ซิงค์ผู้ใช้จากผู้ให้บริการข้อมูลประจำตัวของคุณใน Apple School Manager
ใน Apple School Manager คุณสามารถใช้ระบบสำหรับการจัดการข้อมูลประจำตัวข้ามโดเมน (SCIM) เพื่อซิงค์ผู้ใช้จากผู้ให้บริการข้อมูลประจำตัว (IdP) ของคุณได้ เมื่อคุณใช้ SCIM ในการซิงค์ผู้ใช้ ข้อมูลบัญชีจะถูกเพิ่มเป็นแบบอ่านอย่างเดียวจนกว่าคุณจะยกเลิกการเชื่อมต่อ ในเวลานั้น บัญชีดังกล่าวจะกลายเป็นบัญชีแบบดำเนินการด้วยตนเองและจะสามารถแก้ไขค่าของคุณลักษณะในบัญชีเหล่านี้ (เช่น ชื่อผู้ใช้) ได้ การซิงค์รอบแรกจะใช้เวลาดำเนินการนานกว่ารอบที่ต่อๆ ไป โปรดศึกษาเอกสารประกอบจาก IdP ของคุณเพื่อดูว่าพวกเขาซิงค์ผู้ใช้กับ Apple School Manager บ่อยแค่ไหน
ก่อนที่คุณจะเริ่ม
ก่อนที่คุณจะเริ่มสร้างการเชื่อมต่อ SCIM คุณควรเชื่อมต่อเรียบร้อยแล้วโดยใช้การรับรองความถูกต้องแบบรวมศูนย์ โปรดดู ใช้การรับรองความถูกต้องแบบรวมศูนย์กับผู้ให้บริการข้อมูลประจำตัวของคุณ จากนั้นติดต่อ IdP ของคุณและตรวจสอบว่าคุณมีข้อมูลต่อไปนี้:
ช่องตัวระบุที่ไม่ซ้ำกันสำหรับผู้ใช้: โดยทั่วไป ค่าของคุณลักษณะนี้จะเป็นที่อยู่อีเมลของผู้ใช้ ซึ่งจะใช้เพื่อสร้าง Apple ID ที่ได้รับการจัดการของผู้ใช้ ตัวอย่างเช่น อาจเป็น userName
วิธีการรับรองความถูกต้อง: SAML 2.0
โหมดการรับรองความถูกต้อง: OAuth 2
URL การลงชื่อเข้าแบบครั้งเดียว: ศึกษาเอกสารประกอบจาก IdP ของคุณ
URL การเรียกกลับการอนุญาต: ศึกษาเอกสารประกอบจาก IdP ของคุณ
SCIM และการรับรองความถูกต้องแบบรวมศูนย์
การรับรองความถูกต้องแบบรวมศูนย์เปิดใช้งานอยู่และอาจเปิดใช้อยู่แล้ว หากเปิดใช้อยู่ เมื่อบัญชี IdP ถูกส่งไปยัง Apple School Manager คุณจะไม่เห็นกิจกรรม แต่บัญชีจะยังคงซิงค์จากโดเมนแบบรวมศูนย์อยู่
บัญชีผู้ใช้ IdP และ Apple School Manager
เมื่อมีการคัดลอกผู้ใช้จาก IdP ของคุณไปยัง Apple School Manager โดยใช้ SCIM บทบาทตามค่าเริ่มต้นจะเป็นนักเรียน
คุณลักษณะการลงชื่อเข้า
Apple School Manager กำหนดให้คุณลักษณะที่ใช้สำหรับ Apple ID ที่ได้รับการจัดการต้องไม่ซ้ำกัน ซึ่งโดยทั่วไปจะเป็นที่อยู่อีเมลของผู้ใช้ หากผู้ใช้มีคุณลักษณะที่เหมือนกันทุกประการกับผู้ใช้ Apple School Manager ที่มีอยู่ ซึ่งมีบทบาทเป็นผู้ดูแลระบบ ระบบจะไม่ซิงค์ข้อมูลและช่องแหล่งที่มาจะไม่มีการเปลี่ยนแปลง
ID บุคคล
เมื่อผู้ใช้ IdP ซิงค์กับ Apple School Manager ระบบจะสร้าง ID บุคคลสำหรับบัญชีผู้ใช้ Apple School Manager ID นี้ใช้เพื่อระบุบัญชีผู้ใช้ที่ขัดแย้งกัน นอกจากนี้ ID บุคคลจะถูกสร้างขึ้นโดยอัตโนมัติสำหรับผู้ใช้ที่นำเข้าโดยใช้ SCIM หรือใช้การผสานรวม SIS แต่ ID บุคคลจะไม่สร้างขึ้นโดยอัตโนมัติสำหรับผู้ใช้ที่นำเข้าโดยใช้ SFTP
หาก SCIM ถูกยกเลิกการเชื่อมต่อ และมีการใช้ SFTP เพื่ออัปโหลดผู้ใช้อีกครั้ง ระบบจะสร้างผู้ใช้ใหม่ขึ้นมา นอกจากว่า ID บุคคลในไฟล์ SFTP ที่อัปโหลดตรงกับ ID บุคคลที่ SCIM มอบหมาย โปรดดู นำเข้าบัญชีโดยใช้ SFTP
ข้อควรพิจารณาที่สำคัญหากคุณแก้ไข ID บุคคลมีดังนี้:
หากคุณแก้ไข ID บุคคลสำหรับบัญชีที่นำเข้าจาก SCIM ก่อนหน้านี้ บัญชีดังกล่าวจะไม่จับคู่กับ IdP อีกต่อไป
หากคุณแก้ไข ID บุคคลสำหรับบัญชีที่นำเข้าจาก SCIM ก่อนหน้านี้และต้องการเชื่อมต่อบัญชีอีกครั้ง คุณต้องแก้ไขข้อขัดแย้งของผู้ใช้
ลงชื่อเข้า IdP
ลงชื่อเข้า IdP ในฐานะผู้ดูแลระบบ แล้วดำเนินการข้อใดข้อหนึ่งดังต่อไปนี้:
ค้นหาแอปที่ IdP ของคุณสร้างขึ้น คุณอาจข้ามหลายขั้นตอนในงานนี้ได้
ไปที่ที่คุณสามารถสร้างแอปหรือการเชื่อมต่อได้
สร้างแอปด้วยข้อมูลต่อไปนี้:
สิ่งสำคัญ: โปรดจำชื่อแอป SCIM ไว้ เพราะคุณอาจต้องใช้สำหรับ URL การเรียกกลับการอนุญาต
Apple School Manager: ใช้ AppleSchoolManagerSCIM
ประเภทแอป: ใช้ SCIM
วิธีการรับรองความถูกต้อง: ใช้ SAML 2.0
URL การลงชื่อเข้าแบบครั้งเดียวที่ใช้สำหรับผู้รับและปลายทาง: ศึกษาเอกสารประกอบจาก IdP ของคุณ
URI กลุ่มเป้าหมาย: ใช้ ID เอนทิตี
บันทึกการเปลี่ยนแปลง
กำหนดการตั้งค่าการจัดสรรแอป SCIM
ค้นหาส่วนการจัดสรรของแอป SCIM จาก IdP ของคุณ จากนั้นป้อนค่าต่อไปนี้:
URL ฐานของตัวเชื่อมต่อ SCIM: https://federation.apple.com/feeds/school/scim
URI โทเค็นการเข้าถึง: https://appleid.apple.com/auth/oauth2/v2/token
URI การอนุญาต: https://appleid.apple.com/auth/oauth2/v2/authorize
ID ไคลเอนต์: 123
ข้อมูลลับไคลเอนต์: 123
สิ่งสำคัญ: เนื่องจากคุณยังไม่ทราบ ID ไคลเอนต์ SCIM และข้อมูลลับไคลเอนต์ที่แท้จริง จึงใช้ 123 เป็นตัวยึดตำแหน่ง คุณจะแทนที่ค่าเหล่านี้ในขั้นตอนถัดไป
โหมดการรับรองความถูกต้อง: OAuth 2
ช่องตัวระบุที่ไม่ซ้ำกันสำหรับผู้ใช้: ศึกษาเอกสารประกอบจาก IdP ของคุณ
สิ่งสำคัญ: โปรดระบุตัวพิมพ์ให้ตรงกับตัวระบุ
การดำเนินการจัดสรรที่รองรับ:
นำเข้าผู้ใช้ใหม่และการอัปเดตโปรไฟล์
เพิ่มผู้ใช้ใหม่
อัปเดตโปรไฟล์
บันทึกการเปลี่ยนแปลง
สร้าง URL การเรียกกลับการอนุญาต
คุณต้องสร้าง URL การเรียกกลับการอนุญาตสำหรับ Apple School Manager เพื่อรับบันทึกผู้ใช้จาก IdP ของคุณโดยใช้ SCIM URL การเรียกกลับนี้อิงตามชื่อของแอป SCIM ที่คุณสร้างใน IdP ของคุณ
โปรดจำชื่อแอป SCIM ของคุณไว้ ตัวอย่างเช่น:
Apple School Manager: AppleSchoolManagerSCIM
วางชื่อแอปใน URL ต่อไปนี้ ตัวอย่างเช่น:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
บันทึก URL การเรียกกลับการอนุญาต
คุณจะวาง URL ดังกล่าวลงใน Apple School Manager ในขั้นตอนถัดไป
สร้างและคัดลอกข้อมูลไคลเอนต์ SCIM ไปยัง IdP ของคุณ
ใน Apple School Manager ให้ลงชื่อเข้าด้วยผู้ใช้ที่มีบทบาทผู้ดูแลระบบ ผู้จัดการไซต์ หรือผู้จัดการบุคคล
เลือกชื่อของคุณที่ด้านล่างของแถบด้านข้าง แล้วเลือก "การตั้งค่า" จากนั้นเลือก "การซิงค์ไดเรกทอรี"
เลือก "เปิดใช้งาน" ถัดจาก "การซิงค์ที่กำหนดเอง"
วาง URL การเรียกกลับการอนุญาตจากขั้นตอนก่อนหน้า จากนั้นเลือก "สร้าง"
เลือกแอปพลิเคชัน SCIM จากนั้นเลือก "สร้าง"
เปิดไฟล์ข้อความหรือสเปรดชีตใหม่ จากนั้นป้อนค่าต่อไปนี้จาก Apple School Manager:
สำหรับ ID ไคลเอนต์ OIDC ให้วาง ID ไคลเอนต์ SCIM
สำหรับข้อมูลลับไคลเอนต์ OIDC ให้วางข้อมูลลับไคลเอนต์ SCIM
เลือก "คัดลอก" ถัดจาก ID ไคลเอนต์ จากนั้นวาง ID ไคลเอนต์ลงในไฟล์
เลือก "ข้อมูลลับไคลเอนต์" เลือกระยะเวลาที่ข้อมูลลับจะทำงานก่อนที่จะหมดอายุ (6, 9 หรือ 12 เดือน) จากนั้นวางข้อมูลลับไคลเอนต์ลงในไฟล์
สิ่งสำคัญ: หากคุณลบหรือลืมข้อมูลลับไคลเอนต์ก่อนที่จะวางลงในแอป SCIM จาก IdP ของคุณ คุณต้องสร้างข้อมูลลับไคลเอนต์ใหม่
เลือก "เสร็จสิ้น"
วาง ID ไคลเอนต์และข้อมูลลับไคลเอนต์ในแอป SCIM จาก IdP ของคุณ และตรวจสอบยืนยันการเชื่อมต่อ
กลับไปที่ส่วนการจัดสรรของแอป SCIM จาก IdP ของคุณ จากนั้นวางค่าต่อไปนี้:
ID ไคลเอนต์ SCIM ของ Apple School Manager
ข้อมูลลับไคลเอนต์ SCIM ของ Apple School Manager
บันทึกการเปลี่ยนแปลง
หาก IdP ของคุณอนุญาตให้คุณทดสอบการรับรองความถูกต้องโดยใช้บัญชีผู้ดูแลระบบ IdP คุณสามารถทดสอบได้เลย ตัวอย่างเช่น อาจมีปุ่ม "รับรองความถูกต้องด้วย [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]" หรือชื่อใดก็ตามที่คุณใช้ตั้งชื่อแอป SCIM ของคุณ
ป้อนชื่อและรหัสผ่านผู้ดูแลระบบ IdP ของคุณ จากนั้นป้อนค่าการตรวจสอบสิทธิ์แบบสองปัจจัย
โปรดอ่านข้อมูลการอนุญาตทุกรายการอย่างรอบคอบ หากคุณยอมรับ ให้เลือก "ดำเนินการต่อ"
หากจำเป็น คุณสามารถเปิดการรับรองความถูกต้องแบบรวมศูนย์สำหรับโดเมนนี้ได้
ขณะนี้ IdP และ Apple School Manager ของคุณได้รับการกำหนดค่าให้ซิงค์การเปลี่ยนแปลงคุณลักษณะผู้ใช้เฉพาะจาก IdP ของคุณไปยัง Apple School Manager แล้ว