在 Apple School Manager 以身份識別提供者使用聯合認證
在 Apple School Manager,你可以使用聯合認證連結到你的身份識別提供者 (IdP) 以允許用户使用其 IdP 用户名稱(通常為自己的電郵地址)和密碼登入 Apple 裝置。
這樣,你的用户便可將 IdP 憑證用作管理式 Apple 帳户。用户可以使用相關憑證,登入獲分派的 iPhone、iPad、Mac、Apple Vision Pro 和共用 iPad。他們登入其中一部裝置後,也能登入網路版 iCloud。
聯合認證程序
這個程序包含四個主要步驟:
新增並驗證網域。
建立新的 OpenID Connect(OIDC)App 或連線。
設定聯合認證並使用單一 IdP 用户帳户測試認證。
開啟聯合認證.
重要事項:在設定聯合認證之前,請檢視以下內容。
第 1 步:驗證網域
第 2 步:建立新的 OIDC App 或連線
要連線至 Apple School Manager,IdP 需要擁有或建立一個 App,這個 App 須包含連結至 Apple School Manager 的特定設定。由於各個 IdP 建立 App 的方式和儲存特定設定的位置不同,請參閱 IdP 文件以了解完成這個程序的方法。
以管理員身份登入你的 IdP,然後執行以下其中一項操作:
找出你 IdP 建立的 app。你或可在此任務中略過一些步驟。
前往建立 app 或連線的地方。
使用以下資訊建立 App 或連線:
Apple School Manager:AppleSchoolManagerOIDC。
登入方式:OIDC。
App 類型:網頁 app。
授權類型:重新整理代號。
登入重新導向 URI:https://gsa-ws.apple.com/grandslam/GsService2/acs。
存取:允許特定用户帳户。
存取範圍:存取權限需要授予
ssf.manage和ssf.read。
儲存變更。
在此頁面的稍後部分,你需要於 Apple School Manager 貼上特定資料。下一個任務是將該資訊複製至文字或試算表檔案。
開啟新的文字檔案或試算表,然後輸入以下 IdP 值:
在 OIDC 用户端 ID 處貼上 OIDC 用户端 ID。
在 OIDC 用户端密鑰處貼上 OIDC 用户端密鑰。
將檔案儲存至安全位置。
第 3 步:設定聯合認證並使用單一 IdP 用户帳户測試認證
這個步驟是要建立你的 IdP 和 Apple School Manager 間的信任關係。
附註:完成此步驟後,用户無法在你配置設定的網域上建立新的非管理式(個人)Apple 帳户。這可能會影響你的用户取用的其他 Apple 服務。請參閱:轉移 Apple 服務。
在 Apple School Manager
,使用有權管理聯合認證的用户登入。在側邊欄底部選擇你的名字,選擇「偏好設定」
,然後選擇「管理式 Apple 帳戶」
,並在「用户登入和目錄同步」下選擇「開始使用」。選擇「自訂身份識別提供者」,然後選擇「繼續」。
輸入聯合認證連線名稱。
名稱長度不得超過 128 個字元。
將你在上個部分儲存至文字檔案或試算表的用户端 ID 和用户端密鑰值複製到 Apple School Manager。
聯絡 IdP 以獲取下列兩項設定的 URL:
共用訊號架構 (SSF)
OpenID
選擇「繼續」。
如果提供的所有值均有效,你會看到 IdP 登入頁面。繼續執行第 8 步。
使用 IdP 管理員用户名稱和密碼登入。
選擇「完成」。
步驟 4:開啟聯合認證
在 Apple School Manager
,使用有權管理聯合認證的用户登入。在側邊欄底部選擇你的名字,選擇「偏好設定」
,然後選擇「管理式 Apple 帳户」。在「網域」部分,於要建立聯合認證的網域旁選擇「管理」,然後選擇「開啟使用身份識別提供者登入」。
開啟「使用身份識別提供者登入」。
如有需要,你現在可以將用户帳户同步至 Apple School Manager。請參閱從你的身份識別提供者同步用户帳户。