Синхронізація облікових записів користувачів постачальника ідентифікаційних даних в Apple School Manager

В Apple School Manager можна використовувати OpenID Connect (OIDC) або систему керування міждоменними ідентифікаційними даними (System for Cross-domain Identity Management, SCIM), щоб синхронізувати облікові записи користувачів постачальника ідентифікаційних даних (IdP). Використовуючи цю систему, ви поєднуєте ресурси Apple School Manager, як-от рівень освіти й ролі, з даними облікового запису користувача, імпортованими із системи постачальника ідентифікаційних даних (IdP). Коли ви синхронізуєте користувачів за допомогою SCIM, інформація про обліковий запис додається у форматі лише для читання, поки ви не відʼєднаєтеся. Після відʼєднання облікові записи стають обліковими записами, створеними вручну, а їхні атрибути (як-от імʼя користувача) — доступними для редагування. Початкова синхронізація займає більше часу, ніж наступні цикли. Ознайомтеся з документацією свого IdP, щоб дізнатися, як часто користувачі синхронізуються з Apple School Manager.

Важливо! Для завершення процедури перенесення токена до IdP й установлення з’єднання у вас буде лише 4 календарні дні, або доведеться починати процедуру спочатку.

Перш ніж почати

Перед синхронізацією з постачальником ідентифікаційних даних потрібно виконати наведені далі дії, скориставшись підключенням OIDC.

Налаштуйте та підтвердьте потрібний домен. Дивіться розділ Під’єднання до нових доменів.
Відʼєднайтеся від системи інформації про студентів (SIS) або зупиніть закачування за допомогою SFTP.
Налаштуйте, об’єднайте й увімкніть домен. Див. Використання обʼєднаної автентифікації за допомогою постачальника ідентифікаційних даних.
Зателефонуйте адміністратору IdP з дозволами на редагування налаштувань.

Переконайтеся, що у вас є наведена далі інформація, і зверніться до свого IdP.

Поле унікального ідентифікатора для користувачів: зазвичай як значення для цього атрибута використовується адреса електронної пошти користувача. З її допомогою створюється керований Apple ID користувача. Наприклад, userName.
Спосіб автентифікації: SAML 2.0.
Режим автентифікації: OAuth 2.
URL-адреса єдиного входу: ознайомтеся з документацією свого IdP.
URL-адреса зворотного виклику авторизації: ознайомтеся з документацією свого IdP.

Облікові записи користувачів IdP йApple School Manager

Якщо обліковий запис користувача копіюється з IdP в Apple School Manager за допомогою SCIM, стандартно йому призначається роль «Студент».

Примітка. Групи користувачів з IdP не синхронізуються з Apple School Manager.

Атрибути входу

В Apple School Manager необхідно, щоб атрибут, що використовується для керованого Apple ID, був унікальним. Зазвичай це адреса електронної пошти користувача. Якщо атрибут користувача повністю збігається з атрибутом користувача Apple School Manager, якому присвоєно роль адміністратора, синхронізація не здійснюватиметься, а поле джерела залишиться без змін.

Ідентифікатор особи

Коли обліковий запис користувача IdP синхронізується з Apple School Manager, для облікового запису користувача Apple School Manager створюється ідентифікатор особи. Цей ідентифікатор використовується для виявлення облікових записів користувачів, що мають конфлікт. Ідентифікатор особи також автоматично створюється для користувачів, імпортованих за допомогою SCIM або інтеграції з SIS, але не для користувачів, імпортованих за допомогою SFTP.

Якщо SCIM відʼєднано та SFTP використовується для повторного закачування користувачів, будуть створені нові користувачі, якщо ідентифікатор особи у файлі закачування SFTP не збігається з ідентифікатором особи, призначеним SCIM. Див. розділ Завантажте дані системи інформації про студентів в Apple School Manager.

Нижче наведено важливі моменти, які варто врахувати під час змінення ідентифікатора особи.

Якщо змінити ідентифікатор особи для облікового запису користувача, який імпортовано з постачальника ідентифікаційних даних, він більше не буде повʼязаний із постачальником ідентифікаційних даних.
Якщо ви змінили ідентифікатор особи для облікового запису користувача, який імпортовано з постачальника ідентифікаційних даних, і хочете повторно прив’язати його, спершу потрібно усунути конфлікт.

Вхід в обліковий запис IdP

Увійдіть у свій IdP як адміністратор, а потім виконайте одну з указаних нижче дій:
- Знайдіть програму, створену вашим постачальником ідентифікаційних даних. Ви можете пропустити кілька кроків у цьому завданні.
- Перейдіть до кроку, де можна створити програму або підключення.
Створіть програму з наведеною далі інформацією.
Важливо! Запамʼятайте назву програми SCIM, оскільки вона може знадобитися для URL-адреси зворотного виклику авторизації.
- Apple School Manager: виберіть AppleSchoolManagerSCIM.
- Тип програми: виберіть SCIM.
- Спосіб автентифікації: виберіть SAML 2.0.
- URL-адреса єдиного входу, що використовується для отримувача й адресата: ознайомтеся з документацією свого IdP.
- URL-адреса аудиторії: виберіть ідентифікатор установи.
Збережіть зміни.

Конфігурування параметрів надання доступу програми SCIM

Знайдіть розділ надання доступу програми SCIM свого IdP та введіть указані далі значення.
- URL-адреса бази конекторів SCIM: https://federation.apple.com/feeds/school/scim
- URL-адреса токена доступу: https://appleid.apple.com/auth/oauth2/v2/token
- URL-адреса авторизації: https://appleid.apple.com/auth/oauth2/v2/authorize
- Ідентифікатор клієнта: 123
- Пароль клієнта: 123
  Важливо! Оскільки у вас іще немає дійсного ідентифікатора та пароля клієнта SCIM, 123 використовується як заповнювач. Ці значення потрібно буде замінити в одному з наступних завдань.
- Режим автентифікації: OAuth 2.
- Поле унікального ідентифікатора для користувачів: ознайомтеся з документацією свого IdP.
  Важливо! Переконайтеся, що регістр ідентифікатора збігається.
- Нижче наведено дії з надання доступу, що підтримуються.
  - Імпортуйте нових користувачів і оновлення профілів.
  - Синхронізуйте нових користувачів.
  - Синхронізуйте оновлення профілів.
Збережіть зміни.

Створення URL-адреси зворотного виклику авторизації

Щоб отримувати записи користувачів з IdP за допомогою SCIM, вам потрібно створити URL-адресу зворотного виклику авторизації для Apple School Manager. За основу цієї URL-адреси береться назва програми SCIM, яку ви створили в IdP.

Запам’ятайте назву програми SCIM. Наприклад:
- Apple School Manager: AppleSchoolManagerSCIM
Вставте назву програми в наведену нижче URL-адресу. Наприклад:
- https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Збережіть URL-адресу зворотного виклику авторизації.
Її потрібно буде вставити в Apple School Manager в наступному завданні.

Створення та копіювання інформації про клієнт SCIM в IdP

В Apple School Manager увійдіть в обліковий запис користувача, що має роль адміністратора, керівника сайту або менеджера з персоналу.
У нижній частині бічної панелі виберіть своє ім’я, натисніть «Уподобання» , а потім — «Керовані Apple ID».
Натисніть «Увімкнути» поруч із функцією «Власна синхронізація».
Вставте URL-адресу зворотного виклику авторизації, скопійовану під час попереднього завдання, і натисніть «Створити».
Виберіть програму SCIM і натисніть «Створити».
Відкрийте новий текстовий файл або електронну таблицю та введіть туди значення з Apple School Manager, указані нижче.
- У поле ідентифікатора клієнта OIDC вставте ідентифікатор клієнта SCIM.
- У поле пароля клієнта OIDC вставте пароль клієнта SCIM.
Поруч з ідентифікатором клієнта натисніть «Скопіювати» й вставте ідентифікатор у файл.
Натисніть «Пароль клієнта», виберіть його довжину й термін дії (6, 9 або 12 місяців), а потім вставте пароль клієнта у файл.
Важливо! Якщо ви видалите або забудете пароль клієнта до того, як вставите його в програму SCIM свого IdP, вам потрібно буде створити новий пароль.
Натисніть «Готово».

Вставлення ідентифікатора та пароля клієнта в програму SCIM свого IdP й перевірка підключення

Поверніться в розділ надання доступу програми SCIM свого IdP та вставте вказані далі значення.
- Ідентифікатор клієнта Apple School Manager в SCIM
- Пароль клієнта Apple School Manager в SCIM
Збережіть зміни.
Якщо ваш IdP дає змогу перевірити підключення за допомогою облікового запису адміністратора IdP, ви можете перевірити його зараз. Наприклад, може відображатися кнопка «Перевірити за допомогою [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM]» залежно від того, як ви назвали програму SCIM.
Укажіть імʼя та пароль облікового запису адміністратора IdP, а потім введіть значення двофакторної автентифікації.
Уважно прочитайте інформацію щодо авторизації. Якщо ви погоджуєтеся з нею, натисніть «Продовжити».
За потреби для цього домену тепер можна ввімкнути обʼєднану автентифікацію.

Тепер IdP і Apple School Manager сконфігуровані для синхронізації певних змін атрибутів користувача з вашого IdP до Apple School Manager.

Дивіться такожВикористання обʼєднаної автентифікації за допомогою постачальника ідентифікаційних даних в Apple School Manager Відомості про URL-адресу зворотного виклику авторизації в Apple School Manager Усунення конфліктів облікових записів користувачів постачальника ідентифікаційних даних OIDC або SCIM в Apple School Manager

Чи була інформація корисна?

Посібник користувача Apple School Manager