Používání federovaného ověřování přes Microsoft Azure AD v Apple School Manageru
Apple School Manager můžete propojit s Microsoft Azure Active Directory (Azure AD) a umožnit tak uživatelům, aby se přihlašovali svými uživatelskými jmény a hesly z Azure AD.
Azure AD je poskytovatel identit (IdP), který ověřuje uživatele Apple School Manageru a vydává jim ověřovací tokeny. Toto ověřování podporuje ověření certifikátem a dvoufaktorové ověření (2FA). Díky tomu, že Apple School Manager podporuje Azure AD, budou s Apple School Managerem fungovat i jiní poskytovatelé identit, kteří se připojují k Azure AD – třeba Active Directory Federation Services (AD FS).
Důležité: Ověření federované totožnosti vyžaduje, aby se hlavní název uživatele (UPN) shodoval s uživatelovou e‑mailovou adresou. Aliasy hlavních názvů uživatele a alternativní ID nejsou podporovány.
Federované ověřování a synchronizace adresáře s tenanty Microsoft
Pokud chcete přidat aplikaci Apple School Manager Azure AD s tenanty Microsoft, administrátor těchto tenantů musí provést proces nastavení ověření federované totožnosti včetně testovacího ověření. Po úspěšném ověření se v tenantu vyplní údaje o aplikaci Apple School Manager v Azure AD a administrátor může aktivovat federování domén a nakonfigurovat Apple School Manager na synchronizaci domén přes SCIM (System for Cross-domain Identity Management). Viz Překontrolování požadavků na SCIM.
Než začnete
Propojení Apple School Manageru s Azure AD a aktivování federovaného ověřování probíhá ve třech krocích:
Přidejte a ověřte doménu. Viz Odkazování na nové domény.
Je možné federovat víc domén najednou, ale všechny musejí být od stejného veřejného tenantu. Pokud se pokoušíte federovat doménu, kterou jste už ověřili, ale už identickou doménu federovala jiná organizace, musíte tuto organizaci kontaktovat a určit, kdo je oprávněn tuto doménu federovat. Víc se dočtete v části Konflikty domén.
Důležité: Test ověření federované totožnosti také změní váš výchozí formát spravovaného Apple ID. Nové účty vytvořené ve studijním informačním systému (SIS) nebo nahrané za použití protokolu SFTP (Secure File Transfer Protocol) budou používat tento nový formát spravovaného Apple ID.
Nakonfigurujte proces ověření federované totožnosti.
Pomocí jednoho účtu domény Azure AD ověření otestujte.
Konfigurace procesu ověření federované totožnosti
Tento krok umožní Azure AD důvěřovat Apple School Manageru.
V Apple School Manageru se přihlaste jako uživatel s funkcí administrátora, správce instituce nebo správce osob.
Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby a zvolte Účty .
Vedle volby Ověření federované totožnosti vyberte Upravit a potom Propojit.
Vyberte Přihlásit se přes Microsoft, zadejte účet globálního administrátora Microsoft Azure AD, administrátora aplikace nebo administrátora cloudové aplikace a zvolte Další.
Zadejte heslo k účtu a vyberte Přihlásit.
Pozorně si pročtěte smlouvu o aplikaci a vyberte Přijmout.
Tímto souhlasíte, že Microsoft poskytne společnosti Apple přístup k informacím, které se nacházejí v Azure AD.
Vyberte Hotovo.
Poznámka: Po dokončení tohoto kroku už uživatelé nebudou moct v nakonfigurované doméně vytvářet nová osobní Apple ID. Může to mít vliv na ostatní služby Apple, které používáte. Další informace najdete v části Převod služeb Apple při zapnutém federování.
V některých případech nebudete moci svou doménu přidat. Obvykle bývají důvody následující:
Použitý účet globálního administrátora Microsoft Azure AD, administrátora aplikace nebo administrátora cloudové aplikace nemá oprávnění přidávat domény do Azure AD.
Uživatelské jméno nebo heslo účtu z kroku 4 je nesprávné.
Test ověření pomocí jednoho účtu Azure AD
Tento krok umožní Apple School Manageru důvěřovat Azure AD. Po ověření vlastnictví domény a úspěšném testu ověření jednoho účtu Azure AD teď můžete vytvořit další účty a pokračovat ve federování domény.
Vedle domény, kterou chcete federovat, vyberte Federovat.
Vyberte Přihlásit se k webu Microsoft Azure Portal a zadejte své uživatelské jméno a heslo.
Zadejte účet globálního administrátora Microsoft Azure AD, administrátora aplikace nebo administrátora cloudové aplikace, který v doméně existuje, a zvolte Další.
Zadejte heslo k účtu, vyberte Přihlásit, vyberte Hotovo a potom ještě jednou Hotovo.
V některých případech se nebudete moci ke své doméně přihlásit. Zde jsou některé běžné důvody:
Uživatelské jméno nebo heslo z domény, kterou jste vybrali k federaci, je nesprávné.
Účet není v doméně, kterou jste vybrali k federaci.
Po úspěšném přihlášení zkontroluje Apple School Manager konflikty uživatelských jmen s touto doménou. Bez dokončení kontroly konfliktu uživatelských jmen nelze začít používat ověření federované totožnosti s touto doménou.
Poznámka: Jakmile Apple School Manager s Azure AD úspěšně propojíte, můžete změnit funkci účtu na jinou. Můžete například chtít změnit funkci účtu na funkci lektora.
Zapnutí federovaného ověřování
Před zapnutím federovaného ověřování se ujistěte, že už jste připojili k nové doméně a ověřili ji.
Poznámka: Pokud se k Azure AD plánujete připojovat přes SCIM, počkejte se zapnutím ověřování federované totožnosti, dokud nebude připojení přes SCIM úspěšně navázané.
V Apple School Manageru se přihlaste jako uživatel s funkcí administrátora, správce instituce nebo správce osob.
Ve spodní části bočního panelu vyberte svoje jméno, vyberte Předvolby a zvolte Účty .
V části Domény vyberte Upravit a zapněte federované ověřování u domén, které máte v Apple School Manageru přidané.
Aktualizace všech účtů může chvíli trvat.
Test ověření federované totožnosti
Ověření federované totožnosti můžete otestovat po provedení následujících úkonů:
Připojení a ověření domény jste úspěšně dokončili.
Kontrola konfliktů uživatelských jmen je dokončena.
Výchozí formát spravovaného Apple ID je aktualizovaný.
Poznámka: Uživatelé s funkcí administrátora, správce instituce nebo správce osob se nemůžou přihlašovat pomocí federovaného ověřování, můžou jenom spravovat proces federování.
V Apple School Manageru se přihlaste jako uživatel, který nemá funkci administrátora, zaměstnance ani studenta.
Pokud se uživatelské jméno, kterým jste se přihlásili, podaří najít, nová obrazovka ukáže, že se přihlašujete jako uživatel z vaší domény.
Vyberte Pokračovat, zadejte uživatelské heslo a vyberte Přihlásit.
Odhlaste se z Apple School Manageru.
Poznámka: Aby se uživatelé mohli přihlásit k webu iCloud.com, musí se napřed na jiném zařízení Apple přihlásit svým spravovaným Apple ID.