Požadavky na synchronizaci s Azure AD v Apple School Manageru
Přes SCIM (System for Cross‑domain Identity Management) můžete do Apple School Manageru importovat uživatele. Při používání tohoto systému se sloučí vlastnosti z Apple School Manageru (například ročníky a funkce) s údaji o uživatelských účtech importovanými z Microsoft Azure Active Directory (Azure AD). Pokud uživatele importujete přes SCIM, přidají se údaje o účtech v režimu jen pro čtení a zůstanou tak, dokud se od SCIM neodpojíte. V tu chvíli se z účtů stanou ručně spravované účty a vy budete moct upravovat jejich atributy. Prvotní synchronizace trvá delší dobu než pozdější synchronizace (ty se opakují přibližně každých 40 minut, dokud běží zřizovací služba Azure AD). Další informace najdete v části Tipy pro zřizování na webu s dokumentací k Microsoft Azure.
Oprávnění v Azure AD
Synchronizovat účty přes SCIM do Apple School Manageru můžou v Azure AD následující funkce:
Správce aplikace
Správce cloudové aplikace
Vlastník aplikace
Globální správce
Další informace najdete v části Integrované funkce Azure AD na webu Microsoft Azure AD.
Tenanty Azure AD
Abyste mohli v Apple School Manageru používat SCIM, nesmí vaše organizace používat stejný tenant Azure AD jako jiná organizace v Apple School Manageru. Pokud chcete ve své organizaci používat SCIM, kontaktujte svého administrátora Azure AD a ujistěte se, že stejný tenant Azure AD jako vy nepoužívá pro SCIM žádná jiná organizace.
Skupiny v Azure AD
V Azure AD pracují s pojmem skupiny obě metody synchronizace, ale synchronizují se jen uživatelské účty. Skupiny z Azure AD můžete přidat do aplikace Apple School Manager v Azure AD. Například pokud máte v Azure AD skupiny nazvané Personál, Vyučující a Studující, můžete je všechny tři přidat do aplikace Apple School Manager v Azure AD. Až se připojíte přes SCIM, synchronizují se do Apple School Manageru jen účty z těchto skupin.
Poznámka: Aplikace Apple School Manager v Azure AD nepodporuje podskupiny.
Rozsah zřizování
Jsou dvě metody, jak synchronizovat účty z Azure AD do Apple School Manageru.
Synchronizace jen přiřazených uživatelů a skupin: Tato volba synchronizuje do Apple School Manageru pouze účty, které se zobrazují v aplikaci Apple School Manager v Azure AD. Při používání této metody synchronizace se do Apple School Manageru synchronizují jenom ty účty, které mají v Azure AD funkce uživatelů.
Synchronizace všech uživatelů a skupin: Tato volba synchronizuje do Apple School Manageru všechny účty, které se zobrazují v Azure AD na panelu Uživatelé (synchronizace skupin není podporována), a všem federovaným účtům z Azure AD vytvoří spravované Apple ID, a to i když hodláte používat jen konkrétní počet účtů.
Přečtěte si články podpory společnosti Microsoft Co je Automatické zřizování uživatelů aplikací SaaS v Azure Active Directory? a Zřizování aplikací na základě atributů s filtry oborů.
Oznámení o zřizování
Při konfiguraci zřizování byste měli použít e‑mailovou adresu uživatele, který má funkci administrátora, správce instituce nebo správce osob, aby mu mohla chodit oznámení z Azure AD.
SCIM a federované ověřování
Pokud ve chvíli, kdy se do Apple School Manageru odešlou účty z Azure AD, už máte zapnuté federování, neuvidíte žádnou aktivitu, ale účty se z federované domény přesto synchronizují.
Azure AD je poskytovatel identit (IdP), který ověřuje uživatele Apple School Manageru a vydává jim ověřovací tokeny. Jelikož Apple School Manager podporuje Azure AD, fungují s ním i jiní poskytovatelé identit, kteří se připojují k Azure AD – třeba Active Directory Federated Services (ADFS). Ověření federované totožnosti používá k propojení Apple School Manageru s Azure AD Security Assertion Markup Language (SAML).
Uživatelské účty z Azure AD a Apple School Manager
Když pomocí SCIM zkopírujete do Apple School Manageru uživatele z Azure AD, dostane přidělenou výchozí funkci Student. Po dokončení synchronizace můžete upravit následující uživatelské atributy:
Funkce
Studijní ročník
Uživatelské jméno ve studentském informačním systému (SIS)
Tyto atributy se ukládají u uživatelského účtu v Apple School Manageru a nezapisují se zpátky do Azure AD.
Mapování uživatelských atributů ze SCIM
Když pomocí SCIM zkopírujete do Apple School Manageru účet z Azure AD, následující atributy se uloží v režimu jen pro čtení. Tabulka taky uvádí, jestli je daný uživatelský atribut povinný.
Důležité: Přidáním atributů, které v tabulce nejsou uvedené, se přeruší propojení přes SCIM.
Uživatelský atribut v Azure AD | Uživatelský atribut v Apple School Manageru | Povinné |
---|---|---|
Jméno | Jméno | |
Příjmení | Příjmení | |
Hlavní název uživatele | Spravované Apple ID a e‑mailová adresa | |
ID objektu | (V Apple School Manageru se nezobrazuje. Tento atribut se používá jen k rozpoznání konfliktů uživatelských účtů.) | |
Oddělení | Oddělení | |
Zaměstnanecké ID | Číslo osoby | |
Vlastní atribut (musíte ho vytvořit v aplikaci Apple School Manager v Azure AD) | Nákladové středisko | |
Vlastní atribut (musíte ho vytvořit v aplikaci Apple School Manager v Azure AD) | Divize |
Hlavní název uživatele
Pokud se hlavní název uživatele (UPN) shoduje s nějakým existujícím uživatelem v Apple School Manageru, který má funkci administrátora, správce instituce nebo správce osob, synchronizace neproběhne a zdrojové pole se nezmění. K tomuto dojde bez ohledu na původně použitou metodu synchronizace (SIS nebo SFTP).
ID osoby
Když s Apple School Managerem synchronizujete uživatele z Azure AD, vytvoří se pro jeho účet v Apple School Manageru ID osoby. Pomocí ID osoby a ID objektu se rozpoznávají konflikty uživatelských účtů. ID osoby se automaticky generuje uživatelům importovaným přes SCIM nebo v rámci integrace se SIS, ale negeneruje se automaticky uživatelům importovaným přes SFTP.
Když SCIM odpojíte a znovu nahrajete uživatele přes SFTP, vytvoří se noví uživatelé – s výjimkou případů, kdy se ID osoby v souboru nahrávaném přes SFTP shoduje s ID osoby, které už předtím bylo přiřazeno přes SCIM. Víc se dočtete v části Import účtů pomocí protokolu SFTP.
Na co je třeba pamatovat při úpravách ID osoby:
Pokud u některého účtu importovaného přes SCIM upravíte ID osoby, nebude už tento účet spárovaný s Azure AD.
Když u některého účtu importovaného přes SCIM upravíte ID osoby a chcete tento účet znovu připojit k SCIM, přečtěte si část Řešení konfliktů uživatelských účtů ze SCIM.
Doporučení
Při připojování přes SCIM byte měli používat jenom aplikaci Apple School Manager v Azure AD.
Pokud máte ověřenou doménu, ale ještě jste nezapnuli federované ověřování, měli byste se zapnutím federovaného ověřování počkat, než se ujistíte, že uživatelé z Azure AD se skutečně odeslali do Apple School Manageru. Zjistíte to nahlédnutím do zřizovacích protokolů Azure AD. Až se ujistíte, že uživatelé z Azure AD se skutečně odeslali, a potom zapnete federování, přijde vám upozornění na aktivitu, až budou uživatelé z Azure AD zřízení. Pokud ve chvíli, kdy se odešlou uživatelé z Azure AD, už máte zapnuté federování, neuvidíte žádnou aktivitu, ale uživatelé se přesto synchronizují.
Pokud máte v Azure AD nakonfigurovanou nějakou skupinu, můžete ji přidat do aplikace Apple School Manager v Azure AD místo toho, abyste každého uživatele přidávali zvlášť.
Důležité: Stejné uživatelské jméno v aplikaci Apple School Manager v Azure AD nepoužívejte opakovaně během 120 dnů.
Než začnete
Než začnete, musíte provést následující akce:
Odpojit se od studentského informačního systému (SIS) nebo ukončit nahrávání přes SFTP.
Nakonfigurovat a ověřit doménu, kterou chcete použít. Viz Odkazování na nové domény.
Nakonfigurovat (ale nezapínat) federované ověřování. Další informace najdete v části Konfigurace procesu ověření federované totožnosti.
Poznámka: Pokud už federované ověřování máte zapnuté, můžete přesto pokračovat. Přečtěte si doporučení v předchozí části.
Určit typ synchronizace s Azure AD a podle potřeby vytvořit skupiny, pomocí kterých se do aplikace Apple School Manager v Azure AD budou synchronizovat jen přiřazené účty:
Synchronizace jen přiřazených uživatelů
Synchronizace všech uživatelů
Mít k dispozici připraveného administrátora Azure AD, který má oprávnění k úpravě podnikových aplikací. Až budete oba připravení, přejděte k části Import uživatelů pomocí SCIM.