornecedor de identidade (IdP). Quando você usa o SCIM para importar usuários, as informações da conta são adicionadas como somente leitura até que você se desconecte do SCIM. Nesse momento, as contas se tornam contas manuais e os atributos nessas contas (como nomes de usuário) podem então ser editados. A sincronização inicial demora mais do que ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência os usuários são sincronizados para o Apple School Manager.
Antes de começar
Antes de começar a criar uma conexão de SCIM, é necessário já ter uma conexão bem-sucedida por meio da autenticação federada. Consulte Use a autenticação federada com seu provedor de identidade. Depois, entre em contato com seu IdP e tenha as seguintes informações:
Campo de identificação exclusivo para usuários: em geral, o valor deste atributo é o endereço de e-mail do usuário. Ele é usado para criar o ID Apple gerenciado do usuário. Por exemplo, ele poderá ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de single sign-on: consulte a documentação do seu IdP.
URL da callback de autorização: consulte a documentação do seu IdP.
SCIM e autenticação federada
A Autenticação federada está ativada e pode ser que já esteja ativada. Se estiver ativada quando as contas do IdP forem enviadas para o Apple School Manager, você não verá uma atividade, mas as contas ainda serão sincronizadas do domínio federado.
Contas de usuário do IdP e do Apple School Manager
Quando um usuário é copiado do seu IdP usando SCIM para o Apple School Manager, a função predefinida é Aluno.
Atributo de início de sessão
O Apple School Manager exige que o atributo usado para o ID Apple gerenciado seja exclusivo. Esse dado costuma ser o endereço de e-mail. Se um usuário tiver um atributo idêntico ao de um usuário existente do Apple School Manager com a função de Administrador, a sincronização não ocorrerá e o campo fonte permanecerá inalterado.
ID de pessoa
Quando um usuário do IdP é sincronizado com o Apple School Manager, é criado um ID de pessoa para a conta de usuário do Apple School Manager. Esse ID é usado para identificar contas com conflito. Além disso, o ID da pessoa é gerado automaticamente para usuários importados usando SCIM ou integração com SIS, mas não é gerado automaticamente de usuários importados usando o SFTP.
Se o SCIM for desconectado e o SFTP for usado para fazer upload de usuários novamente, os novos usuários serão criados, a menos que o ID de pessoa no arquivo de upload do SFTP corresponda ao ID de pessoa que foi atribuído pelo SCIM. Confira Importar contas usando SFTP.
Considerações importantes no caso de modificação do ID da pessoa:
Se você modificar o ID da pessoa para uma conta importada anteriormente do SCIM, essa conta não será mais emparelhada com o IdP.
Se você modificar o ID de pessoa de uma conta importada anteriormente de SCIM e quiser reconectar a conta, será necessário resolver os conflitos de conta de usuário.
Iniciar sessão no IdP
Inicie sessão com seu IdP como administrador e faça um dos seguintes:
Localize o app criado pelo IdP. Você pode ignorar várias etapas nessa tarefa.
Navegue para onde você cria um app ou uma conexão.
Crie o app com as seguintes informações:
Importante: Lembre-se do nome do app SCIM porque talvez ele seja necessário para o URL da callback de autorização.
Apple School Manager: use o AppleSchoolManagerSCIM.
Tipo do app: use o SCIM.
Método de autenticação: use o SAML 2.0.
URL de single sign-on usado para o destinatário e destino: consulte a documentação do IdP.
URI de público: use o ID de entidade.
Salve as alterações.
Configurar os ajustes de provisionamento do app SCIM
Localize a seção de provisionamento do app SCIM do IdP e insira os seguintes valores:
URL de conexão base do SCIM: https://federation.apple.com/feeds/school/scim
URI de token de acesso: https://appleid.apple.com/auth/oauth2/v2/token
URI de autorização: https://appleid.apple.com/auth/oauth2/v2/authorize
ID de cliente: 123
Segredo do cliente: 123
Importante: Como você ainda não sabe o real ID de cliente SCIM e o segredo de cliente, 123 é usado como um espaço reservado. Você substituirá esses valores em uma tarefa posterior.
Modo de autenticação: OAuth 2.
Campo de identificador exclusivo para usuários: consulte a documentação do seu IdP.
Importante: Certifique-se de corresponder as letras maiúsculas e minúsculas.
Ações de provisionamento compatíveis:
Importar novos usuários e atualizações de perfil.
Enviar novos usuários.
Enviar atualizações de perfil.
Salve as alterações.
Criar o URL da callback de autorização
É necessário criar um URL da callback de autorização para o Apple School Manager para obter registros de usuários do seu IdP que usa o SCIM. Esse URL de callback é baseado no nome do app SCIM criado no IdP.
Lembre-se do nome para o seu app SCIM. Por exemplo:
Apple School Manager: AppleSchoolManagerSCIM
Cole o nome dentro do seguinte URL. Por exemplo:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Salve o URL da callback de autorização.
Você colará o URL no Apple School Manager na próxima tarefa.
Criar e copiar informações do cliente SCIM no IdP
No Apple School Manager , inicie sessão com uma conta que tenha a função de Administrador, Gerente de site ou Gerente de pessoas.
Selecione seu nome na parte inferior da barra lateral, selecione Preferências e depois Directory Sync .
Selecione Ativar ao lado de Sincronização personalizada.
Cole o URL da callback de autorização da tarefa anterior e selecione Criar.
Selecione o aplicativo SCIM e depois, Criar.
Abra um novo arquivo de texto ou uma nova planilha e insira os seguintes valores do Apple School Manager:
Para o ID do cliente OIDC, cole o ID do cliente SCIM.
Para o segredo do ID do cliente OIDC, cole o segredo do ID do cliente SCIM.
Selecione Copiar ao lado do ID do cliente e depois cole o ID do cliente no arquivo.
Selecione Segredo do cliente, escolha por quanto tempo o segredo precisa estar ativo antes de expirar (6, 9 ou 12 meses) e depois cole o segredo do cliente no arquivo.
Importante: Se você apagar ou esquecer o segredo do cliente antes de colá-lo no app SCIM do IdP, será necessário criar um novo segredo de cliente.
Selecione Concluído.
Cole o ID do cliente e o segredo do cliente em seu app SCIM do IdP e verifique a conexão
Volte à seção de provisionamento do app SCIM do IdP e insira os seguintes valores:
ID do cliente SCIM do Apple School Manager
Segredo do cliente SCIM do Apple School Manager
Salve as alterações.
Se seu IdP permitir testar a autenticação usando uma conta de administrador do IdP, teste-a agora. Por exemplo, pode haver um botar “Autenticar com [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]” ou o nome de sua escolha para o app SCIM.
Insira seu nome e senha de administrador do IdP e, em seguida, insira o valor da autenticação de dois fatores.
Leia as informações de autorização com atenção. Se concordar, selecione Continuar.
Se necessário, agora será possível ativar a autenticação federada para este domínio.
Agora, o IdP e o Apple School Manager estão configurados para sincronizar alterações específicas de atributos de usuário em seu IdP para o Apple School Manager.