Synkronisera användarkonton från din identitetsleverantör i Apple School Manager
I Apple School Manager kan du använda OpenID Connect (OIDC) eller System for Cross-domain Identity Management (SCIM) för att synkronisera användarkonton från din identitetsleverantör (IdP). Med det här systemet kan du slå samman Apple School Manager-egenskaper (såsom årskurs och roller) med användarkontodata som importerats från din IdP. När du använder SCIM för att synkronisera användare läggs kontoinformationen till i skrivskyddat läge tills du kopplar från SCIM. Då blir kontona manuella konton och attribut i dem (till exempel användarnamn) kan redigeras. Den första synkroniseringen tar längre tid att utföra än kommande cykler. I identitetsleverantörens dokumentation kan du läsa mer om hur ofta användare synkroniseras med Apple School Manager.
Viktigt: Du har bara fyra kalenderdagar på dig att slutföra tokenöverföringen till din IdP och etablera en anslutning, annars måste du börja om igen.
Innan du börjar
Innan du synkroniserar till din IdP med en OIDC-anslutning måste du göra detta:
Konfigurera och verifiera domänen du vill använda. Se Lägga till och verifiera en domän.
Koppla från ditt studentinformationssystem (SIS) eller stoppa överföringar med SFTP.
Konfigurera, federera och aktivera en domän. Se Använda federerad autentisering med din identitetsleverantör.
Se till att en IdP-administratör med behörighet att redigera inställningarna står i beredskap.
Kontrollera att du har följande information och kontakta sedan din IdP:
Unikt identifierar-fält för användare: Värdet för det här attributet är vanligtvis användarens e‑postadress. Det används för att skapa användarens hanterade Apple-konto. Det kan till exempel vara användarnamn.
Autentiseringsmetod: SAML 2.0.
Autentiseringsläge: OAuth 2.
Single Sign-On-URL: Se din identitetsleverantörs dokumentation.
Motringnings-URL för auktorisering: Se din identitetsleverantörs dokumentation.
Identitetsleverantörens användarkonton och Apple School Manager
När en användare kopieras från din identitetsleverantör via SCIM till Apple School Manager är standardrollen Studerande.
Obs! Användargrupper från din IdP synkroniseras inte med Apple School Manager.
Inloggningsattribut
Apple School Manager kräver att attributet som används för det hanterade Apple-kontot är unikt. Det är vanligtvis användarens e-postadress. Om en användare har ett attribut som är exakt samma som en befintlig Apple School Manager-användare med rollen administratör utförs ingen synkronisering och källfältet förblir oförändrat.
Person‑ID
När ett IdP-användarkonto synkroniseras till Apple School Manager skapas ett Person-ID för Apple School Manager-användarkontot. Detta ID används för att identifiera användarkonton i konflikt. Person-ID:t genereras dessutom automatiskt för användare som importeras via SCIM eller SIS-integration, men genereras inte automatiskt för användare som importerats med SFTP.
Om SCIM kopplas bort och SFTP används för att överföra användare igen skapas nya användare såvida inte Person-ID i SFTP-överföringsfilen motsvarar det Person-ID som tilldelats av SCIM. Se Överföra data från Student Information System till Apple School Manager.
Viktigt att tänka på om du ändrar Person‑ID:
Om du ändrar Person-ID:t för ett användarkonto som tidigare har importerats från din IdP kommer användarkontot inte längre att parkopplas med din IdP.
Om du ändrar Person-ID:t för ett användarkonto som tidigare har importerats från din IdP och vill återansluta användarkontot måste du lösa konflikten.
Logga in på din identitetsleverantör
Logga in på din identitetsleverantör som administratör och gör sedan något av följande:
Leta reda på appen som din identitetsleverantör har skapat. Det kan hända att du kan hoppa över flera steg i den här uppgiften.
Navigera till stället där du kan skap en app eller anslutning.
Skapa appen med följande information:
Viktigt: Kom ihåg namnet på SCIM‑appen. Du kan behöva det för motringnings-URL för auktorisering.
Apple School Manager: Använd AppleSchoolManagerSCIM.
Apptyp: Använd SCIM.
Autentiseringsmetod: Använd SAML 2.0.
SSO-webbadress som används för mottagare och destination: Se identitetsleverantörens dokumentation.
Målgrupps‑URI: Använd Organisations‑ID.
Spara ändringarna.
Konfigurera etableringsinställningarna för SCIM‑appen.
Hitta etableringsavsnittet i identitetsleverantörens SCIM‑app och ange följande värden:
Bas‑URL för SCIM‑anslutning: https://federation.apple.com/feeds/school/scim
Åtkomsttoken-URI: https://appleaccount.apple.com/auth/oauth2/v2/token
Auktoriserings-URI: https://appleaccount.apple.com/auth/oauth2/v2/authorize
Klient‑ID: 123
Klienthemlighet: 123
Viktigt: Eftersom du inte har rätt klient‑ID och klienthemlighet för SCIM än används 123 som platshållare. Du kommer att ersätta dessa värden senare.
Autentiseringsläge: OAuth 2.
Unikt identifierar-fält för användare: Se identitetsleverantörens dokumentation.
Viktigt: Kontrollera att gemener/versaler matchar identifieraren.
Etableringsåtgärder som stöds:
Importera nya användare och profiluppdateringar
Distribuera nya användare
Distribuera profiluppdateringar
Spara ändringarna
Skapa motringnings‑URL för auktorisering
Du måste skapa en auktoriserad motringnings‑URL för Apple School Manager för att hämta användarposter från din identitetsleverantör via SCIM. Denna motringnings-URL baseras på namnet på den SCIM‑app du skapat i din identitetsleverantör.
Kom ihåg namnet på din SCIM‑app. Till exempel:
Apple School Manager: AppleSchoolManagerSCIM
Klistra in appens namn i följande webbadress. Till exempel:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Spara din motringnings‑URL för auktorisering.
Du ska klistra in den i Apple School Manager i nästa uppgift.
Skapa SCIM‑klientinformation och klistra in den i din identitetsleverantör
Logga in på Apple School Manager med ett konto som har rollen som administratör, platsansvarig eller personansvarig.
Välj ditt namn längst ned i sidofältet, välj Inställningar och välj sedan Hanterade Apple-konton .
Välj Aktivera bredvid Anpassad synkronisering.
Klistra in din motringnings‑URL för auktorisering från den förra uppgiften och välj sedan Skapa.
Välj SCIM‑program och sedan Skapa.
Öppna en ny textfil eller ett nytt kalkylblad och ange sedan följande värden från Apple School Manager:
För OIDC‑klientens ID klistrar du in ID:t för OIDC‑klienten.
För OIDC‑klienthemligheten klistrar du in SCIM‑klienthemligheten.
Välj Kopiera bredvid Klient‑ID och klistra sedan in klient‑ID:t i filen.
Välj Klienthemlighet och välj hur länge hemligheten ska vara aktiv innan den upphör att gälla (6, 9 eller 12 månader). Klistra sedan in klienthemligheten i filen.
Viktigt: Om du raderar eller glömmer klienthemligheten innan du klistrar in den i SCIM‑appen i din identitetsleverantör måste du skapa en ny klienthemlighet.
Välj Klar.
Klistra in klient‑ID:t och klienthemligheten i SCIM‑appen i din identitetsleverantör och verifiera anslutningen
Gå tillbaka till etableringsavsnittet i SCIM‑appen i din identitetsleverantör och klistra sedan in följande värden:
Apple School Manager – ID för SCIM‑klient
Apple School Manager – SCIM‑klienthemlighet
Spara ändringarna.
Om din identitetsleverantör tillåter att du testar autentiseringen med ett administratörskonto i identitetsleverantören kan du testa nu. Det kan till exempel finnas en knapp som Autentisera med [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM], eller vad du har valt att kalla din SCIM‑app.
Ange administratörsnamnet och lösenordet i din identitetsleverantör och sedan värdet för tvåstegsautentisering.
Läs eventuell auktoriseringsinformation noggrant. Välj Fortsätt om du godkänner.
Du kan vid behov aktivera federerad autentisering för den här domänen.
Din identitetsleverantör och Apple School Manager har nu konfigurerats för att synkronisera specifika ändringar av användarattribut från identitetsleverantören med Apple School Manager.