Sử dụng tính năng xác thực có liên kết với nhà cung cấp nhận dạng trong Apple School Manager
Trong Apple School Manager, bạn có thể liên kết với nhà cung cấp nhận dạng (IdP) bằng tính năng xác thực có liên kết để cho phép người dùng đăng nhập vào thiết bị Apple bằng tên người dùng (thường là địa chỉ email) và mật khẩu IdP của họ.
Nhờ đó, người dùng của bạn có thể tận dụng thông tin đăng nhập IdP làm Tài khoản Apple được quản lý. Sau đó, họ có thể sử dụng những thông tin đăng nhập đó để đăng nhập vào iPhone, iPad, máy Mac, Apple Vision Pro và iPad dùng chung đã chỉ định. Sau khi đăng nhập vào một trong những thiết bị đó, người dùng còn có thể đăng nhập vào iCloud trên web.
Quy trình xác thực có liên kết
Quy trình này bao gồm 4 bước chính:
Thêm và xác minh miền.
Tạo kết nối hoặc ứng dụng OIDC mới.
Cấu hình tính năng xác thực có liên kết và kiểm tra xác thực bằng một tài khoản người dùng IdP.
Bật xác thực có liên kết.
Quan trọng: Hãy xem xét những mục sau trước khi bạn định cấu hình xác thực có liên kết.
Bước 1: Xác minh tên miền
Để xem được tài khoản người dùng IdP bằng Apple School Manager, bạn phải thêm và xác minh miền bạn muốn dùng trước.
Xem Thêm và xác minh tên miền.
Quá trình xác minh này đảm bảo tổ chức của bạn có thẩm quyền sửa đổi các bản ghi dịch vụ tên miền (DNS) cho tên miền của bạn. Ví dụ: Để dùng townshipschools.org làm tên miền của mình, bạn cần thêm một bản ghi TXT cụ thể vào tệp vùng của máy chủ tên miền trong vòng 14 ngày theo lịch kể từ khi bắt đầu quá trình xác minh (quá trình này bắt đầu khi bạn chọn nút Xác minh).
Ghi chú: Nếu bạn đang cố gắng liên kết một tên miền mà bạn đã xác minh nhưng có tổ chức khác đã liên kết tên miền giống như vậy, bạn phải liên hệ với tổ chức đó để xác định người có thẩm quyền liên kết tên miền. Hãy xem Xung đột miền.
Bước 2: Tạo kết nối hoặc ứng dụng OIDC mới
Để kết nối với Apple School Manager, IdP của bạn phải có hoặc tạo ứng dụng chứa các cài đặt cụ thể để liên kết với Apple School Manager. Vì mỗi IdP có một phương thức khác nhau để tạo ứng dụng và nơi chứa các cài đặt cụ thể cũng khác nhau nên hãy tham khảo tài liệu của IdP về cách hoàn thành quy trình này.
Đăng nhập vào IdP với tư cách quản trị viên, sau đó thực hiện một trong những thao tác sau:
Xác định ứng dụng do IdP của bạn tạo. Bạn có thể bỏ qua một vài bước khi thực hiện việc này.
Chuyển đến nơi bạn có thể tạo ứng dụng hoặc kết nối.
Tạo ứng dụng hoặc kết nối bằng thông tin sau:
Apple School Manager: AppleSchoolManagerOIDC.
Phương thức đăng nhập: Open ID Connect (OIDC).
Loại ứng dụng: Ứng dụng web.
Loại cấp quyền: Mã thông báo làm mới.
URI chuyển hướng đăng nhập: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Truy cập: Cho phép một số tài khoản người dùng cụ thể.
Quyền truy cập có phạm vi: Phải cấp quyền truy cập cho
ssf.managevàssf.read.
Lưu thay đổi.
Ở phần sau của trang này, bạn phải dán một số thông tin nhất định trong Apple School Manager. Tác vụ tiếp theo là sao chép thông tin đó vào tệp văn bản hoặc bảng tính.
Mở một tệp văn bản hoặc bảng tính mới, rồi nhập các giá trị sau từ IdP:
Đối với ID ứng dụng khách OIDC, hãy dán ID ứng dụng khách OIDC.
Đối với mã bí mật ứng dụng khách OIDC, hãy dán mã bí mật ứng dụng khách OIDC.
Lưu tệp vào nơi an toàn.
Bước 3: Cấu hình tính năng xác thực có liên kết và kiểm tra xác thực bằng một tài khoản người dùng IdP
Bước này nhằm thiết lập mối quan hệ tin cậy giữa IdP của bạn và Apple School Manager.
Ghi chú: Sau khi bạn hoàn thành bước này, người dùng sẽ không thể tạo Tài khoản Apple cá nhân mới trên tên miền mà bạn cấu hình. Điều này có thể ảnh hưởng đến các dịch vụ Apple khác mà người dùng của bạn truy cập. Hãy xem Chuyển dịch vụ Apple sang Tài khoản Apple được quản lý.
Trong Apple School Manager
, đăng nhập bằng người dùng có vai trò Quản trị viên, Người quản lý tổ chức hoặc Quản lý người dùng.Chọn tên của bạn ở cuối thanh bên, chọn Tùy chọn hệ thống
, chọn Tài khoản Apple được quản lý 
, sau đó chọn Bắt đầu trong “Thông tin đăng nhập người dùng và đồng bộ hóa danh mục”.Chọn Nhà cung cấp nhận dạng tùy chỉnh, sau đó chọn Tiếp tục.
Nhập tên cho kết nối xác thực có liên kết.
Bạn có thể sử dụng tối đa 128 ký tự.
Sao chép giá trị ID ứng dụng khách và mã bí mật ứng dụng khách vào Apple School Manager từ tệp văn bản hoặc bảng tính bạn đã lưu ở phần trước.
Liên hệ với IdP để nhận URL cho 2 cấu hình sau:
Khung tín hiệu dùng chung (SSF)
OpenID
Chọn Tiếp tục.
Nếu tất cả các giá trị bạn cung cấp đều hợp lệ, bạn sẽ thấy trang đăng nhập của IdP. Chuyển sang bước 8.
Đăng nhập bằng tên người dùng và mật khẩu của Quản trị viên IdP.
Chọn Xong.
Bước 4: Bật xác thực có liên kết
Trong Apple School Manager
, đăng nhập bằng người dùng có vai trò Quản trị viên, Người quản lý tổ chức hoặc Quản lý người dùng.Chọn tên của bạn ở cuối thanh bên, chọn Tùy chọn hệ thống
, sau đó chọn Tài khoản Apple được quản lý .Trong phần Miền, chọn Quản lý bên cạnh miền bạn muốn liên kết, sau đó chọn “Bật Đăng nhập bằng Nhà cung cấp nhận dạng”.
Bật “Đăng nhập bằng Nhà cung cấp nhận dạng”.
Nếu cần, bạn có thể đồng bộ hóa tài khoản người dùng với Apple School Manager ngay lúc này. Xem phần Đồng bộ hóa tài khoản người dùng từ nhà cung cấp nhận dạng.