Synkronisera användare från din identitetsleverantör i Apple School Manager
I Apple School Manager kan du använda SCIM (System for Cross-domain Identity Management) för att synkronisera användare från din identitetsleverantör (IdP). När du använder SCIM för att synkronisera användare läggs kontoinformationen till i skrivskyddat läge tills du kopplar från SCIM. Då blir kontona manuella konton och attribut i dem (till exempel användarnamn) kan redigeras. Den första synkroniseringen tar längre tid att utföra än kommande cykler. I identitetsleverantörens dokumentation kan du läsa mer om hur ofta användare synkroniseras med Apple School Manager.
Innan du börjar
Innan du börjar skapa en SCIM-anslutning bör du redan ha anslutit via federerad autentisering. Se Använda federerad autentisering med din identitetsleverantör. Kontakta sedan din identitetsleverantör och se till att du har följande information:
Unikt identifierar-fält för användare: Värdet för det här attributet är vanligtvis användarens e‑postadress. Det används för att skapa användarens hanterade Apple‑D. Det kan till exempel vara användarnamn.
Autentiseringsmetod: SAML 2.0.
Autentiseringsläge: OAuth 2.
Single Sign-On-URL: Se din identitetsleverantörs dokumentation.
Motringnings-URL för auktorisering: Se din identitetsleverantörs dokumentation.
SCIM och federerad autentisering
Federerad autentisering har slagits på och är kanske redan aktiv. Om den är aktiv ser du ingen aktivitet när identitetsleverantörskonton skickas till Apple School Manager, men konton synkroniseras ändå från den federerade domänen.
Identitetsleverantörens användarkonton och Apple School Manager
När en användare kopieras från din identitetsleverantör via SCIM till Apple School Manager är standardrollen Studerande.
Inloggningsattribut
Apple School Manager kräver att attributet som används för det hanterade Apple‑ID:t är unikt. Det är vanligtvis användarens e-postadress. Om en användare har ett attribut som är exakt samma som en befintlig Apple School Manager-användare med rollen administratör utförs ingen synkronisering och källfältet förblir oförändrat.
Person‑ID
När en IdP-användare synkroniseras med Apple School Manager skapas ett person‑ID för användarkontot i Apple School Manager. Detta ID används för att identifiera användarkonton i konflikt. Person‑ID genereras dessutom automatiskt för användare som importeras via SCIM eller SIS‑integration men genereras inte automatiskt från användare som importerats via SFTP.
Om SCIM kopplas från och SFTP används för att överföra användare igen skapas nya användare, såvida inte Person‑ID:t i SFTP‑överföringsfilen motsvarar det Person‑ID som tilldelats av SCIM. Se Importera konton med SFTP.
Viktigt att tänka på om du ändrar Person‑ID:
Om du ändrar Person‑ID för ett konto som tidigare har importerats från SCIM kommer det kontot inte längre att parkopplas med identitetsleverantören.
Om du ändrar Person‑ID för ett konto som tidigare har importerats från SCIM och vill återansluta kontot måste du lösa användarkonflikten.
Logga in på din identitetsleverantör
Logga in på din identitetsleverantör som administratör och gör sedan något av följande:
Leta reda på appen som din identitetsleverantör har skapat. Det kan hända att du kan hoppa över flera steg i den här uppgiften.
Navigera till stället där du kan skap en app eller anslutning.
Skapa appen med följande information:
Viktigt: Kom ihåg namnet på SCIM‑appen. Du kan behöva det för motringnings-URL för auktorisering.
Apple School Manager: Använd AppleSchoolManagerSCIM.
Apptyp: Använd SCIM.
Autentiseringsmetod: Använd SAML 2.0.
SSO-webbadress som används för mottagare och destination: Se identitetsleverantörens dokumentation.
Målgrupps‑URI: Använd Organisations‑ID.
Spara ändringarna.
Konfigurera etableringsinställningarna för SCIM‑appen.
Hitta etableringsavsnittet i identitetsleverantörens SCIM‑app och ange följande värden:
Bas‑URL för SCIM‑anslutning: https://federation.apple.com/feeds/school/scim
Åtkomsttoken‑URI: https://appleid.apple.com/auth/oauth2/v2/token
Auktoriserings‑URI: https://appleid.apple.com/auth/oauth2/v2/authorize
Klient‑ID: 123
Klienthemlighet: 123
Viktigt: Eftersom du inte har rätt klient‑ID och klienthemlighet för SCIM än används 123 som platshållare. Du kommer att ersätta dessa värden senare.
Autentiseringsläge: OAuth 2.
Unikt identifierar-fält för användare: Se identitetsleverantörens dokumentation.
Viktigt: Kontrollera att gemener/versaler matchar identifieraren.
Etableringsåtgärder som stöds:
Importera nya användare och profiluppdateringar
Distribuera nya användare
Distribuera profiluppdateringar
Spara ändringarna
Skapa motringnings‑URL för auktorisering
Du måste skapa en auktoriserad motringnings‑URL för Apple School Manager för att hämta användarposter från din identitetsleverantör via SCIM. Denna motringnings-URL baseras på namnet på den SCIM‑app du skapat i din identitetsleverantör.
Kom ihåg namnet på din SCIM‑app. Till exempel:
Apple School Manager: AppleSchoolManagerSCIM
Klistra in appens namn i följande webbadress. Till exempel:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Spara din motringnings‑URL för auktorisering.
Du ska klistra in den i Apple School Manager i nästa uppgift.
Skapa SCIM‑klientinformation och klistra in den i din identitetsleverantör
Logga in på Apple School Manager med ett konto som har rollen som administratör, platsansvarig eller personansvarig.
Välj ditt namn längst ned i sidofältet, välj Inställningar och välj sedan Katalogsynkronisering .
Välj Aktivera bredvid Anpassad synkronisering.
Klistra in din motringnings‑URL för auktorisering från den förra uppgiften och välj sedan Skapa.
Välj SCIM‑program och sedan Skapa.
Öppna en ny textfil eller ett nytt kalkylblad och ange sedan följande värden från Apple School Manager:
För OIDC‑klientens ID klistrar du in ID:t för OIDC‑klienten.
För OIDC‑klienthemligheten klistrar du in SCIM‑klienthemligheten.
Välj Kopiera bredvid Klient‑ID och klistra sedan in klient‑ID:t i filen.
Välj Klienthemlighet och välj hur länge hemligheten ska vara aktiv innan den upphör att gälla (6, 9 eller 12 månader). Klistra sedan in klienthemligheten i filen.
Viktigt: Om du raderar eller glömmer klienthemligheten innan du klistrar in den i SCIM‑appen i din identitetsleverantör måste du skapa en ny klienthemlighet.
Välj Klar.
Klistra in klient‑ID:t och klienthemligheten i SCIM‑appen i din identitetsleverantör och verifiera anslutningen
Gå tillbaka till etableringsavsnittet i SCIM‑appen i din identitetsleverantör och klistra sedan in följande värden:
Apple School Manager – ID för SCIM‑klient
Apple School Manager – SCIM‑klienthemlighet
Spara ändringarna.
Om din identitetsleverantör tillåter att du testar autentiseringen med ett administratörskonto i identitetsleverantören kan du testa nu. Det kan till exempel finnas en knapp som Autentisera med [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM], eller vad du har valt att kalla din SCIM‑app.
Ange administratörsnamnet och lösenordet i din identitetsleverantör och sedan värdet för tvåstegsautentisering.
Läs eventuell auktoriseringsinformation noggrant. Välj Fortsätt om du godkänner.
Du kan vid behov aktivera federerad autentisering för den här domänen.
Din identitetsleverantör och Apple School Manager har nu konfigurerats för att synkronisera specifika ändringar av användarattribut från identitetsleverantören med Apple School Manager.