Синхронізація облікових записів користувачів постачальника ідентифікаційних даних в Apple School Manager
В Apple School Manager можна використовувати OpenID Connect (OIDC) або систему керування міждоменними ідентифікаційними даними (System for Cross-domain Identity Management, SCIM), щоб синхронізувати облікові записи користувачів постачальника ідентифікаційних даних (IdP). Використовуючи цю систему, ви поєднуєте ресурси Apple School Manager, як-от рівень освіти й ролі, з даними облікового запису користувача, імпортованими із системи постачальника ідентифікаційних даних (IdP). Коли ви синхронізуєте користувачів за допомогою SCIM, інформація про обліковий запис додається у форматі лише для читання, поки ви не відʼєднаєтеся. Після відʼєднання облікові записи стають обліковими записами, створеними вручну, а їхні атрибути (як-от імʼя користувача) — доступними для редагування. Початкова синхронізація займає більше часу, ніж наступні цикли. Ознайомтеся з документацією свого IdP, щоб дізнатися, як часто користувачі синхронізуються з Apple School Manager.
Важливо! Для завершення процедури перенесення токена до IdP й установлення з’єднання у вас буде лише 4 календарні дні, або доведеться починати процедуру спочатку.
Вхід в обліковий запис IdP
Увійдіть у свій IdP як адміністратор, а потім виконайте одну з указаних нижче дій:
Знайдіть програму, створену вашим постачальником ідентифікаційних даних. Ви можете пропустити кілька кроків у цьому завданні.
Перейдіть до кроку, де можна створити програму або підключення.
Створіть програму з наведеною далі інформацією.
Важливо! Запамʼятайте назву програми SCIM, оскільки вона може знадобитися для URL-адреси зворотного виклику авторизації.
Apple School Manager: виберіть AppleSchoolManagerSCIM.
Тип програми: виберіть SCIM.
Спосіб автентифікації: виберіть SAML 2.0.
URL-адреса єдиного входу, що використовується для отримувача й адресата: ознайомтеся з документацією свого IdP.
URL-адреса аудиторії: виберіть ідентифікатор установи.
Збережіть зміни.
Конфігурування параметрів надання доступу програми SCIM
Знайдіть розділ надання доступу програми SCIM свого IdP та введіть указані далі значення.
URL-адреса бази конекторів SCIM: https://federation.apple.com/feeds/school/scim
URL-адреса токена доступу: https://appleaccount.apple.com/auth/oauth2/v2/token
URL-адреса авторизації: https://appleaccount.apple.com/auth/oauth2/v2/authorize
Ідентифікатор клієнта: 123
Пароль клієнта: 123
Важливо! Оскільки у вас іще немає дійсного ідентифікатора та пароля клієнта SCIM, 123 використовується як заповнювач. Ці значення потрібно буде замінити в одному з наступних завдань.
Режим автентифікації: OAuth 2.
Поле унікального ідентифікатора для користувачів: ознайомтеся з документацією свого IdP.
Важливо! Переконайтеся, що регістр ідентифікатора збігається.
Нижче наведено дії з надання доступу, що підтримуються.
Імпортуйте нових користувачів і оновлення профілів.
Синхронізуйте нових користувачів.
Синхронізуйте оновлення профілів.
Збережіть зміни.
Створення URL-адреси зворотного виклику авторизації
Щоб отримувати записи користувачів з IdP за допомогою SCIM, вам потрібно створити URL-адресу зворотного виклику авторизації для Apple School Manager. За основу цієї URL-адреси береться назва програми SCIM, яку ви створили в IdP.
Запам’ятайте назву програми SCIM. Наприклад:
Apple School Manager: AppleSchoolManagerSCIM
Вставте назву програми в наведену нижче URL-адресу. Наприклад:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Збережіть URL-адресу зворотного виклику авторизації.
Її потрібно буде вставити в Apple School Manager в наступному завданні.
Створення та копіювання інформації про клієнт SCIM в IdP
В Apple School Manager
увійдіть в обліковий запис користувача, що має роль адміністратора, керівника сайту або менеджера з персоналу.У нижній частині бічної панелі виберіть своє ім’я, натисніть «Уподобання»
, а потім — «Керовані облікові записи Apple»
.Натисніть «Увімкнути» поруч із функцією «Власна синхронізація».
Вставте URL-адресу зворотного виклику авторизації, скопійовану під час попереднього завдання, і натисніть «Створити».
Виберіть програму SCIM і натисніть «Створити».
Відкрийте новий текстовий файл або електронну таблицю та введіть туди значення з Apple School Manager, указані нижче.
У поле ідентифікатора клієнта OIDC вставте ідентифікатор клієнта SCIM.
У поле пароля клієнта OIDC вставте пароль клієнта SCIM.
Поруч з ідентифікатором клієнта натисніть «Скопіювати» й вставте ідентифікатор у файл.
Натисніть «Пароль клієнта», виберіть його довжину й термін дії (6, 9 або 12 місяців), а потім вставте пароль клієнта у файл.
Важливо! Якщо ви видалите або забудете пароль клієнта до того, як вставите його в програму SCIM свого IdP, вам потрібно буде створити новий пароль.
Натисніть «Готово».
Вставлення ідентифікатора та пароля клієнта в програму SCIM свого IdP й перевірка підключення
Поверніться в розділ надання доступу програми SCIM свого IdP та вставте вказані далі значення.
Ідентифікатор клієнта Apple School Manager в SCIM
Пароль клієнта Apple School Manager в SCIM
Збережіть зміни.
Якщо ваш IdP дає змогу перевірити підключення за допомогою облікового запису адміністратора IdP, ви можете перевірити його зараз. Наприклад, може відображатися кнопка «Перевірити за допомогою [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM]» залежно від того, як ви назвали програму SCIM.
Укажіть імʼя та пароль облікового запису адміністратора IdP, а потім введіть значення двофакторної автентифікації.
Уважно прочитайте інформацію щодо авторизації. Якщо ви погоджуєтеся з нею, натисніть «Продовжити».
За потреби для цього домену тепер можна ввімкнути обʼєднану автентифікацію.
Тепер IdP і Apple School Manager сконфігуровані для синхронізації певних змін атрибутів користувача з вашого IdP до Apple School Manager.