Sincronizar contas de utilizador a partir do fornecedor de identidade no Apple School Manager
No Apple School Manager, pode utilizar o OpenID Connect (OIDC) ou o Sistema de gestão de identidade entre domínios (SCIM) para sincronizar contas de utilizador a partir do seu fornecedor de identidade (IdP). Ao utilizar este sistema, combina as propriedades do Apple School Manager (tais como nível de ensino e funções) com os dados de contas de utilizador importados do seu IdP. Quando utiliza o SCIM para sincronizar utilizadores, as informações de conta são adicionadas como só de leitura até desligar. Nesse momento, as contas tornam-se contas manuais, sendo possível editar os respetivos atributos (tais como nomes de utilizador). A sincronização inicial é mais demorada do que os ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência são sincronizados os utilizadores com o Apple School Manager.
Importante: Tem apenas 4 dias para concluir a transferência de token para o seu IdP e estabelecer uma ligação com êxito, caso contrário, terá de iniciar novamente o processo.
Antes de começar
Antes de sincronizar com o seu IdP através de uma ligação OIDC, é necessário efetuar o seguinte:
Configure e confirme o domínio que pretende utilizar. Consulte Associar a novos domínios.
Desligue o Sistema de Informações de Alunos (SIA) ou interrompa as cargas através do SFTP.
Configure, vincule e ative um domínio. Consulte Utilizar a autenticação vinculada com o seu fornecedor de identidade.
Entre em contacto com uma pessoa com a função de Administração do IdP com permissões para editar definições.
Certifique-se de que dispõe das seguintes informações e, em seguida, contacte o seu IdP:
Campo do identificador único para utilizadores: o valor deste atributo é, normalmente, o endereço de e-mail do(a) utilizador(a). Este campo é utilizado para criar o ID Apple gerido do(a) utilizador(a). Por exemplo, pode ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de Início de sessão único: consulte a documentação do seu IdP.
URL da chamada de retorno de autorização: consulte a documentação do seu IdP.
Contas de utilizador do IdP e Apple School Manager
Quando uma conta é copiada do IdP através do SCIM para o Apple School Manager, a função predefinida é Aluno(a).
Nota: Os grupos de utilizadores do IdP não são sincronizados com o Apple School Manager.
Atributo de início de sessão
O Apple School Manager requer que o atributo utilizado para o ID Apple gerido seja único. Normalmente, é o endereço de e-mail do(a) utilizador(a). Se um(a) utilizador(a) tiver um atributo que seja exatamente igual ao de um(a) utilizador(a) do Apple School Manager existente que tenha a função de Administração, não é realizada a sincronização e o campo de origem permanece inalterado.
ID da pessoa
Quando uma conta de utilizador do IdP é sincronizada com o Apple School Manager, é criado um ID de pessoa para a conta de utilizador do Apple School Manager. Este ID é utilizado para identificar contas de utilizador em conflito. O ID da pessoa é também automaticamente gerado para utilizadores importados através do SCIM ou da integração SIA, mas não é automaticamente gerado a partir de utilizadores importados através do SFTP.
Se o SCIM estiver desligado e o SFTP for utilizado para voltar a enviar utilizadores, são criados novos utilizadores, a menos que o ID de pessoa no ficheiro de envio do SFTP corresponda ao ID de pessoa atribuído pelo SCIM. Consulte a secção Importar contas utilizando o SFTP.
Considerações importantes se modificar o ID da pessoa:
Se alterar o ID de pessoa de uma conta de utilizador importada anteriormente a partir do seu IdP, esta deixará de ser emparelhada com o IdP.
Se alterar o ID de pessoa de uma conta de utilizador importada anteriormente a partir do seu IdP e pretender restabelecer ligação à conta de utilizador, tem de resolver o conflito.
Iniciar sessão no seu IdP
Inicie sessão no seu IdP como administração e, em seguida, proceda de uma das seguintes formas:
Localize a app criada pelo seu IdP. Talvez possa ignorar vários passos nesta tarefa.
Navegue para o local onde pode criar uma app ou associação.
Crie a app com as seguintes informações:
Importante: Não se esqueça do nome da aplicação SCIM porque irá ser necessário para o URL de retorno de autorização.
Apple School Manager: utilize AppleSchoolManagerSCIM.
Tipo de aplicação: utilize SCIM.
Método de autenticação: utilize SAML 2.0.
URL de início de sessão único para o destinatário e destino: consulte a documentação do seu IdP.
URI de público: utilize o ID da entidade.
Guarde as alterações.
Configurar as definições de aprovisionamento da aplicação SCIM
Localize a secção de aprovisionamento da sua aplicação SCIM do IdP e, em seguida, introduza os seguintes valores:
URL de base do conector SCIM: https://federation.apple.com/feeds/school/scim
URI do token de acesso: https://appleid.apple.com/auth/oauth2/v2/token
URI de autorização: https://appleid.apple.com/auth/oauth2/v2/authorize
ID do cliente: 123
Segredo do cliente: 123
Importante: Uma vez que ainda não sabe qual é o ID do cliente SCIM e o segredo do cliente, 123 é utilizado como marcador de posição. Numa tarefa posterior irá substituir estes valores.
Modo de autenticação: OAuth 2.
Campo do identificador único para utilizadores: consulte a documentação do seu IdP.
Importante: Certifique-se de que utiliza corretamente as maiúsculas e minúsculas do identificador.
Ações de aprovisionamento suportadas:
Importar novos utilizadores e atualizações de perfis.
Executar novos utilizadores.
Executar atualizações de perfis.
Guarde as alterações.
Criar o URL de retorno de autorização
Tem de criar um URL de retorno autorizado para que o Apple School Manager obtenha registos de utilizadores do seu IdP utilizando SCIM. Este URL de retorno baseia-se no nome da aplicação SCIM criada no seu IdP.
Não se esqueça do nome da sua aplicação SCIM. Por exemplo:
Apple School Manager: AppleSchoolManagerSCIM
Cole o nome da app dentro do seguinte URL. Por exemplo:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Guarde o URL de retorno de autorização.
Na tarefa seguinte, cole-o no Apple School Manager.
Criar e copiar informações do cliente SCIM para o IdP
No Apple School Manager , inicie sessão com a conta de uma pessoa que tenha a função de Administração, Gestão de estabelecimento ou Gestão de pessoas.
Selecione o seu nome na parte inferior da barra lateral, selecione Preferências e, em seguida, selecione Sincronização de diretórios .
Selecione Ativar junto a Sincronização personalizada.
Cole o URL de retorno de autorização da tarefa anterior e, em seguida, selecione Criar.
Selecione Aplicação SCIM e, em seguida, selecione Criar.
Abra um novo ficheiro de texto ou folha de cálculo e introduza os seguintes valores do Apple School Manager:
Para o ID do cliente OIDC, cole o ID do cliente SCIM.
Para o segredo do cliente do OIDC, cole o segredo do cliente SCIM.
Selecione Copiar junto ao ID do cliente e, em seguida, cole o ID do cliente no ficheiro.
Selecione Segredo do cliente, escolha a validade do segredo (6, 9 ou 12 meses) e, em seguida, cole o segredo do cliente no ficheiro.
Importante: Se eliminar ou se esquecer do segredo do cliente antes de o colar na aplicação SCIM do IdP, tem de criar um novo segredo do cliente.
Selecione Terminado.
Colar o ID e o segredo do cliente na aplicação SCIM do IdP e verificar a ligação
Volte à secção de aprovisionamento da aplicação SCIM do seu IdP e, em seguida, cole os seguintes valores:
ID do cliente SCIM do Apple School Manager
Segredo do cliente SCIM do Apple School Manager
Guarde as alterações.
Se o seu IdP permitir testar a autenticação utilizando uma conta de administração do IdP, pode testá-la agora. Por exemplo, pode ser apresentado um botão "Autenticar com [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]" ou o nome que atribuiu à aplicação SCIM.
Introduza o nome e a palavra-passe de administração do IdP e, em seguida, introduza o valor da autenticação de dois fatores.
Leia atentamente todas as informações da autorização. Se concordar, selecione Continuar.
Se necessário, pode agora ativar a autenticação vinculada para este domínio.
O seu IdP e o Apple School Manager estão agora configurados para sincronizar alterações aos atributos do utilizador específicos do IdP para o Apple School Manager.