Använda federerad autentisering med din identitetsleverantör i Apple School Manager

I Apple School Manager kan du koppla din identitetsleverantör (IdP) med federerad autentisering för att tillåta att användare loggar in på Apple‑enheter med sina IdP‑användarnamn (vanligtvis sina e‑postadresser) och ‑lösenord.

Det innebär att användarna kan använda sina IdP‑uppgifter som ett hanterat Apple‑konto. Sedan kan de använda samma autentiseringsuppgifter för att logga in på en tilldelad iPhone, iPad, Mac, Apple Vision Pro och på en delad iPad. När de har loggat in på någon av dessa enheter kan de även logga in på iCloud på webben.

Process för federerad autentisering

Den här processen innehåller fyra grundsteg:

Lägg till och verifiera en domän.
Skapa en ny OIDC‑app eller anslutning.
Konfigurera federerad autentisering och testautentisering med ett enstaka IdP‑användarkonto.
Aktivera federerad autentisering.

Viktigt: Gå igenom följande innan du konfigurerar federerad autentisering.

Steg 1: Verifiera en domän

Innan du kan visa dina IdP‑användarkonton med Apple School Manager måste du lägga till och verifiera den domän som du vill använda.

Se Lägga till och verifiera en domän.

Denna verifieringsprocess säkerställer att det är din organisation som har behörighet att modifiera domännamnstjänstens (DNS) poster för din domän. Om du till exempel vill använda townshipschools.org som din domän lägger du till en specifik TXT‑post i din domännamnsservers zonfil inom 14 kalenderdagar efter påbörjad verifieringsprocess (som börjar när du väljer knappen Verifiera).

Obs! Om du försöker federera en domän som du redan har verifierat och om en annan organisation redan har federerat samma domän, måste du kontakta organisationen för att fastställa vem som har rätt att federera domänen. Se Domänkonflikter.

Steg 2: Skapa en ny OIDC‑app eller anslutning

För att kunna ansluta till Apple School Manager måste din identitetsleverantör ha eller skapa en app som innehåller specifika inställningar för koppling till Apple School Manager. Eftersom olika identitetsleverantörer har olika metoder för att skapa en app och en plats där specifika inställningar lagras kan du läsa i din identitetsleverantörs dokumentation om hur du slutför processen.

Logga in på din identitetsleverantör som administratör och gör sedan något av följande:
- Leta reda på appen som din identitetsleverantör har skapat. Kanske är det möjligt för dig att hoppa över flera steg i den här uppgiften.
- Navigera till stället där du kan skapa en app eller anslutning.
Skapa appen eller anslutningen med följande information:
- Apple SchoolManager: AppleSchoolManagerOIDC.
- Inloggningsmetod: Open ID Connect (OIDC).
- Apptyp: Webbapp.
- Beviljandetyp: Refresh-token.
- Omdirigerings‑URL vid inloggning: https://gsa-ws.apple.com/grandslam/GsService2/acs.
- Åtkomst: Tillåt specifika användarkonton.
- Åtkomstomfattning: Åtkomst måste ges till ssf.manage och ssf.read.
Spara ändringarna.
Senare på den här sidan måste du klistra in viss information i Apple School Manager. Nästa uppgift är att kopiera in den informationen i en textfil eller ett kalkylblad.
Öppna en ny textfil eller ett nytt kalkylblad och ange följande värden från identitetsleverantören:
- För OIDC-klientens ID klistrar du in ID:t för OIDC‑klienten.
- För OIDC‑klienthemligheten klistrar du in OIDC‑klienthemligheten.
Spara filen på en säker plats.

Steg 3: Konfigurera federerad autentisering och testautentisering med ett enstaka IdP‑användarkonto

I det här steget ska du att etablera en förtroenderelation mellan din IdP och Apple School Manager.

Obs! När du har slutfört det här steget kan användare inte skapa nya personliga Apple‑konton på domänen du konfigurerar. Det här kan påverka andra Apple‑tjänster som dina användare har åtkomst till. Se Överföra Apple‑tjänster till ett hanterat Apple‑konto.

Logga in på Apple School Manager med ett konto som har rollen som administratör, platsansvarig eller personansvarig.
Välj ditt namn längst ner i sidofältet, välj Inställningar , välj Hanterade Apple-konton och välj sedan Kom igång under Användarinloggning och katalogsynkronisering.
Välj Anpassad identitetsleverantör och välj sedan Fortsätt.
Ange ett namn på din federerade autentiseringsanslutning.
Du kan använda upp till 128 tecken.
Kopiera in klient‑ID:t och klienthemligheten i Apple School Manager från textfilen eller kalkylbladet du sparade i det förra avsnittet.
Kontakta din identitetsleverantör för att få URL‑adresser för dessa två konfigurationer:
- Shared Signals Framework (SSF)
- OpenID
Välj Fortsätt.
Om alla värden du har angett var giltiga visas identitetsleverantörens inloggningssida. Fortsätt till steg 8.
Logga in med användarnamnet och lösenordet för en IdP‑administratör.
Välj Klar.

Steg 4: Slå på federerad autentisering

Logga in på Apple School Manager med ett konto som har rollen som administratör, platsansvarig eller personansvarig.
Välj ditt namn längst ner i sidofältet, välj Inställningar och välj sedan Hanterade Apple-konton .
Välj Hantera bredvid domänen du vill federera i avsnittet Domäner och välj sedan Aktivera logga in med din identitetsleverantör.
Slå på Logga in med din identitetsleverantör.
Nu kan du synkronisera användarkonton till Apple School Manager vid behov. Läs mer i Synkronisera användarkonton från din identitetsleverantör.

Se ävenSynkronisera användarkonton från din identitetsleverantör i Apple School Manager Om motringnings-URL för auktorisering i Apple School Manager Lösa synkroniseringskonflikter för OIDC- eller SCIM-användarkonton hos identitetsleverantören i Apple School Manager Visa totalt antal konton som använder din domän i Apple School Manager

Var detta till hjälp?

Användarhandbok för Apple School Manager