iBet uBet web content aggregator. Adding the entire web to your favor.

Link to original content: https://support.apple.com/zh-cn/guide/apple-school-manager/axmfcab66783/web

在 Apple 校园教务管理中搭配身份提供方使用联合验证 - 官方 Apple 支持 (中国)

在 Apple 校园教务管理中搭配身份提供方使用联合验证

在 Apple 校园教务管理中，你可以使用联合验证关联身份提供方 (IdP)，以便让用户通过 IdP 用户名（通常是电子邮件地址）和密码登录 Apple 设备。

关联后，你的用户便可以将他们的 IdP 凭证用作管理式 Apple ID。然后，用户将可以使用这些凭证，登录分配给他们的 iPhone、iPad 或 Mac，甚至网页版 iCloud。

开始操作前

在关联到 IdP 之前，请考虑以下事项：

联合验证应将用户的电子邮件地址用作他们的用户名。不支持使用别名。
对于在联合域中已有电子邮件地址的现有用户，他们的管理式 Apple ID 会自动更改，以与这个电子邮件地址匹配。
配置并验证你要使用的域。请参阅关联新域。
断开与学生信息系统 (SIS) 的连接，或停止通过 SFTP 上传。
具有管理员、机构经理或人员经理职务的用户帐户无法使用联合验证登录；他们只能管理联合流程。
当 IdP 连接已过期时，搭配 IdP 使用的用户帐户联合验证和同步会停止。你必须重新连接到 IdP 才能继续使用联合验证和同步。

如果使用联合验证，请提供以下信息：

登录方法：使用 Open ID Connect (OIDC)。
范围访问：必须授予对ssf.manage 和ssf.read 的访问权限。
共享信号框架 (SSF) 配置 URL：请查阅 IdP 的文档。
OpenID 配置 URL：请查阅 IdP 的文档。

联合验证过程

这一过程包括四个主要步骤：

添加并验证域名。
创建一个新的 OIDC App 或连接。
配置联合验证，并使用单个 IdP 用户帐户测试验证。
开启联合验证.

第 1 步：验证域

在你可以在 Apple 校园教务管理中查看 IdP 用户帐户之前，必须添加并验证你想要使用的域。

请参阅关联新域。

验证过程可确保你的组织有权为该域修改域名服务 (DNS) 记录。例如，要使用 betterbag.com 作为域，需要在开始验证流程（选择“验证”按钮后开始）后的 14 个日历日内将特定 TXT 记录添加到域名服务器的区域文件中。

【注】如果你在尝试联合你已验证的域，但另一组织已联合了同一域，你必须联系该组织，以确定谁有权联合该域。请参阅关于域冲突。

第 2 步：创建一个新的 OIDC App 或连接

要连接到 Apple 校园教务管理，你的 IdP 必须拥有或创建一个 App，其中包含特定设置，以便关联到 Apple 校园教务管理。由于每个 IdP 在创建 App 和定位特定设置的位置时都有不同的方法，因此请查阅 IdP 的文档，了解如何完成这一过程。

以管理员身份登录你的 IdP，然后执行以下操作之一：
- 找到由你的 IdP 创建的 App。你可能可以跳过此任务中的几个步骤。
- 导航至创建 App 或连接的位置。
使用以下信息创建 App 或连接：
- Apple 校园教务管理：AppleSchoolManagerOIDC。
- 登录方法：Open ID Connect (OIDC)。
- App 类型：网页 App。
- 授权类型：刷新令牌。
- 登录重定向 URI：https://gsa-ws.apple.com/grandslam/GsService2/acs。
- 访问：允许特定用户帐户访问。
- 范围访问：必须授予对ssf.manage 和ssf.read 的访问权限。
存储更改内容。
稍后在这个页面上，必须将某些信息粘贴到 Apple 校园教务管理中。接下来的任务是将这些信息拷贝到文本或电子表格文件中。
打开一个新的文本文件或电子表格，然后输入以下来自 IdP 的值：
- 对于 OIDC 客户端 ID，请粘贴 OIDC 客户端 ID。
- 对于 OIDC 客户端密码，请粘贴 OIDC 客户端密码。
将文件存储到安全的位置。

第 3 步：配置联合验证，并使用单个 IdP 用户帐户测试验证

这个任务可让 IdP 信任 Apple 校园教务管理。

【注】完成这个任务后，用户无法在你配置的域上创建新的个人 Apple ID。这可能会影响你使用的其他 Apple 服务。请参阅使用联合验证时转移 Apple 服务。

在 Apple 校园教务管理中，使用具有管理员、机构经理或人员经理职务的用户登录。
在边栏底部选择你的姓名，选择“偏好设置”，选择“管理式 Apple ID”，然后选择“用户登录和目录同步”下的“开始使用”。
选择“自定身份提供方”，然后选择“继续”。
为你的联合验证连接输入一个名称。
最多可以使用 128 个字符。
从你上一节中存储的文本文件或电子表格中将客户端 ID 和客户端密码值拷贝到 Apple 校园教务管理中。
联系你的 IdP 以获取以下两个配置的 URL：
- 共享信号框架 (SSF)
- OpenID
选择“继续”。
如果你提供的所有值都有效，你将看到 IdP 的登录页面。继续进行第 8 步。
使用 IdP 管理员的用户名和密码登录。
选择“完成”。

第 4 步：开启联合验证

在 Apple 校园教务管理中，使用具有管理员、机构经理或人员经理职务的用户登录。
在边栏底部选择你的姓名，选择“偏好设置”，然后选择“管理式 Apple ID”。
在“域名”部分中，选择你要联合的域名旁边的“管理”，然后选择“开启‘通过身份提供方登录’”。
开启“通过身份提供方登录”。
如有必要，现在就可以将用户帐户同步到 Apple 校园教务管理。请参阅“从你的身份提供方同步用户帐户”。

另请参阅在 Apple 校园教务管理中从身份提供方同步用户帐户关于 Apple 校园教务管理中的授权回拨 URL 在 Apple 校园教务管理中解决身份提供方 OIDC 或 SCIM 同步用户帐户冲突

有帮助?