Đồng bộ hóa tài khoản người dùng từ nhà cung cấp nhận dạng trong Apple School Manager
Trong Apple School Manager, bạn có thể dùng OpenID Connect (OIDC) hoặc Hệ thống quản lý nhận dạng miền chéo (SCIM) để đồng bộ hóa tài khoản người dùng từ nhà cung cấp nhận dạng (IdP). Với hệ thống này, bạn có thể hợp nhất các thuộc tính của Apple School Manager (chẳng hạn như khối lớp và vai trò) với dữ liệu tài khoản người dùng được nhập từ IdP. Khi bạn dùng SCIM để đồng bộ hóa người dùng, thông tin tài khoản sẽ được thêm ở dạng chỉ đọc cho đến khi bạn ngắt kết nối. Khi đó, các tài khoản này sẽ trở thành tài khoản thủ công và bạn có thể sửa các thuộc tính trong đó (chẳng hạn như tên người dùng). Quá trình đồng bộ hóa ban đầu sẽ mất nhiều thời gian hơn các chu trình tiếp theo. Tham khảo tài liệu của IdP để tìm hiểu về tần suất họ đồng bộ hóa người dùng sang Apple School Manager.
Quan trọng: Bạn chỉ có 4 ngày theo lịch để hoàn thành việc chuyển mã thông báo sang IdP và thiết lập kết nối thành công. Nếu không, bạn sẽ phải bắt đầu lại quy trình.
Trước Khi Bạn Bắt Đầu
Trước khi đồng bộ hóa với IdP qua kết nối OIDC, bạn phải thực hiện những việc sau:
Cấu hình và xác minh tên miền bạn muốn sử dụng. Hãy xem Liên kết với tên miền mới.
Ngắt kết nối khỏi Hệ Thống Thông Tin Học Sinh/Sinh Viên (SIS) hoặc ngừng tải lên bằng SFTP.
Cấu hình, liên kết và kích hoạt miền. Xem phần Sử dụng tính năng xác thực có liên kết với nhà cung cấp nhận dạng.
Bố trí quản trị viên IdP thường trực có quyền sửa cài đặt.
Đảm bảo bạn có những thông tin sau, rồi liên hệ với IdP:
Trường mã nhận dạng duy nhất cho người dùng: Giá trị của thuộc tính này thường là địa chỉ email của người dùng. Trường này được dùng để tạo ID Apple được quản lý của người dùng. Ví dụ: Đó có thể là userName.
Phương thức xác thực: SAML 2.0.
Chế độ xác thực: OAuth 2.
URL đăng nhập một lần: Tham khảo tài liệu của IdP.
URL gọi lại ủy quyền: Tham khảo tài liệu của IdP.
Tài khoản người dùng IdP và Apple School Manager
Khi bạn sao chép một người dùng từ IdP sang Apple School Manager bằng SCIM, vai trò mặc định sẽ là Học sinh/Sinh viên.
Ghi chú: Các nhóm người dùng từ IdP sẽ không được đồng bộ hóa với Apple School Manager.
Thuộc tính đăng nhập
Apple School Manager yêu cầu thuộc tính dùng cho ID Apple được quản lý phải là duy nhất. Đây thường là địa chỉ email của người dùng. Nếu một người dùng có thuộc tính giống hệt thuộc tính của người dùng hiện giữ vai trò Quản trị viên trong Apple School Manager thì quy trình đồng bộ hóa sẽ không diễn ra và trường nguồn không thay đổi.
ID Cá nhân
Khi bạn đồng bộ hóa tài khoản người dùng IdP sang Apple School Manager, một ID cá nhân sẽ được tạo cho tài khoản người dùng Apple School Manager. ID này được dùng để xác định tài khoản người dùng xung đột. Bên cạnh đó, ID cá nhân sẽ tự động được tạo cho những người dùng được nhập bằng SCIM hoặc phần tích hợp SIS nhưng không tự động tạo cho những người dùng nhập bằng SFTP.
Nếu SCIM bị ngắt kết nối và SFTP được dùng để tải người dùng lên lại, thì người dùng mới sẽ được tạo trừ khi ID Cá nhân trong tệp tải lên SFTP trùng với ID Cá Nhân do SCIM cấp phát. Hãy xem Tải dữ liệu Hệ thống thông tin của học sinh/sinh viên lên Apple School Manager.
Lưu ý quan trọng khi sửa đổi ID cá nhân:
Nếu bạn sửa đổi ID cá nhân cho tài khoản người dùng được nhập từ IdP, thì tài khoản người dùng đó sẽ không được liên kết với IdP nữa.
Nếu bạn sửa đổi ID cá nhân cho tài khoản người dùng được nhập từ IdP và muốn kết nối lại tài khoản người dùng đó thì bạn cần phải giải quyết xung đột.
Đăng nhập vào IdP
Đăng nhập vào IdP với tư cách quản trị viên, sau đó thực hiện một trong những thao tác sau:
Xác định ứng dụng do IdP của bạn tạo. Bạn có thể bỏ qua một vài bước khi thực hiện việc này.
Chuyển đến nơi bạn có thể tạo ứng dụng hoặc kết nối.
Tạo ứng dụng bằng thông tin sau:
Quan trọng: Hãy nhớ tên của ứng dụng SCIM vì bạn có thể cần tên đó cho URL gọi lại ủy quyền.
Apple School Manager: Sử dụng AppleSchoolManagerSCIM.
Loại ứng dụng: Sử dụng SCIM.
Phương thức xác thực: Sử dụng SAML 2.0.
URL đăng nhập một lần dùng cho người nhận và điểm đến: Tham khảo tài liệu của IdP.
URI đối tượng: Sử dụng ID thực thể.
Lưu thay đổi.
Cấu hình cài đặt cấp quyền ứng dụng SCIM
Tìm phần cấp quyền của ứng dụng IdP SCIM, rồi nhập các giá trị sau:
URL cơ sở của trình kết nối SCIM: https://federation.apple.com/feeds/school/scim
URI mã thông báo truy cập: https://appleid.apple.com/auth/oauth2/v2/token
URI ủy quyền: https://appleid.apple.com/auth/oauth2/v2/authorize
ID ứng dụng khách: 123
Mã bí mật ứng dụng khách: 123
Quan trọng: Vì bạn chưa biết ID ứng dụng khách SCIM và Mã bí mật ứng dụng khách thực tế nên 123 sẽ được dùng làm phần giữ chỗ. Bạn sẽ thay thế các giá trị này trong tác vụ sau.
Chế độ xác thực: OAuth 2.
Trường mã nhận dạng duy nhất cho người dùng: Tham khảo tài liệu của IdP.
Quan trọng: Đảm bảo bạn viết hoa giống với mã định danh.
Các hành động cấp quyền được hỗ trợ:
Nhập thông tin cập nhật hồ sơ và người dùng mới.
Đẩy người dùng mới.
Đẩy thông tin cập nhật hồ sơ.
Lưu thay đổi.
Tạo URL gọi lại ủy quyền
Bạn phải tạo URL gọi lại được ủy quyền cho Apple School Manager để nhận bản ghi người dùng từ IdP bằng SCIM. URL gọi lại này phụ thuộc vào tên của ứng dụng SCIM mà bạn đã tạo trong IdP.
Hãy nhớ tên cho ứng dụng SCIM của bạn. Ví dụ:
Apple School Manager: AppleSchoolManagerSCIM
Dán tên ứng dụng vào URL sau. Ví dụ:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Lưu URL gọi lại ủy quyền.
Bạn sẽ dán URL đó vào Apple School Manager trong tác vụ tiếp theo.
Tạo và sao chép thông tin ứng dụng khách SCIM vào IdP
Trong Apple School Manager , đăng nhập bằng người dùng có vai trò Quản Trị Viên, Người quản lý tổ chức hoặc Quản lý người dùng.
Chọn tên của bạn ở cuối thanh bên, chọn Tùy chọn hệ thống , sau đó chọn ID Apple được quản lý.
Chọn Kích hoạt bên cạnh Đồng bộ hóa tùy chỉnh.
Dán URL gọi lại ủy quyền đã tạo ở tác vụ trước, rồi chọn Tạo.
Chọn Ứng dụng SCIM, rồi chọn Tạo.
Mở một tệp văn bản hoặc bảng tính mới, rồi nhập các giá trị sau từ Apple School Manager:
Đối với ID ứng dụng khách OIDC, hãy dán ID ứng dụng khách SCIM.
Đối với mã bí mật ứng dụng khách OIDC, hãy dán mã bí mật ứng dụng khách SCIM.
Chọn Sao chép bên cạnh ID ứng dụng khách, rồi dán ID ứng dụng khách vào tệp.
Chọn Mã bí mật ứng dụng khách, chọn khoảng thời gian mã bí mật có hiệu lực trước khi hết hạn (6, 9 hoặc 12 tháng), rồi dán mã bí mật ứng dụng khách vào tệp.
Quan trọng: Nếu xóa hoặc quên mã bí mật ứng dụng khách trước khi dán vào ứng dụng IdP SCIM thì bạn phải tạo một mã bí mật ứng dụng khách mới.
Chọn Xong.
Dán ID ứng dụng khách và mã bí mật ứng dụng khách vào ứng dụng IdP SCIM, rồi xác minh kết nối
Quay lại phần cấp quyền của ứng dụng IdP SCIM, rồi dán các giá trị sau:
ID ứng dụng khách SCIM cho Apple School Manager
Mã bí mật ứng dụng khách SCIM cho Apple School Manager
Lưu thay đổi.
Nếu IdP cho phép bạn kiểm thử xác thực bằng tài khoản quản trị viên IdP thì bạn có thể làm việc đó vào lúc này. Ví dụ: Có thể có nút “Xác thực bằng [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]” hoặc bất cứ tên nào bạn đặt cho ứng dụng SCIM của mình.
Nhập tên và mật khẩu quản trị viên IdP, rồi nhập giá trị xác thực hai yếu tố.
Đọc kỹ mọi thông tin ủy quyền. Nếu bạn đồng ý, hãy chọn Tiếp tục.
Nếu cần thiết, bạn có thể bật tính năng xác thực có liên kết cho tên miền vào lúc này.
IdP và Apple School Manager của bạn hiện được cấu hình để đồng bộ hóa một số thay đổi về thuộc tính người dùng từ IdP sang Apple School Manager.