在 Apple School Manager 以身份識別提供者使用聯合認證

在 Apple School Manager，你可以使用聯合認證連結到你的身份識別提供者 (IdP) 以允許用户使用其 IdP 用户名稱（通常為自己的電郵地址）和密碼登入 Apple 裝置。

這樣，你的用户便可將 IdP 憑證用作管理式 Apple 帳户。用户可以使用相關憑證，登入獲分派的 iPhone、iPad 或 Mac，以及使用網頁版 iCloud。

事前須知

連結至 IdP 之前，請考慮以下事項：

你必須先鎖定並開啟網域擷取，才能建立聯合認證。請參閱鎖定網域。
聯合認證應使用用户的電郵地址作為用户名稱，不支援替身。
如果現有用户在聯合網域中擁有電郵地址，其管理式 Apple 帳户會自動更改為與該電郵地址相符。
設定並驗證你要使用的網域。請參閱新增並驗證網域。
中斷與學生資訊系統 (SIS) 的連線，或停止使用 SFTP 上載。
職務為管理員、機構經理或成員經理的用户帳户只能管理聯合認證程序，但無法透過聯合認證登入。
當 IdP 連線到期，以 IdP 進行聯合認證及同步用户帳户的操作會停止。你必須重新連結 IdP，方可繼續使用聯合認證及同步功能。

如果使用聯合認證，請提供以下資訊：

登入方式：使用 Open ID Connect (OIDC)。
存取範圍：存取權限必須授予 ssf.manage 和ssf.read：
共用訊號架構 (SSF) 配置 URL：請參閱 IdP 文件。
OpenID 配置 URL：請參閱 IdP 文件。

聯合認證程序

這個程序包含四個主要步驟：

新增並驗證網域。
建立新的 OIDC App 或連線。
設定聯合認證並使用單一 IdP 用户帳户測試認證。
開啟聯合認證.

第 1 步：驗證網域

使用 Apple School Manager 查看 IdP 用户帳户前，你必須新增並驗證要使用的網域。

請參閱新增並驗證網域。

驗證程序可以確保你的機構有權修改網域的網域名稱服務 (DNS) 紀錄。例如，要使用 townshipschools.org 作為網域，便需在開始驗證程序後 14 個曆日內（由你選擇「驗證」按鈕起計），將特定 TXT 紀錄加至網域名稱伺服器的區域檔案。

附註：如果你嘗試建立聯合認證的網域為已驗證，但另一個機構已經為同一網域建立聯合認證，你必須聯絡有關機構以決定何者有權建立聯合認證。請參閱：網域衝突。

第 2 步：建立新的 OIDC App 或連線

要連線至 Apple School Manager，IdP 必須擁有或建立一個 app，這個 app 須包含連結至 Apple School Manager 的特定設定。由於各個 IdP 建立 App 的方式和儲存特定設定的位置不同，請參閱 IdP 文件以了解完成這個程序的方法。

以管理員身份登入你的 IdP，然後執行以下其中一項操作：
- 找出你 IdP 建立的 app。你或可在此任務中略過一些步驟。
- 前往建立 app 或連線的地方。
使用以下資訊建立 App 或連線：
- Apple School Manager：AppleSchoolManagerOIDC。
- 登入方式：Open ID Connect (OIDC)。
- App 類型：網頁 app。
- 授權類型：重新整理代號。
- 登入重新導向 URI：https://gsa-ws.apple.com/grandslam/GsService2/acs。
- 存取：允許特定用户帳户。
- 存取範圍：存取權限必須授予 ssf.manage 和ssf.read：
儲存變更。
在此頁面的稍後部分，你必須於 Apple School Manager 貼上特定資料。下一個任務是將該資訊複製至文字或試算表檔案。
開啟新的文字檔案或試算表，然後輸入以下 IdP 值：
- 在 OIDC 用户端 ID 處貼上 OIDC 用户端 ID。
- 在 OIDC 用户端密鑰處貼上 OIDC 用户端密鑰。
將檔案儲存至安全位置。

第 3 步：設定聯合認證並使用單一 IdP 用户帳户測試認證

這個步驟是要建立你的 IdP 和 Apple School Manager 間的信任關係。

附註：完成此步驟後，用户無法在你配置設定的網域上建立新的個人 Apple 帳户。這可能會影響你的用户取用的其他 Apple 服務。請參閱：在聯合時轉移 Apple 服務。

在 Apple School Manager ，使用職務為管理員、機構經理或成員經理的用户登入。
在側邊欄底部選擇你的名字，選擇「偏好設定」，然後選擇「管理式 Apple 帳户」，並在「用户登入和目錄同步」下選擇「開始使用」。
選擇「自訂身份識別提供者」，然後選擇「繼續」。
輸入聯合認證連線名稱。
名稱長度不得超過 128 個字元。
將你在上個部分儲存至文字檔案或試算表的用户端 ID 和用户端密鑰值複製到 Apple School Manager。
聯絡 IdP 以獲取下列兩項設定的 URL：
- 共用訊號架構 (SSF)
- OpenID
選擇「繼續」。
如果提供的所有值均有效，你會看到 IdP 登入頁面。繼續執行第 8 步。
使用 IdP 管理員用户名稱和密碼登入。
選擇「完成」。

步驟 4：開啟聯合認證

在 Apple School Manager ，使用職務為管理員、機構經理或成員經理的用户登入。
在側邊欄底部選擇你的名字，選擇「偏好設定」，然後選擇「管理式 Apple 帳户」。
在「網域」部分，於要建立聯合認證的網域旁選擇「管理」，然後選擇「開啟使用身份識別提供者登入」。
開啟「使用身份識別提供者登入」。
如有需要，你現在可以將用户帳户同步至 Apple School Manager。請參閱從你的身份識別提供者同步用户帳户。

也請參閲在 Apple School Manager 從身份識別提供者同步用户帳户 Apple School Manager 授權回調 URL 相關資訊解決 Apple School Manager的身份識別提供者 OIDC 或 SCIM 用户帳户同步衝突問題在 Apple School Manager中顯示使用你網域的非管理式帳户

有幫助？