Utilizarea autentificării federative cu furnizorul dvs. de identități în Apple School Manager
În Apple School Manager, puteți să realizați asocierea cu furnizorul dvs. de identități (IdP) folosind autentificarea federativă, pentru a permite utilizatorilor să se autentifice pe dispozitivele lor cu numele de utilizator (în general, adresa de e‑mail) și parola.
Prin urmare, utilizatorii își pot folosi datele de autentificare IdP ca conturi Apple gestionate. Aceștia își pot utiliza apoi datele de autentificare pentru a se autentifica pe dispozitivul iPhone, iPad sau Mac atribuit sau chiar și în iCloud pe web.
Înainte de a începe
Înainte să realizați asocierea cu IdP-ul dvs., luați în considerare următoarele:
Trebuie să blocați și să activați capturarea domeniului înainte de a putea efectua asocierea. Consultați Blocarea unui domeniu.
Autentificarea federativă ar trebui să folosească adresa de e-mail a utilizatorului ca nume de utilizator. Aliasurile nu sunt acceptate.
Pentru utilizatorii existenți cu o adresă de email în domeniul asociat, conturile Apple gestionate sunt automat modificate pentru a se potrivi cu adresa de e-mail respectivă.
Configurați și confirmați domeniul pe care doriți să îl utilizați. Consultați Adăugați și confirmați un domeniu.
Deconectați-vă de la Sistemul de informații despre studenți (SIS) sau opriți încărcările folosind SFTP.
Conturile de utilizatori cu rol de administrator, coordonator de centru sau coordonator de persoane nu se pot autentifica folosind autentificarea federativă; pot doar gestiona procesul de asociere.
Când conexiunea IdP a expirat, asocierea și sincronizarea conturilor de utilizator cu IdP-ul dvs. încetează. Pentru a continua să utilizați asocierea și sincronizarea, trebuie să vă reconectați la IdP-ul dvs.
Dacă utilizați autentificarea federativă, asigurați-vă că aveți la îndemână următoarele informații:
Metoda de autentificare: Utilizați Open ID Connect (OIDC).
Accesul în domeniul de aplicare: trebuie să se acorde acces pentru
ssf.manage
șissf.read
.Adresa URL de configurare Shared Signals Framework (SSF): consultați documentația IdP-ului dvs.
Adresa URL de configurare OpenID: consultați documentația IdP-ului dvs.
Procesul de autentificare federativă
Acest proces implică patru pași principali:
Adăugați și confirmați un domeniu.
Creați o nouă aplicație sau conexiune OIDC.
Configurați autentificarea federativă și testați autentificarea cu un singur cont de utilizator IdP.
Activarea autentificării federative.
Pasul 1: Confirmați un domeniu
Înainte de a vă putea vizualiza conturile de utilizatori IdP cu Apple School Manager, trebuie să adăugați și să confirmați domeniul pe care doriți să-l utilizați.
Consultați Adăugați și confirmați un domeniu.
Procesul de confirmare asigură faptul că organizația dvs. este cea care are autoritatea de a modifica înregistrările privind serviciul de nume de domeniu (DNS) pentru domeniul dvs. De exemplu, pentru a utiliza townshipschools.org ca domeniu, adăugați o anumită înregistrare TXT la fișierul de zonă al serverului de nume de domeniu în interval de 14 zile calendaristice de la începutul procesului de confirmare (care începe când selectați butonul Confirmați).
Notă: Dacă încercați să asociați un domeniu pe care l-ați verificat deja, dar altă organizație a asociat deja un domeniu identic, trebuie să contactați organizația respectivă pentru a determina cine are autoritatea de a asocia domeniul. Consultați Conflicte privind domeniile.
Pasul 2: Creați o nouă aplicație sau conexiune OIDC
Pentru a vă conecta la Apple School Manager, IdP-ul dvs. trebuie să aibă sau să creeze o aplicație care să conțină configurări specifice pentru conectarea la Apple School Manager. Deoarece fiecare IdP are o metodă diferită pentru a crea o aplicație și un loc în care se află anumite configurări, consultați documentația IdP-ului dvs. pentru a vedea cum să finalizați acest proces.
Autentificați-vă la IdP în calitate de administrator, apoi efectuați una dintre următoarele acțiuni:
Găsiți aplicația creată de IdP-ul dvs. Este posibil să puteți omite mai multe etape în această sarcină.
Navigați către etapa unde puteți crea o aplicație sau o conexiune.
Creați aplicația sau conexiunea cu următoarele informații:
Apple School Manager: AppleSchoolManagerOIDC.
Metoda de autentificare: Open ID Connect (OIDC).
Tipul aplicației: aplicație web.
Tipul acordării: token de reîmprospătare.
URI redirecționări autentificare: https://gsa-ws.apple.com/grandslam/GsService2/acs.
Acces: Permiteți accesul anumitor conturi de utilizatori.
Accesul în domeniul de aplicare: trebuie să se acorde acces pentru
ssf.manage
șissf.read
.
Salvați modificările.
Mai târziu, pe această pagină, trebuie să lipiți anumite informații în Apple School Manager. Această sarcină care urmează este să copiați acele informații într-un fișier text sau foaie de calcul.
Deschideți un nou fișier text sau foaie de calcul, apoi introduceți următoarele valori din IdP:
Pentru ID-ul clientului OIDC, lipiți ID-ul clientului OIDC.
Pentru secretul clientului OIDC, lipiți secretul clientului OIDC.
Salvați fișierul într-o locație sigură.
Pasul 3 : Configurați autentificarea federativă și testați autentificarea cu un singur cont de utilizator IdP
Acest pas este menit să stabilească o relație de încredere între IdP-ul dvs. și Apple School Manager.
Notă: După ce finalizați acest pas, utilizatorii nu mai pot să creeze noi conturi Apple personale pe domeniul pe care îl configurați. Acest lucru ar putea afecta alte servicii Apple la care utilizatorii dvs. au acces. Consultați Transferarea serviciilor Apple la efectuarea asocierii.
În Apple School Manager , autentificați‑vă cu un utilizator care are rolul de administrator, coordonator de centru sau coordonator de persoane.
Selectați-vă numele în partea de jos a barei laterale, selectați Preferințe , selectați conturi Apple gestionate , apoi selectați Începeți în secțiunea „Autentificarea utilizatorilor și sincronizarea directorului”.
Selectați Furnizor de identități personalizat apoi selectați Continuați.
Introduceți un nume pentru conexiunea de autentificare federativă.
Puteți utiliza până la 128 de caractere.
Copiați ID-ul clientului și valorile secrete ale clientului în Apple School Manager din fișierul text sau foaia de calcul salvată în secțiunea anterioară.
Contactați-vă IdP-ul pentru a obține adrese URL pentru următoarele două configurații:
Shared Signals Framework (SSF)
OpenID
Selectați Continuați.
Dacă toate valorile pe care le-ați furnizat au fost valide, vi se prezintă pagina de autentificare a IdP-ului dvs. Continuați la pasul 8.
Autentificați-vă cu un nume de utilizator și parolă de administrator IdP.
Selectați OK.
Pasul 4: Activați autentificarea federativă
În Apple School Manager , autentificați‑vă cu un utilizator care are rolul de administrator, coordonator de centru sau coordonator de persoane.
Selectați-vă numele în partea de jos a barei laterale, selectați Preferințe , apoi selectați conturi Apple gestionate .
În secțiunea Domenii, selectați Gestionați din dreptul domeniului pe care doriți să îl asociați, apoi selectați „Activați autentificarea cu Furnizorul de identități”.
Activați opțiunea „Autentificare cu Furnizorul de identități”.
Dacă este necesar, puteți acum să sincronizați conturile de utilizatori la Apple School Manager. Consultați Sincronizarea conturilor de utilizatori cu furnizorul dvs de identități.