將使用者帳號從你的身分提供者同步至 Apple 校務管理
在 Apple 校務管理中,你可以使用 OpenID Connect (OIDC) 或跨域身分管理系統 (SCIM) 從身分提供者 (IdP) 同步使用者帳號。使用此系統時,你會將 Apple 校務管理屬性 (例如年級和職務) 與從 IdP 輸入的使用者帳號資料合併。使用 SCIM 同步使用者時,帳號資訊會以唯讀形式新增,直到中斷連線為止。屆時,這些帳號會變成手動帳號,並可編輯其屬性 (例如使用者名稱)。執行初始同步所需的時間會比執行後續週期更長。請參閱你的 IdP 文件,瞭解使用者同步至 Apple 校務管理的頻率。
【重要事項】你只有 4 個日曆天可完成將權杖移轉至 IdP 的程序並順利建立連線,否則必須重新開始此流程。
開始之前
使用 OIDC 連線同步至 IdP 之前,請務必執行下列動作:
設定並驗證要使用的網域。請參閱〈連結至新網域〉。
中斷與學生資訊系統 (SIS) 的連線,或停止使用 SFTP 進行上傳。
設定網域、為其建立聯合驗證並加以啟用。請參閱〈使用身分提供者的聯合驗證〉。
讓具備編輯設定權限的 IdP 管理員保持待命。
確保你具備下列資訊,然後聯絡你的 IdP:
使用者的唯一識別碼欄位:此屬性的值通常是使用者的電子郵件地址。其會用來建立使用者的管理式 Apple ID。例如,這可能會是 userName。
驗證方式:SAML 2.0。
驗證模式:OAuth 2。
單一登入 URL:參閱你的 IdP 文件。
授權回撥 URL:參閱你的 IdP·文件。
IdP 使用者帳號與 Apple 校務管理
使用 SCIM 將使用者從 IdP 拷貝至 Apple 校務管理時,其預設職務會是「學生」。
【注意】IdP 的使用者群組不會同步至 Apple 校務管理。
登入屬性
使用 Apple 校務管理時,管理式 Apple ID所用的屬性不得重複。這通常會是使用者的電子郵件地址。如果有使用者的屬性與具備管理員職務的現有 Apple 校務管理使用者完全相同,則不會執行同步,且來源欄位會保持不變。
成員 ID
當 IdP 使用者帳號同步至 Apple 校務管理時,會為 Apple 校務管理使用者帳號建立成員 ID。此 ID 會用來辨識衝突的使用者帳號。此外,如果使用者是透過 SCIM 或 SIS 整合所輸入,則會自動產生成員 ID,但如果使用者是透過 SFTP 所輸入,則不會自動產生。
如果 SCIM 中斷連線且 SFTP 用於重新上傳使用者,除非 SFTP 上傳檔案中的成員 ID 符合 SCIM 指派的成員 ID,否則將會建立新的使用者。可參閱〈將學生資訊系統資料上傳至「Apple 校務管理」〉。
以下是修改成員 ID 的重要須知:
如果你為先前從 IdP 輸入的使用者帳號修改了成員 ID,該使用者帳號將無法再與 IdP 配對。
如果你為先前從 IdP 輸入的使用者帳號修改了成員 ID,且希望重新連線至該使用者帳號,則必須解決衝突。
登入你的 IdP
作為管理員登入你的 IdP,然後執行下列其中一項操作:
找到你的 IdP 建立的 App。你或許可以在此作業中跳過數個步驟。
瀏覽至你可建立 App 或連線的位置。
利用下列資訊建立 app:
【重要事項】請牢記 SCIM app 的名稱,因為授權回撥 URL 可能會用到。
Apple 校務管理:使用 AppleSchoolManagerSCIM。
App 類型:使用 SCIM。
驗證方式:使用 SAML 2.0。
收件人和目的地所用的單一登入 URL:參閱你的 IdP·文件。
受眾 URI:使用實體 ID。
儲存變更。
配置 SCIM app 佈建設定
找出 IdP SCIM app 的佈建區段,然後輸入下列值:
SCIM 連接器基底 URL:https://federation.apple.com/feeds/school/scim
存取權杖 URI:https://appleid.apple.com/auth/oauth2/v2/token
授權 URI:https://appleid.apple.com/auth/oauth2/v2/authorize
用戶端 ID:123
用戶端密鑰:123
【重要事項】由於你尚不知道實際的 SCIM 用戶端 ID 和用戶端密鑰,因此請使用 123 作為預留位置。你會在之後的作業中取代這些值。
驗證模式:OAuth 2。
使用者的唯一識別碼欄位:參閱你的 IdP 文件。
【重要事項】請務必與識別碼的大小寫保持一致。
支援的佈建操作:
輸入新使用者和描述檔更新。
推播新使用者。
推播描述檔更新。
儲存變更。
建立授權回撥 URL
你必須為 Apple 校務管理建立授權回撥 URL,才能使用 SCIM 從 IdP 取得使用者記錄。此回撥 URL 會以你在 IdP 中所建立的 SCIM app 名稱為基礎。
請牢記你的 SCIM app 名稱。例如:
Apple 校務管理:AppleSchoolManagerSCIM
將 app 名稱貼入下列 URL。例如:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
儲存授權回撥 URL。
你須在下一項作業中,將該 URL 貼入 Apple 校務管理。
建立 SCIM 用戶端資訊,並拷貝至 IdP
以具備管理員、機構經理或成員經理職務的使用者身分登入 Apple 校務管理
。在側邊欄底部選取你的姓名,接著選取「偏好設定」
,然後選取「管理式 Apple ID」
。選取「自訂同步」旁的「啟用」。
貼上前一作業中的授權回撥 URL,然後選取「建立」。
選取 SCIM 應用程式,然後選取「建立」。
開啟一個新的文字檔案或試算表,然後輸入下列 Apple 校務管理的值:
在 OIDC 用戶端 ID 的部分,貼上 SCIM 用戶端 ID。
在 OIDC 用戶端密鑰的部分,貼上 SCIM 用戶端密鑰。
選取「用戶端 ID」旁的「拷貝」,然後將成員 ID 貼入檔案。
選取「用戶端密鑰」,再選擇密鑰的有效期 (6、9 或 12 個月),然後將用戶端密鑰貼入檔案。
【重要事項】如果你在將用戶端密鑰貼入 IdP SCIM app 之前,刪除或忘記用戶端密鑰,則必須建立新的用戶端密鑰。
選取「完成」。
將用戶端 ID 和用戶端密鑰貼入 IdP SCIM app,並驗證連線
回到 IdP SCIM app 的佈建區段,然後貼入下列值:
Apple 校務管理 SCIM 用戶端 ID
Apple 校務管理 SCIM 用戶端密鑰
儲存變更。
如果你的 IdP 可讓你使用 IdP 管理員帳號測試驗證,現在即可進行測試。舉例來說,你可能會看到「以 [AppleSchoolManagerSCIM] 進行驗證」、「以 [AppleBusinessManagerSCIM] 進行驗證」、「以 [AppleBusinessEssentialsSCIM] 進行驗證」的按鈕,或任何你為 SCIM app 命名的名稱。
輸入你的 IdP 管理員名稱和密碼,然後輸入雙重驗證的值。
仔細閱讀所有授權資訊。如果同意,請選取「繼續」。
如有需要,你現在即可為此網域開啟聯合驗證。
現在,你已設定完 IdP 和 Apple 校務管理,可將指定的使用者屬性變更從 IdP 同步至 Apple 校務管理。