在 Apple 校园教务管理中搭配身份提供方使用联合验证
在 Apple 校园教务管理中,你可以使用联合验证关联身份提供方 (IdP),以便让用户通过 IdP 用户名(通常是电子邮件地址)和密码登录 Apple 设备。
关联成功后,你的用户便可将他们的 IdP 凭证用作管理式 Apple 账户。随后,他们可以使用这些凭证来登录分配给他们的 iPhone、iPad、Mac、Apple Vision Pro 和共用 iPad。在他们成功登录其中任一台设备后,他们还可以进一步登录网页版 iCloud。
联合验证过程
这一过程包括四个主要步骤:
添加并验证域名。
创建一个新的 Open ID Connect (OIDC) App 或连接。
配置联合验证,并使用单个 IdP 用户帐户测试验证。
开启联合验证.
【重要事项】在配置联合验证之前,请先查看以下内容。
第 1 步:验证域
第 2 步:创建一个新的 OIDC App 或连接
要连接到 Apple 校园教务管理,你的 IdP 需拥有或创建一个 App,其中包含特定设置,以便关联到 Apple 校园教务管理。由于每个 IdP 在创建 App 和定位特定设置的位置时都有不同的方法,因此请查阅 IdP 的文档,了解如何完成这一过程。
以管理员身份登录你的 IdP,然后执行以下操作之一:
找到由你的 IdP 创建的 App。你可能可以跳过此任务中的几个步骤。
导航至创建 App 或连接的位置。
使用以下信息创建 App 或连接:
Apple 校园教务管理:AppleSchoolManagerOIDC。
登录方法:OIDC。
App 类型:网页 App。
授权类型:刷新令牌。
登录重定向 URI:https://gsa-ws.apple.com/grandslam/GsService2/acs。
访问:允许特定用户帐户访问。
范围访问:需授予对
ssf.manage和ssf.read的访问权限。
存储更改内容。
稍后在这个页面上,你需要将某些信息粘贴到 Apple 校园教务管理中。接下来的任务是将这些信息拷贝到文本或电子表格文件中。
打开一个新的文本文件或电子表格,然后输入以下来自 IdP 的值:
对于 OIDC 客户端 ID,请粘贴 OIDC 客户端 ID。
对于 OIDC 客户端密码,请粘贴 OIDC 客户端密码。
将文件存储到安全的位置。
第 3 步:配置联合验证,并使用单个 IdP 用户账户测试验证
这个步骤是在你的 IdP 和 Apple 校园教务管理之间建立信任关系。
【注】完成这个步骤后,用户将无法在你配置的域上创建新的未受管理(个人)Apple 账户。这可能会影响你的用户访问的其他 Apple 服务。请参阅转移 Apple 服务。
在 Apple 校园教务管理
中,通过有权限管理联合验证的用户登录。在边栏底部选择你的姓名,选择“偏好设置”
,选择“管理式 Apple 账户”
,然后选择“用户登录和目录同步”下的“开始使用”。选择“自定身份提供方”,然后选择“继续”。
为你的联合验证连接输入一个名称。
最多可以使用 128 个字符。
从你上一节中存储的文本文件或电子表格中将客户端 ID 和客户端密码值拷贝到 Apple 校园教务管理中。
联系你的 IdP 以获取以下两个配置的 URL:
共享信号框架 (SSF)
OpenID
选择“继续”。
如果你提供的所有值都有效,你将看到 IdP 的登录页面。继续进行第 8 步。
使用 IdP 管理员的用户名和密码登录。
选择“完成”。
第 4 步:开启联合验证
在 Apple 校园教务管理
中,通过有权限管理联合验证的用户登录。在边栏底部选择你的姓名,选择“偏好设置”
,然后选择“管理式 Apple 账户”。在“域名”部分中,选择你要联合的域名旁边的“管理”,然后选择“开启‘通过身份提供方登录’”。
开启“通过身份提供方登录”。
如有必要,现在就可以将用户帐户同步到 Apple 校园教务管理。请参阅“从你的身份提供方同步用户账户”。