在「Apple 校務管理」使用身分提供者的聯合驗證
在 Apple 校務管理中,你可以使用聯合驗證連結至身分提供者 (IdP),讓使用者透過其 IdP 使用者名稱 (通常是其電子郵件地址) 和密碼登入 Apple 裝置。
因此,你的使用者可以利用其 IdP 憑證作為管理式 Apple 帳號。然後他們可以使用這些憑證來登入指派給他們的 iPhone、iPad、Mac、Apple Vision Pro 和共享的 iPad。他們登入其中一個裝置之後,也能登入網頁版 iCloud。
聯合驗證程序
此流程有四個主要步驟:
新增並驗證網域。
建立新的 Open ID Connect (OIDC) App 或連線。
使用單一 IdP 使用者帳號設定聯合驗證並測試驗證。
開啟聯合驗證.
【重要事項】請先檢視下列資訊,再設定聯合驗證。
步驟 1:驗證網域
步驟 2:建立新的 OIDC app 或連線
你的 IdP 需要具備或建立包含可連結至「Apple 校務管理」之特定設定的 App,才能連線至「Apple 校務管理」。由於各個 IdP 建立 App 的方式各有不同,特定設定所在的位置也不相同,因此請參閱你的 IdP 文件,瞭解如何完成此流程。
作為管理員登入你的 IdP,然後執行下列其中一項操作:
找到你的 IdP 建立的 App。你或許可以在此作業中跳過數個步驟。
瀏覽至你可建立 App 或連線的位置。
利用下列資訊建立 app 或連線:
Apple 校務管理:AppleSchoolManagerOIDC。
登入方式:OIDC。
App 類型:網頁 app。
授予類型:重新整理權杖。
登入重新導向 URI:https://gsa-ws.apple.com/grandslam/GsService2/acs。
存取:允許特定使用者帳號。
範圍存取:需將存取權授予下列項目:
ssf.manage和ssf.read。
儲存變更。
稍後,你需要將此頁面的特定資訊貼至「Apple 校務管理」。下一項作業是要將該資訊拷貝至文字或試算表檔案中。
開啟一個新的文字檔案或試算表,然後輸入下列 IdP 的值:
在 OIDC 用戶端 ID 的部分,貼上 OIDC 用戶端 ID。
在 OIDC 用戶端密鑰的部分,貼上 OIDC 用戶端密鑰。
將檔案儲存至安全的位置。
步驟 3:使用單一 IdP 使用者帳號設定聯合驗證並測試驗證
第一步是要在你的 IdP 與 Apple 校務管理之間建立信任關係。
【注意】完成此步驟後,使用者將無法在你設定的網域上建立新的未受管理(個人)Apple 帳號。這可能會影響你的使用者所存取的其他 Apple 服務。請參閱〈移轉 Apple 服務〉。
以具有聯合驗證管理權限的使用者身分,登入「Apple 校務管理」
。在側邊欄底部選取你的姓名,接著依序選取「偏好設定」
、「管理式 Apple 帳號」
,以及「使用者登入和目錄同步」底下的「開始使用」。選取「自訂身分提供者」,再選取「繼續」。
為聯合驗證連線輸入命稱。
你最多可以使用 128 個字元。
從你在上一部分所儲存的文字檔案或試算表中,將用戶端 ID 及用戶端密鑰值拷貝至 Apple 校務管理內。
與你的 IdP 聯絡,以取得下列兩項設定的 URL:
Shared Signals Framework (SSF)
OpenID
選取「繼續」。
如果你提供的所有值皆為有效值,畫面上即會顯示 IdP 的登入頁面。繼續執行步驟 8。
使用 IdP 管理員使用者名稱和密碼登入。
選取「完成」。
步驟 4:開啟聯合驗證
以具有聯合驗證管理權限的使用者身分,登入「Apple 校務管理」
。在側邊欄底部選取你的姓名,接著選取「偏好設定」
,然後選取「管理式 Apple 帳號」。在「網域」區段中所要建立聯合驗證的網域旁邊,選取「管理」,然後選取「開啟『使用身分提供者登入』」。
開啟「使用身分提供者登入」。
如有必要,你現在可以將使用者帳號同步至 Apple 校務管理。請參閱〈從你的身分提供者同步使用者帳號〉。