Använda federerad autentisering med din identitetsleverantör i Apple School Manager
I Apple School Manager kan du länka din identitetsleverantör (IdP) med federerad autentisering för att tillåta att användare loggar in på Apple-enheter med sina IdP-användarnamn (vanligtvis deras e-postadresser) och -lösenord.
Det innebär att användare kan använda sina IdP-uppgifter som hanterade Apple-konton. De kan använda sina inloggningsuppgifter för att logga in på sina tilldelade iPhone-, iPad- eller Mac-enheter, och även på iCloud på webben.
Innan du börjar
Tänk på detta innan du länkar din IdP:
Du måste låsa och aktivera domänregistrering innan du kan federera. Se Låsa en domän.
Vid federerad autentisering ska användarens e-postadress användas som användarnamn. Alias kan inte användas.
Hanterade Apple-konton för befintliga användare som har en e-postadress i den federerade domänen ändras automatiskt för att motsvara e-postadressen.
Konfigurera och verifiera domänen du vill använda. Se Lägga till och verifiera en domän.
Koppla från ditt studentinformationssystem (SIS) eller stoppa överföringar med SFTP.
Användarkonton med rollen Administratör, Platsansvarig eller Personansvarig kan inte logga in med federerad autentisering. De kan endast hantera federeringsprocessen.
När IdP-anslutningen går ut federeras och synkroniseras inte användarkonton med din IdP längre. Du måste återansluta till din IdP för att fortsätta använda federering och synkronisering.
Om du ska använda federerad autentisering behöver du ha följande information:
Inloggningsmetod: Använd Open ID Connect (OIDC).
Åtkomstomfattning: Åtkomst måste ges till
ssf.manage
ochssf.read
.Webbadress för SSF-konfiguration (Shared Signals Framework): Se identitetsleverantörens dokumentation.
Webbadress för OpenID-konfiguration: Se identitetsleverantörens dokumentation.
Process för federerad autentisering
Den här processen innehåller fyra grundsteg:
Lägg till och verifiera en domän.
Skapa en ny OIDC-app eller anslutning.
Konfigurera federerad autentisering och testautentisering med ett enstaka IdP-användarkonto.
Aktivera federerad autentisering.
Steg 1: Verifiera en domän
Innan du kan visa dina IdP-användarkonton med Apple School Manager måste du lägga till och verifiera den domän som du vill använda.
Se Lägga till och verifiera en domän.
Denna verifieringsprocess säkerställer att det är din organisation som har behörighet att modifiera domännamnstjänstens (DNS) poster för din domän. Om du till exempel vill använda townshipschools.org som din domän lägger du till en specifik TXT‑post i din domännamnsservers zonfil inom 14 kalenderdagar efter påbörjad verifieringsprocess (som börjar när du väljer knappen Verifiera).
Obs! Om du försöker federera en domän som du redan har verifierat och om en annan organisation redan har federerat samma domän, måste du kontakta organisationen för att fastställa vem som har rätt att federera domänen. Se Domänkonflikter.
Steg 2: Skapa en ny OIDC‑app eller anslutning
För att kunna ansluta till Apple School Manager måste din identitetsleverantör ha eller skapa en app som innehåller specifika inställningar för koppling till Apple School Manager. Eftersom olika identitetsleverantörer har olika metoder för att skapa en app och en plats där specifika inställningar lagras kan du läsa i din identitetsleverantörs dokumentation om hur du slutför processen.
Logga in på din identitetsleverantör som administratör och gör sedan något av följande:
Leta reda på appen som din identitetsleverantör har skapat. Det kan hända att du kan hoppa över flera steg i den här uppgiften.
Navigera till stället där du kan skap en app eller anslutning.
Skapa appen eller anslutningen med följande information:
Apple SchoolManager: AppleSchoolManagerOIDC.
Inloggningsmetod: Open ID Connect (OIDC).
Apptyp: Webbapp.
Beviljandetyp: Refresh-token.
Omdirigerings-URL vid inloggning: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Åtkomst: Tillåt specifika användarkonton.
Åtkomstomfattning: Åtkomst måste ges till
ssf.manage
ochssf.read
.
Spara ändringarna.
Senare på den här sidan måste du klistra in viss information i Apple School Manager. Nästa uppgift är att kopiera in den informationen i en textfil eller ett kalkylblad.
Öppna en ny textfil eller ett nytt kalkylblad och ange följande värden från identitetsleverantören:
För OIDC-klientens ID klistrar du in ID:t för OIDC‑klienten.
För OIDC‑klienthemligheten klistrar du in OIDC‑klienthemligheten.
Spara filen på en säker plats.
Steg 3: Konfigurera federerad autentisering och testautentisering med ett enstaka IdP-användarkonto
I det här steget ska du att etablera en förtroenderelation mellan din IdP och Apple School Manager.
Obs! När du har slutfört det här steget kan användare inte skapa nya personliga Apple-konton på domänen du har konfigurerat. Det här skulle kunna påverka andra Apple-tjänster som dina användare har åtkomst till. Se Överföra Apple-tjänster vid federering.
Logga in på Apple School Manager med ett konto som har rollen som administratör, platsansvarig eller personansvarig.
Välj ditt namn längst ned i sidofältet, välj Inställningar , välj Hanterade Apple-konton och välj sedan Kom igång under Användarinloggning och katalogsynkronisering.
Välj Anpassad identitetsleverantör och välj sedan Fortsätt.
Ange ett namn på din federerade autentiseringsanslutning.
Du kan använda upp till 128 tecken.
Kopiera in klient‑ID:t och klienthemligheten i Apple School Manager från textfilen eller kalkylbladet du sparade i det förra avsnittet.
Kontakta din identitetsleverantör för att få URL‑adresser för dessa två konfigurationer:
Shared Signals Framework (SSF)
OpenID
Välj Fortsätt.
Om alla värden du har angett var giltiga visas identitetsleverantörens inloggningssida. Fortsätt till steg 8.
Logga in med användarnamnet och lösenordet för en IdP-administratör.
Välj Klar.
Steg 4: Aktivera federerad autentisering
Logga in på Apple School Manager med ett konto som har rollen som administratör, platsansvarig eller personansvarig.
Välj ditt namn längst ned i sidofältet, välj Inställningar och välj sedan Hanterade Apple-konton .
Välj Hantera bredvid domänen du vill federera i avsnittet Domäner och välj sedan Aktivera logga in med din identitetsleverantör.
Aktivera Logga in med din identitetsleverantör.
Nu kan du synkronisera användarkonton till Apple School Manager vid behov. Läs mer i Synkronisera användarkonton från din identitetsleverantör.