Synkronisera användarkonton från din identitetsleverantör i Apple School Manager

I Apple School Manager kan du använda OpenID Connect (OIDC) eller System for Cross-domain Identity Management (SCIM) för att synkronisera användarkonton från din identitetsleverantör (IdP). Med det här systemet kan du slå samman Apple School Manager-egenskaper (såsom årskurs och roller) med användarkontodata som importerats från din IdP. När du använder SCIM för att synkronisera användare läggs kontoinformationen till i skrivskyddat läge tills du kopplar från SCIM. Då blir kontona manuella konton och attribut i dem (till exempel användarnamn) kan redigeras. Den första synkroniseringen tar längre tid att utföra än kommande cykler. I identitetsleverantörens dokumentation kan du läsa mer om hur ofta användare synkroniseras med Apple School Manager.

Viktigt: Du har bara fyra kalenderdagar på dig att slutföra tokenöverföringen till din IdP och etablera en anslutning, annars måste du börja om igen.

Logga in på din identitetsleverantör

Logga in på din identitetsleverantör som administratör och gör sedan något av följande:
- Leta reda på appen som din identitetsleverantör har skapat. Kanske är det möjligt för dig att hoppa över flera steg i den här uppgiften.
- Navigera till stället där du kan skapa en app eller anslutning.
Skapa appen med följande information:
Viktigt: Kom ihåg namnet på SCIM‑appen. Du kan behöva det för motringnings-URL för auktorisering.
- Apple School Manager: Använd AppleSchoolManagerSCIM.
- Apptyp: Använd SCIM.
- Autentiseringsmetod: Använd SAML 2.0.
- SSO-webbadress som används för mottagare och destination: Se identitetsleverantörens dokumentation.
- Målgrupps‑URI: Använd Organisations‑ID.
Spara ändringarna.

Konfigurera etableringsinställningarna för SCIM‑appen.

Hitta etableringsavsnittet i identitetsleverantörens SCIM‑app och ange följande värden:
- Bas‑URL för SCIM‑anslutning: https://federation.apple.com/feeds/school/scim
- Åtkomsttoken-URI: https://appleaccount.apple.com/auth/oauth2/v2/token
- Auktoriserings-URI: https://appleaccount.apple.com/auth/oauth2/v2/authorize
- Klient‑ID: 123
- Klienthemlighet: 123
  Viktigt: Eftersom du inte har rätt klient‑ID och klienthemlighet för SCIM än används 123 som platshållare. Du kommer att ersätta dessa värden senare.
- Autentiseringsläge: OAuth 2.
- Unikt identifierar-fält för användare: Se identitetsleverantörens dokumentation.
  Viktigt: Kontrollera att gemener/versaler matchar identifieraren.
- Etableringsåtgärder som stöds:
  - Importera nya användare och profiluppdateringar
  - Distribuera nya användare
  - Distribuera profiluppdateringar
Spara ändringarna

Skapa motringnings‑URL för auktorisering

Du måste skapa en auktoriserad motringnings‑URL för Apple School Manager för att hämta användarposter från din identitetsleverantör via SCIM. Denna motringnings-URL baseras på namnet på den SCIM‑app du skapat i din identitetsleverantör.

Kom ihåg namnet på din SCIM‑app. Till exempel:
- Apple School Manager: AppleSchoolManagerSCIM
Klistra in appens namn i följande webbadress. Till exempel:
- https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Spara din motringnings‑URL för auktorisering.
Du ska klistra in den i Apple School Manager i nästa uppgift.

Skapa SCIM‑klientinformation och klistra in den i din identitetsleverantör

Logga in på Apple School Manager med ett konto som har rollen som administratör, platsansvarig eller personansvarig.
Välj ditt namn längst ner i sidofältet, välj Inställningar och välj sedan Hanterade Apple-konton .
Välj Aktivera bredvid Anpassad synkronisering.
Klistra in din motringnings‑URL för auktorisering från den förra uppgiften och välj sedan Skapa.
Välj SCIM‑program och sedan Skapa.
Öppna en ny textfil eller ett nytt kalkylblad och ange sedan följande värden från Apple School Manager:
- För OIDC‑klientens ID klistrar du in ID:t för OIDC‑klienten.
- För OIDC‑klienthemligheten klistrar du in SCIM‑klienthemligheten.
Välj Kopiera bredvid Klient‑ID och klistra sedan in klient‑ID:t i filen.
Välj Klienthemlighet och välj hur länge hemligheten ska vara aktiv innan den upphör att gälla (6, 9 eller 12 månader). Klistra sedan in klienthemligheten i filen.
Viktigt: Om du raderar eller glömmer klienthemligheten innan du klistrar in den i SCIM‑appen i din identitetsleverantör måste du skapa en ny klienthemlighet.
Välj Klar.

Klistra in klient‑ID:t och klienthemligheten i SCIM‑appen i din identitetsleverantör och verifiera anslutningen

Gå tillbaka till etableringsavsnittet i SCIM‑appen i din identitetsleverantör och klistra sedan in följande värden:
- Apple School Manager – ID för SCIM‑klient
- Apple School Manager – SCIM‑klienthemlighet
Spara ändringarna.
Om din identitetsleverantör tillåter att du testar autentiseringen med ett administratörskonto i identitetsleverantören kan du testa nu. Det kan till exempel finnas en knapp som Autentisera med [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM], eller vad du har valt att kalla din SCIM‑app.
Ange administratörsnamnet och lösenordet i din identitetsleverantör och sedan värdet för tvåstegsautentisering.
Läs eventuell auktoriseringsinformation noggrant. Välj Fortsätt om du godkänner.
Du kan vid behov aktivera federerad autentisering för den här domänen.

Din identitetsleverantör och Apple School Manager har nu konfigurerats för att synkronisera specifika ändringar av användarattribut från identitetsleverantören med Apple School Manager.

Se ävenAnvända federerad autentisering med din identitetsleverantör i Apple School Manager Om motringnings-URL för auktorisering i Apple School Manager Lösa synkroniseringskonflikter för Microsoft Entra ID OIDC-användarkonton i Apple School Manager

Var detta till hjälp?

Användarhandbok för Apple School Manager