Synchronizace uživatelských účtů od poskytovatele identit do Apple School Manageru
Do Apple School Manageru můžete přes OpenID Connect (OIDC) nebo SCIM synchronizovat uživatelské účty od svého poskytovatele identit (IdP). Při používání tohoto systému se sloučí vlastnosti z Apple School Manageru (například třídy a funkce) s údaji o uživatelských účtech importovanými od poskytovatele identit. Pokud uživatele synchronizujete přes SCIM, přidají se údaje o účtech jen pro čtení a zůstanou tak, dokud se neodpojíte. V tu chvíli se z účtů stanou ručně spravované účty a vy budete moct upravovat jejich atributy (například uživatelská jména). Prvotní synchronizace trvá déle než následné cykly. Informace o tom, jak často se uživatelé synchronizují do Apple School Manageru, najdete v dokumentaci ke svému IdP.
Důležité: Na dokončení převodu tokenu k poskytovatel identit a úspěšné navázání připojení máte jen 4 kalendářní dny. Pokud to nestihnete, budete muset začít znovu od začátku.
Než začnete
Ještě před zapnutím synchronizace s poskytovatelem identit přes OIDC připojení musíte udělat pár věcí:
Nakonfigurovat a ověřit doménu, kterou chcete použít. Víc se dočtete v části Přidání a ověření domény.
Odpojit se od studentského informačního systému (SIS) nebo ukončit nahrávání přes SFTP.
Nakonfigurujte doménu, zahajte její federování a zapněte ji. Viz Používání federovaného ověřování s vaším poskytovatelem identit.
Buďte ve spojení s administrátorem poskytovatele identit, který má oprávnění měnit nastavení.
Připravte si následující informace a potom kontaktujte poskytovatele identit:
Pole jedinečného identifikátoru uživatele: Hodnotou tohoto atributu je obvykle e-mailová adresa uživatele. Používá se k vytvoření uživatelova spravovaného účtu Apple. Může to být například userName.
Způsob ověřování: SAML 2.0.
Režim ověřování: OAuth 2.
URL jednotného přihlašování: Viz dokumentace k vašemu IdP.
URL zpětného volání pro autorizaci: Viz dokumentace k vašemu IdP.
Uživatelské účty z IdP a Apple School Manager
Když pomocí SCIM zkopírujete do Apple School Manageru uživatele z IdP, dostane přidělenou výchozí funkci Student.
Poznámka: Skupiny uživatelů se od poskytovatele identit do Apple School Manageru nesynchronizují.
Přihlašovací atribut
Apple School Manager vyžaduje, aby atribut použitý pro spravovaný účet Apple byl jedinečný. Obvykle se jedná o e-mailovou adresu uživatele. Pokud se atribut uživatele přesně shoduje s existujícím uživatelem v Apple School Manageru, který má funkci administrátora, synchronizace neproběhne a zdrojové pole se nezmění.
ID osoby
Když s Apple School Managerem synchronizujete uživatelský účet od poskytovatele identit, vytvoří se pro tento účet v Apple School Manageru ID osoby. Toto ID se používá k rozpoznání konfliktů uživatelských účtů. ID osoby se automaticky generuje uživatelům importovaným přes SCIM nebo v rámci integrace se SIS, ale negeneruje se automaticky uživatelům importovaným přes SFTP.
Když SCIM odpojíte a znovu nahrajete uživatele přes SFTP, vytvoří se noví uživatelé – s výjimkou případů, kdy se ID osoby v souboru nahrávaném přes SFTP shoduje s ID osoby, které už předtím bylo přiřazeno přes SCIM. Další informace najdete v části Nahrát data studijního informačního systému (SIS) do Apple School Managera.
Na co je třeba pamatovat při úpravách ID osoby:
Když u některého uživatelského účtu importovaného od poskytovatele identit upravíte ID osoby, nebude už tento účet spárovaný s poskytovatelem identit.
Když u některého uživatelského účtu importovaného od poskytovatele identit upravíte ID osoby a později budete chtít tento účet znovu připojit, musíte nejdřív vyřešit konflikt.
Přihlášení k vašemu IdP
Přihlaste se ke svému IdP jako správce a proveďte jednu z následujících akcí:
Vyhledejte aplikaci vytvořenou vaším IdP. Možná budete moct přeskočit několik kroků v tomto úkolu.
Přejděte do části, kde můžete vytvořit aplikaci nebo připojení.
Vytvořte aplikaci pomocí následujících údajů:
Důležité: Zapamatujte si název SCIM aplikace, protože ho můžete potřebovat pro URL zpětného volání pro ověření.
Apple School Manager: Použijte AppleSchoolManagerSCIM.
Typ aplikace: Použijte SCIM.
Způsob ověřování: Použijte SAML 2.0.
URL jednotného přihlašování používané pro příjemce a cíl: Viz dokumentace k vašemu IdP.
URI cílové skupiny: Použijte ID entity.
Uložte změny.
Konfigurace nastavování SCIM aplikace
Vyhledejte část SCIM aplikace IdP s údaji pro nastavování a zadejte následující hodnoty:
Základní URL SCIM konektoru: https://federation.apple.com/feeds/school/scim
URI přístupového tokenu: https://appleaccount.apple.com/auth/oauth2/v2/token
URI autorizace: https://appleaccount.apple.com/auth/oauth2/v2/authorize
ID klienta: 123
Tajný klíč klienta: 123
Důležité: Protože ještě neznáte skutečné ID a tajný klíč klienta ze SCIM, jako zástupný symbol se používá 123. Tyto hodnoty nahradíte v pozdější úloze.
Režim ověřování: OAuth 2.
Pole jedinečného identifikátoru uživatele: Viz dokumentace k vašemu IdP.
Důležité: U identifikátoru se musí shodovat velikost písmen.
Podporované akce nastavování:
Import nových uživatelů a aktualizace profilů.
Automatická synchronizace nových uživatelů.
Automatické aktualizace profilů.
Uložte změny.
Vytvoření URL zpětného volání pro autorizaci
Abyste pomocí SCIM dostali záznamy uživatelů z IdP, musíte pro Apple School Manager vytvořit autorizovanou URL zpětného volání. Tato URL zpětného volání vychází z názvu SCIM aplikace, kterou jste vytvořili v IdP.
Název SCIM aplikace si zapamatujte. Například:
Apple School Manager: AppleSchoolManagerSCIM
Vložte název aplikace do následující URL. Například:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
URL zpětného volání pro autorizaci uložte.
Do Apple School Manageru vložíte adresu v další úloze.
Vytvoření a zkopírování informací o klientovi SCIM do IdP
V Apple School Manageru
se přihlaste jako uživatel s funkcí administrátora, správce instituce nebo správce osob.Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby
a zvolte Spravované účty Apple 
.Vedle Vlastní synchronizace vyberte Zapnout.
Vložte URL zpětného volání pro autorizaci z předchozí úlohy a zvolte Vytvořit.
Vyberte SCIM aplikaci a potom zvolte Vytvořit.
Otevřete nový textový soubor nebo tabulku a zadejte následující hodnoty z Apple School Manageru:
Do pole ID klienta OIDC vložte ID klienta SCIM.
Do pole pro tajný klíč klienta OIDC vložte tajný klíč klienta SCIM.
Zvolte Kopírovat vedle ID klienta a pak vložte ID klienta do souboru.
Vyberte Tajný klíč klienta, zvolte, jak dlouho má být tajný klíč aktivní, než vyprší jeho platnost (6, 9 nebo 12 měsíců), a pak vložte tajný klíč klienta do souboru.
Důležité: Pokud tajný klíč klienta před vložením do SCIM aplikace IdP smažete nebo zapomenete, musíte vytvořit nový tajný klíč klienta.
Vyberte Hotovo.
Vložení ID klienta a tajného klíče klienta do SCIM aplikace IdP a ověření připojení
Vraťte se do části SCIM aplikace IdP s údaji pro nastavování a zadejte následující hodnoty:
ID klienta SCIM pro Apple School Manager
Tajný klíč klienta SCIM pro Apple School Manager
Uložte změny.
Pokud váš IdP umožňuje testovat ověřování pomocí účtu správce IdP, teď můžete ověřování otestovat. Může k tomu sloužit tlačítko jako například „Ověřit pomocí [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]“ nebo jakkoli jste SCIM aplikaci pojmenovali.
Zadejte jméno a heslo správce k vašemu IdP a pak zadejte hodnotu dvoufaktorového ověřování.
Pozorně si přečtěte případné informace o autorizaci. Pokud souhlasíte, zvolte Pokračovat.
Pokud je to potřeba, můžete teď pro tuto doménu zapnout federované ověřování.
Váš IdP a Apple School Manager jsou teď nakonfigurované pro synchronizaci určitých změn atributů uživatelů z IdP do Apple School Manageru.