在 Apple School Manager 從身份識別提供者同步用户帳户
在 Apple School Manager,你可以使用 OpenID Connect (OIDC) 或跨網域身份管理系統 (SCIM) 從身份識別提供者 (IdP) 同步用户帳户。使用此系統,你會將 Apple School Manager 屬性(例如年級和職務)合併至從你的 IdP 輸入的用户帳户資料。當你使用 SCIM 同步用户時,系統會以唯讀形式新增帳户資訊,直到你中斷連線為止。屆時,這些帳户會變成手動帳户,然後你就可以編輯這些帳户中的屬性(例如用户名稱)。執行初始同步需要比隨後週期更長的時間。請參閱 IdP 文件,了解 IdP 將用户同步至 Apple School Manager 的頻率。
重要事項:你只有 4 個日曆日的時間向你的 IdP 傳輸代號及建立連線,否則你必須重新開始此程序。
登入你的 IdP
以管理員身份登入你的 IdP,然後執行以下其中一項操作:
找出你 IdP 建立的 app。你或可在此任務中略過一些步驟。
前往建立 app 或連線的地方。
使用以下資訊建立 App:
重要事項:記住 SCIM App 的名稱,因為授權回調 URL 可能會用到。
Apple School Manager:使用 AppleSchoolManagerSCIM。
App 類型:使用 SCIM。
驗證方式:使用 SAML 2.0。
用於接收對象和目標的單次登入 URL:請參閱 IdP 文件。
受眾 URI:使用實體 ID。
儲存變更。
配置 SCIM App 建置設定
找出 IdP SCIM App 的建置部分,然後輸入以下值:
SCIM 連接器基準 URL:https://federation.apple.com/feeds/school/scim
存取代號 URI:https://appleaccount.apple.com/auth/oauth2/v2/token
驗證 URI:https://appleaccount.apple.com/auth/oauth2/v2/authorize
用户端 ID123
用户端密鑰:123
重要事項:由於你尚未知道實際的 SCIM 用户端 ID 和用户端密鑰,暫時先用 123 代替。你可以在之後的任務中替換這些值。
驗證模式:OAuth 2。
用户的唯一識別碼欄位:請參閱 IdP 文件。
重要事項:請確保識別碼的大小楷相符。
受支援的建置動作:
輸入新用户和描述檔更新。
推送新用户。
推送描述檔更新。
儲存變更。
建立授權回調 URL
你必須為 Apple School Manager 建立授權回調 URL,以便使用 SCIM 從 IdP 獲取用户記錄。這個回調 URL 是基於你在 IdP 中建立的 SCIM App 的名稱。
記住 SCIM App 的名稱。例如:
Apple School Manager:AppleSchoolManagerSCIM
將 App 名稱貼至以下 URL。例如:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
儲存授權回調 URL。
你要在下一個任務中將其貼至 Apple School Manager。
建立 SCIM 用户端資料並將其複製至 IdP
在 Apple School Manager
,使用職務為管理員、機構經理或成員經理的用户登入。在側邊欄底部選擇你的名字,選擇「偏好設定」
,然後選擇「管理式 Apple 帳户」
。選擇「自訂同步」旁的「啟用」。
貼上對上一個任務中的授權回調 URL,然後選擇「建立」。
選擇「SCIM 應用程式」,然後選擇「建立」。
開啟新的文字檔案或試算表,然後輸入以下來自 Apple School Manager 的值:
在 OIDC 用户端 ID 處貼上 SCIM 用户端 ID。
在 OIDC 用户端密鑰處貼上 SCIM 用户端密鑰。
選擇「用户端 ID」旁的「複製」,然後將用户端 ID 貼至檔案中。
選擇「用户端密鑰」,然後選擇密鑰的有效期 (6/9/12 個月),再將用户端密鑰貼至檔案中。
重要事項:如果你在將用户端密鑰貼至 IdP SCIM App 之前刪除或忘記了密鑰,則必須建立新的用户端密鑰。
選擇「完成」。
將用户端 ID 和用户端密鑰貼至 IdP SCIM App 並驗證連線
回到 IdP SCIM App 的建置部分,然後貼上以下值:
Apple School Manager SCIM 用户端 ID
Apple School Manager SCIM 用户端密鑰
儲存變更。
如果 IdP 允許你使用 IdP 管理員帳户測試驗證,你可立即測試。例如,你可能會看到一個按鈕,名為「以 [AppleSchoolManagerSCIM]/[AppleBusinessManagerSCIM]/[AppleBusinessEssentialsSCIM] 驗證」,或者你使用的任何 SCIM App 名稱。
輸入 IdP 管理員名稱和密碼,然後輸入雙重認證值。
仔細閱讀所有驗證資料。如果你同意,選擇「繼續」。
如有必要,你現在可以為這個網域開啟聯合認證。
IdP 和 Apple School Manager 現已配置為將特定用户屬性變更從 IdP 同步至 Apple School Manager。