在 Apple 校园教务管理中搭配身份提供方使用联合验证
在 Apple 校园教务管理中,你可以关联身份提供方 (IdP),以允许用户使用自己的 IdP 用户名和密码登录 Apple 设备。关联后,你的用户便可以将他们的 IdP 用户名和密码用作管理式 Apple ID。然后,用户将可以使用这些凭证,登录分配给他们的 iPhone、iPad 或 Mac,甚至网页版 iCloud。
这一过程包括四个主要步骤:
1. 验证域
2. 登录你的 IdP,创建一个新的 Open ID Connect (OIDC) App 或连接
3. 配置并测试 App 或连接
4. 启用联合验证
开始操作前
在开始之前,请确定你是计划使用 SCIM 同步到 IdP,还是仅计划使用联合验证。如果你计划使用 SCIM 同步到 IdP,请先等待 SCIM 连接成功后再开启联合验证。
如果仅使用联合验证,请提供以下信息:
登录方法:使用 Open ID Connect (OIDC)。
范围访问:必须授予对
ssf.manage
和ssf.read 的访问权限
。共享信号框架 (SSF) 配置 URL:请查阅 IdP 的文档。
OpenID 配置 URL:请查阅 IdP 的文档。
第 1 步:验证域
在你可以在 Apple 校园教务管理中查看 IdP 用户之前,必须添加并验证你想要使用的域。你可以在 Apple 校园教务管理中添加并验证域。
请参阅关联新域。
【注】验证过程可确保你的组织有权为该域修改域名服务 (DNS) 记录。例如,要使用 betterbag.com 作为域,需要在开始验证流程(选择“验证”按钮后开始)后的 14 个日历日内将特定 TXT 记录添加到域名服务器的区域文件中。
第 2 步:创建一个新的 OIDC App 或连接
要连接到 Apple 校园教务管理,你的 IdP 必须拥有或创建一个 App,其中包含特定设置,以便关联到 Apple 校园教务管理。由于每个 IdP 在创建 App 和定位特定设置的位置时都有不同的方法,因此请查阅 IdP 的文档,了解如何完成这一过程。
以管理员身份登录你的 IdP,然后执行以下操作之一:
找到由你的 IdP 创建的 App。你可能可以跳过此任务中的几个步骤。
导航至创建 App 或连接的位置。
使用以下信息创建 App 或连接:
Apple 校园教务管理:AppleSchoolManagerOIDC。
登录方法:Open ID Connect (OIDC)。
App 类型:网页 App。
授权类型:刷新令牌。
登录重定向 URI:https://gsa-ws.apple.com/grandslam/GsService2/acs。
访问权限:允许特定用户。
范围访问:必须授予对
ssf.manage
和ssf.read 的访问权限
。
存储更改内容。
稍后在这个页面上,必须将某些信息粘贴到 Apple 校园教务管理中。接下来的任务是将这些信息拷贝到文本或电子表格文件中。
打开一个新的文本文件或电子表格,然后输入以下来自 IdP 的值:
对于 OIDC 客户端 ID,请粘贴 OIDC 客户端 ID。
对于 OIDC 客户端密码,请粘贴 OIDC 客户端密码。
将文件存储到安全的位置。
第 3 步:配置并测试连接
在 Apple 校园教务管理中 ,使用具有管理员、机构经理或人员经理职务的用户登录。
在边栏底部选择你的姓名,选择“偏好设置”,然后选择“账户”。
在“联合验证”旁边,选择“编辑”,选择“自定身份提供方”,然后选择“连接”。
为你的联合验证连接输入一个名称。
最多可以使用 128 个字符。
从你上一节中存储的文本文件或电子表格中将客户端 ID 和客户端密码值拷贝到 Apple 校园教务管理中。
联系你的 IdP 以获取以下两个配置的 URL:
共享信号框架 (SSF)
OpenID
选择“继续”。
如果你提供的所有值都有效,你将看到 IdP 的登录页面。继续进行第 8 步。
使用 IdP 管理员的用户名和密码登录。
选择“完成”。
第 4 步:启用联合验证
在 Apple 校园教务管理中 ,使用具有管理员、机构经理或人员经理职务的用户登录。
在边栏底部选择你的姓名,选择“偏好设置”,然后选择“账户”。
在“域”部分选择“编辑”,然后在要通过 IdP 联合的域旁边选择“联合”。
等待过程完成。