將身分提供者的使用者同步至 Apple 校務管理
你可以在 Apple 校務管理中使用跨域身分管理系統 (SCIM) 來同步身分提供者 (IdP)·的使用者。使用 SCIM 同步使用者時,帳號資訊會以唯讀形式新增,直到中斷連線為止。屆時,這些帳號會變成手動帳號,並可編輯其屬性 (例如使用者名稱)。執行初始同步所需的時間會比執行後續週期更長。請參閱你的 IdP 文件,瞭解使用者同步至 Apple 校務管理的頻率。
開始之前
你應透過聯合驗證先順利連線,再開始建立 SCIM 連線。參閱使用身分提供者的聯合驗證。接著,與你的 IdP 聯絡,確保你具備下列資訊:
使用者的唯一識別碼欄位:此屬性的值通常是使用者的電子郵件地址。其會用來建立使用者的管理式 Apple ID。例如,這可能會是 userName。
驗證方式:SAML 2.0。
驗證模式:OAuth 2。
單一登入 URL:參閱你的 IdP 文件。
授權回撥 URL:參閱你的 IdP·文件。
SCIM 和聯合驗證
聯合驗證即已啟用,並可能已經開啟。如果在 IdP 帳號在傳送至 Apple 校務管理時,聯合驗證已經開啟,則不會顯示動作,但帳號仍會從聯合網域進行同步。
IdP 使用者帳號與 Apple 校務管理
使用 SCIM 將使用者從 IdP 拷貝至 Apple 校務管理時,其預設職務會是「學生」。
登入屬性
使用 Apple 校務管理時,管理式 Apple ID所用的屬性不得重複。這通常會是使用者的電子郵件地址。如果有使用者的屬性與具備管理員職務的現有 Apple 校務管理使用者完全相同,則不會執行同步,且來源欄位會保持不變。
成員 ID
當 IdP 使用者同步至 Apple 校務管理時,會為 Apple 校務管理使用者帳號建立成員 ID。此 ID 會用來辨識衝突的使用者帳號。此外,如果使用者是透過 SCIM 或 SIS 整合所輸入,則會自動產生成員 ID,但如果使用者是透過 SFTP 所輸入,則不會自動產生。
當 SCIM 中斷連線且使用 SFTP 重新上傳使用者時,除非 SFTP 上傳檔案中的成員 ID 與 SCIM 所指派的成員 ID 相符,否則將會建立新的使用者。請參閱〈使用 SFTP 輸入帳號〉。
以下是修改成員 ID的重要須知:
如果修改先前從 SCIM 輸入帳號的成員 ID,該帳號將無法再與 IdP 配對。
如要修改先前從 SCIM 輸入帳號的成員 ID,且希望重新連線至該帳號,則必須解決使用者衝突。
登入你的 IdP
作為管理員登入你的 IdP,然後執行下列其中一項操作:
找到你的 IdP 建立的 App。你或許可以在此作業中跳過數個步驟。
瀏覽至你可建立 App 或連線的位置。
利用下列資訊建立 app:
【重要事項】請牢記 SCIM app 的名稱,因為授權回撥 URL 可能會用到。
Apple 校務管理:使用 AppleSchoolManagerSCIM。
App 類型:使用 SCIM。
驗證方式:使用 SAML 2.0。
收件人和目的地所用的單一登入 URL:參閱你的 IdP·文件。
受眾 URI:使用實體 ID。
儲存變更。
配置 SCIM app 佈建設定
找出 IdP SCIM app 的佈建區段,然後輸入下列值:
SCIM 連接器基底 URL:https://federation.apple.com/feeds/school/scim
存取權杖 URI:https://appleid.apple.com/auth/oauth2/v2/token
授權 URI:https://appleid.apple.com/auth/oauth2/v2/authorize
用戶端 ID:123
用戶端密鑰:123
【重要事項】由於你尚不知道實際的 SCIM 用戶端 ID 和用戶端密鑰,因此請使用 123 作為預留位置。你會在之後的作業中取代這些值。
驗證模式:OAuth 2。
使用者的唯一識別碼欄位:參閱你的 IdP 文件。
【重要事項】請務必與識別碼的大小寫保持一致。
支援的佈建操作:
輸入新使用者和描述檔更新。
推播新使用者。
推播描述檔更新。
儲存變更。
建立授權回撥 URL
你必須為 Apple 校務管理建立授權回撥 URL,才能使用 SCIM 從 IdP 取得使用者記錄。此回撥 URL 會以你在 IdP 中所建立的 SCIM app 名稱為基礎。
請牢記你的 SCIM app 名稱。例如:
Apple 校務管理:AppleSchoolManagerSCIM
將 app 名稱貼入下列 URL。例如:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
儲存授權回撥 URL。
你須在下一項作業中,將該 URL 貼入 Apple 校務管理。
建立 SCIM 用戶端資訊,並拷貝至 IdP
以具備管理員、機構經理或成員經理職務的使用者身分登入 Apple 校務管理 。
在側邊欄底部選取你的姓名,接著選取「偏好設定」,然後選取「目錄同步」。
選取「自訂同步」旁的「啟用」。
貼上前一作業中的授權回撥 URL,然後選取「建立」。
選取 SCIM 應用程式,然後選取「建立」。
開啟一個新的文字檔案或試算表,然後輸入下列 Apple 校務管理的值:
在 OIDC 用戶端 ID 的部分,貼上 SCIM 用戶端 ID。
在 OIDC 用戶端密鑰的部分,貼上 SCIM 用戶端密鑰。
選取「用戶端 ID」旁的「拷貝」,然後將成員 ID 貼入檔案。
選取「用戶端密鑰」,再選擇密鑰的有效期 (6、9 或 12 個月),然後將用戶端密鑰貼入檔案。
【重要事項】如果你在將用戶端密鑰貼入 IdP SCIM app 之前,刪除或忘記用戶端密鑰,則必須建立新的用戶端密鑰。
選取「完成」。
將用戶端 ID 和用戶端密鑰貼入 IdP SCIM app,並驗證連線
回到 IdP SCIM app 的佈建區段,然後貼入下列值:
Apple 校務管理 SCIM 用戶端 ID
Apple 校務管理 SCIM 用戶端密鑰
儲存變更。
如果你的 IdP 可讓你使用 IdP 管理員帳號測試驗證,現在即可進行測試。舉例來說,你可能會看到「以 [AppleSchoolManagerSCIM] 進行驗證」、「以 [AppleBusinessManagerSCIM] 進行驗證」、「以 [AppleBusinessEssentialsSCIM] 進行驗證」的按鈕,或任何你為 SCIM app 命名的名稱。
輸入你的 IdP 管理員名稱和密碼,然後輸入雙重驗證的值。
仔細閱讀所有授權資訊。如果同意,請選取「繼續」。
如有需要,你現在即可為此網域開啟聯合驗證。
現在,你已設定完 IdP 和 Apple 校務管理,可將指定的使用者屬性變更從 IdP 同步至 Apple 校務管理。