在 Apple 校园教务管理中从身份提供方同步用户帐户
在 Apple 校园教务管理中,可以使用 OpenID Connect (OIDC) 或跨域名身份管理系统 (SCIM) 从身份提供方 (IdP) 同步用户帐户。使用这一系统时,你可以将 Apple 校园教务管理属性(如年级和职务)和从 IdP 导入的用户帐户数据合并。当你使用 SCIM 来同步用户时,系统会以只读形式添加帐户信息,直到你断开同步连接为止。断开连接后,这些帐户将会变为手动帐户,而你便可编辑这些帐户中的属性(例如用户名)了。第一次完成同步所需的时间要比后续周期的长。请查阅 IdP 的文档,了解他们将用户同步到 Apple 校园教务管理的频率。
【重要事项】你只有 4 个日历日来完成向 IdP 传输令牌并成功建立连接的操作,如果超时,你必须重新开始这个流程。
登录你的 IdP
以管理员身份登录你的 IdP,然后执行以下操作之一:
找到由你的 IdP 创建的 App。你可能可以跳过此任务中的几个步骤。
导航至创建 App 或连接的位置。
使用以下信息创建 App:
【重要事项】记住 SCIM App 的名称,因为授权回拨 URL 会用到它。
Apple 校园教务管理:使用 AppleSchoolManagerSCIM。
App 类型:使用 SCIM。
验证方法:使用 SAML 2.0。
用于收件人和目的地的单点登录 URL:请查阅 IdP 的文档。
受众 URI:使用实体 ID。
存储更改内容。
配置 SCIM App 的预配设置
找到你的 IdP SCIM App 的预配部分,然后输入以下值:
SCIM 连接器基本 URL:https://federation.apple.com/feeds/school/scim
访问令牌 URI:https://appleaccount.apple.com/auth/oauth2/v2/token
授权 URI:https://appleaccount.apple.com/auth/oauth2/v2/authorize
客户端 ID:123
客户端密码:123
【重要事项】由于你还不知道实际的 SCIM 客户端 ID 和客户端密码,因此使用 123 作为占位符。你可在稍后的任务中替换这些值。
验证模式:OAuth 2。
用户的唯一标识符字段:请查阅 IdP 的文档。
【重要事项】确保与标识符的大小写相匹配。
支持的预配操作:
导入新用户和描述文件更新。
推送新用户。
推送描述文件更新。
存储更改内容。
创建授权回拨 URL
你必须为 Apple 校园教务管理创建一个授权回拨 URL,以使用 SCIM 从你的 IdP 获取用户记录。这个回拨 URL 基于你在 IdP 中创建的 SCIM App 的名称。
记住 SCIM App 的名称。例如:
Apple 校园教务管理:AppleSchoolManagerSCIM
将 App 名称粘贴到以下 URL 中。例如:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
存储授权回拨 URL。
你可在下一个任务中将它粘贴到 Apple 校园教务管理中。
创建 SCIM 客户端信息并将其拷贝到你的 IdP 中
在 Apple 校园教务管理中
,通过具有管理员、机构经理或人员经理职务的用户登录。在边栏底部选择你的姓名,选择“偏好设置”
,然后选择“管理式 Apple 账户”
。选择“自定同步”旁边的“启用”。
粘贴上一个任务中的授权回拨 URL,然后选择“创建”。
选择 SCIM App,然后选择“创建”。
打开一个新的文本文件或电子表格,然后输入以下来自 Apple 校园教务管理的值:
对于 OIDC 客户端 ID,请粘贴 SCIM 客户端 ID。
对于 OIDC 客户端密码,请粘贴 SCIM 客户端密码。
选择客户端 ID 旁边的“拷贝”,然后将客户端 ID 粘贴到文件中。
选择客户端密码,选取密码过期前的有效期(6 个月、9 个月或 12 个月),然后将客户端密码粘贴到文件中。
【重要事项】如果还未将客户端密码粘贴到你的 IdP SCIM App 就已删除或忘记,则必须创建一个新的客户端密码。
选择“完成”。
将客户端 ID 和客户端密码粘贴到你的 IdP SCIM App 中,并验证连接
返回到你的 IdP SCIM App 的预配部分,然后粘贴以下值:
Apple 校园教务管理 SCIM 客户端 ID
Apple 校园教务管理 SCIM 客户端密码
存储更改内容。
如果你的 IdP 允许使用 IdP 管理员帐户测试验证,则现在就可以进行测试。例如,可能会有一个按钮“使用 [AppleSchoolManagerSCIM]、[AppleBusinessManagerSCIM]、[AppleBusinessEssentialsSCIM] 验证”,或者你为 SCIM App 命名的任何内容。
输入你的 IdP 管理员名称和密码,然后输入双重认证值。
仔细阅读所有授权信息。如果同意,请选择“继续”。
如有必要,现在就可以为这个域开启联合验证。
你的 IdP 和 Apple 校园教务管理现在已配置为将特定用户属性更改从你的 IdP 同步到 Apple 校园教务管理。