Använda federerad autentisering med din identitetsleverantör i Apple School Manager
I Apple School Manager kan du länka din identitetsleverantör (IdP) med federerad autentisering för att tillåta att användare loggar in på Apple-enheter med sina IdP-användarnamn (vanligtvis deras e-postadresser) och -lösenord.
Det innebär att användare kan använda sina IdP-uppgifter som hanterade Apple-ID:n. De kan använda sina inloggningsuppgifter för att logga in på sina tilldelade iPhone-, iPad- eller Mac-enheter, och även på iCloud på webben.
Innan du börjar
Tänk på detta innan du länkar din IdP:
Vid federerad autentisering ska användarens e-postadress användas som användarnamn. Alias kan inte användas.
Hanterade Apple-ID:n för befintliga användare som har en e-postadress i den federerade domänen ändras automatiskt för att motsvara e-postadressen.
Konfigurera och verifiera domänen du vill använda. Se Länk till nya domäner.
Koppla från ditt studentinformationssystem (SIS) eller stoppa överföringar med SFTP.
Användarkonton med rollen Administratör, Platsansvarig eller Personansvarig kan inte logga in med federerad autentisering. De kan endast hantera federeringsprocessen.
När IdP-anslutningen går ut federeras och synkroniseras inte användarkonton med din IdP längre. Du måste återansluta till din IdP för att fortsätta använda federering och synkronisering.
Om du ska använda federerad autentisering behöver du ha följande information:
Inloggningsmetod: Använd Open ID Connect (OIDC).
Åtkomstomfattning: Åtkomst måste ges till
ssf.manageochssf.read.Webbadress för SSF-konfiguration (Shared Signals Framework): Se identitetsleverantörens dokumentation.
Webbadress för OpenID-konfiguration: Se identitetsleverantörens dokumentation.
Process för federerad autentisering
Den här processen innehåller fyra grundsteg:
Lägg till och verifiera en domän.
Skapa en ny OIDC-app eller anslutning.
Konfigurera federerad autentisering och testautentisering med ett enstaka IdP-användarkonto.
Aktivera federerad autentisering.
Steg 1: Verifiera en domän
Innan du kan visa dina IdP-användarkonton med Apple School Manager måste du lägga till och verifiera den domän som du vill använda.
Denna verifieringsprocess säkerställer att det är din organisation som har behörighet att modifiera domännamnstjänstens (DNS) poster för din domän. Om du till exempel vill använda betterbag.com som din domän lägger du till en specifik TXT‑post i din domännamnsservers zonfil inom 14 kalenderdagar efter påbörjad verifieringsprocess (som börjar när du väljer knappen Verifiera).
Obs! Om du försöker federera en domän som du redan har verifierat och om en annan organisation redan har federerat samma domän, måste du kontakta organisationen för att fastställa vem som har rätt att federera domänen. Se Om domänkonflikter.
Steg 2: Skapa en ny OIDC‑app eller anslutning
För att kunna ansluta till Apple School Manager måste din identitetsleverantör ha eller skapa en app som innehåller specifika inställningar för koppling till Apple School Manager. Eftersom olika identitetsleverantörer har olika metoder för att skapa en app och en plats där specifika inställningar lagras kan du läsa i din identitetsleverantörs dokumentation om hur du slutför processen.
Logga in på din identitetsleverantör som administratör och gör sedan något av följande:
Leta reda på appen som din identitetsleverantör har skapat. Det kan hända att du kan hoppa över flera steg i den här uppgiften.
Navigera till stället där du kan skap en app eller anslutning.
Skapa appen eller anslutningen med följande information:
Apple SchoolManager: AppleSchoolManagerOIDC.
Inloggningsmetod: Open ID Connect (OIDC).
Apptyp: Webbapp.
Beviljandetyp: Refresh-token.
Omdirigerings-URL vid inloggning: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Åtkomst: Tillåt specifika användarkonton.
Åtkomstomfattning: Åtkomst måste ges till
ssf.manageochssf.read.
Spara ändringarna.
Senare på den här sidan måste du klistra in viss information i Apple School Manager. Nästa uppgift är att kopiera in den informationen i en textfil eller ett kalkylblad.
Öppna en ny textfil eller ett nytt kalkylblad och ange följande värden från identitetsleverantören:
För OIDC-klientens ID klistrar du in ID:t för OIDC‑klienten.
För OIDC‑klienthemligheten klistrar du in OIDC‑klienthemligheten.
Spara filen på en säker plats.
Steg 3: Konfigurera federerad autentisering och testautentisering med ett enstaka IdP-användarkonto
Detta gör så att din IdP litar på Apple School Manager.
Obs! När du har slutfört detta kan användare inte skapa nya personliga Apple-ID:n på domänen du har konfigurerat. Detta kan påverka andra Apple-tjänster du använder. Se Överföra Apple-tjänster vid federering.
Logga in på Apple School Manager
med ett konto som har rollen som administratör, platsansvarig eller personansvarig.Välj ditt namn längst ned i sidofältet, välj Inställningar
, välj Hanterade Apple-ID:n
och välj sedan Kom igång under Användarinloggning och katalogsynkronisering.Välj Anpassad identitetsleverantör och välj sedan Fortsätt.
Ange ett namn på din federerade autentiseringsanslutning.
Du kan använda upp till 128 tecken.
Kopiera in klient‑ID:t och klienthemligheten i Apple School Manager från textfilen eller kalkylbladet du sparade i det förra avsnittet.
Kontakta din identitetsleverantör för att få URL‑adresser för dessa två konfigurationer:
Shared Signals Framework (SSF)
OpenID
Välj Fortsätt.
Om alla värden du har angett var giltiga visas identitetsleverantörens inloggningssida. Fortsätt till steg 8.
Logga in med användarnamnet och lösenordet för en IdP-administratör.
Välj Klar.
Steg 4: Aktivera federerad autentisering
Logga in på Apple School Manager
med ett konto som har rollen som administratör, platsansvarig eller personansvarig.Välj ditt namn längst ned i sidofältet, välj Inställningar
och välj sedan Hanterade Apple-ID:n .Välj Hantera bredvid domänen du vill federera i avsnittet Domäner och välj sedan Aktivera logga in med din identitetsleverantör.
Aktivera Logga in med din identitetsleverantör.
Nu kan du synkronisera användarkonton till Apple School Manager vid behov. Läs mer i Synkronisera användarkonton från din identitetsleverantör.