Úvod k federovanému ověřování v Apple School Manageru
ověření federované totožnosti můžete využít k propojení Apple School Manageru s těmito službami:
Google Workspace
Microsoft Entra ID
Váš poskytovatel identit (IdP)
Poznámka: Můžete nastavit propojení s Google Workspace, Microsoft Entra ID nebo vaším poskytovatelem identit, ale vždy jen s jednou z těchto služeb.
Uživatelé se tak budou moct svým stávajícím uživatelským jménem (zpravidla e‑mailovou adresou) a heslem přihlásit ke svému přiřazenému iPhonu, iPadu, Macu, Apple Vision Pro a sdílenému iPadu. Po přihlášení k některému z těchto zařízení se pak na Macu můžou přihlásit i k iCloudu na webu (iCloud pro Windows nepodporuje spravované účty Apple).
Důležité: Když připojení ke vyprší, federování i synchronizace uživatelských účtů se ukončí. Pokud chcete federování a synchronizaci obnovit, musíte připojení znovu navázat.
Existují konkrétní případy, kdy můžete federované ověřování používat:
Pouze ověření federované totožnosti
Když propojíte Apple School Manager s Google Workspace, Microsoft Entra ID nebo poskytovatelem identit, uživatelům se automaticky vytvoří spravované účty Apple. Pak se můžou přihlašovat svým existujícím uživatelským jménem (zpravidla e‑mailovou adresou) a heslem.
Přečtěte si následující články:
Federované ověřování se synchronizací adresáře
Do Apple School Manageru můžete taky synchronizovat uživatelské účty z Google Workspace, Microsoft Entra ID nebo od poskytovatele identit. Až nastavíte připojení pro synchronizaci adresáře, můžete k informacím o uživatelských účtech importovaných z jedné z těchto služeb přidat vlastnosti specifické pro Apple School Manager (například ročník nebo funkce). Informace o účtech přidané z druhé služby budou jen ke čtení, dokud synchronizaci nevypnete. V tu chvíli se z účtů stanou ručně spravované účty a vy budete moct upravovat jejich atributy. Když z některé z těchto služeb odeberete uživatelský účet, můžete jej pak odebrat i z Apple School Manageru. Přečtěte si následující články:
Federované ověřování s uživateli ze studijního informačního systému (SIS) nebo pomocí souborů nahraných přes SFTP
Pokud plánujete používat federované ověřování se systémem SIS nebo soubory CSV, měli byste nejprve nakonfigurovat a zapnout federované ověřování.
Pokud chcete vytvořit propojení s Google Workspace, Microsoft Entra ID nebo svým IdP, navázat propojení se SIS nebo nahrávat soubory pomocí SFTP, musíte postupovat následovně:
Potom můžete integrovat SIS nebo pomocí SFTP nahrát soubory. Veškeré informace, jako například třídy a rozpisy, se budou shodovat s uživateli z Google Workspace, Microsoft Entra ID nebo od poskytovatele identit. Když odeberete uživatele z Google Workspace, Microsoft Entra ID nebo od poskytovatele identit, musíte ho v Apple School Manageru deaktivovat pomocí účtu, který má oprávnění měnit stav uživatelů.
Důležité: Pokud integrujete se studijním informačním systémem (SIS) nebo importujete uživatele pomocí protokolu SFTP (Secure File Transfer Protocol) a používáte ověření federované totožnosti, musí e‑mailová adresa uživatele v SIS odpovídat uživatelskému jménu MS Azure AD, které již použil pro přihlášení.
Federované ověřování se sdíleným iPadem
Při používání federovaného ověřování se sdílenými iPady se proces přihlašování liší v závislosti na tom, jestli už uživatelský účet v Apple School Manageru existuje. Na různé scénáře přihlašování se můžete podívat v části Přihlášení ke sdílenému iPadu.
Výchozí pravidlo pro hesla je standard (8 a více písmen a číslic). Lze je změnit. Další informace najdete v části Postupy a pravidla správy hesel.
Když uživatel zapomene svůj kód, musíte obnovit kód ke sdílenému iPadu.
Než začnete
Než začnete používat federované ověřování s Google Workspace, Microsoft Entra ID nebo svým poskytovatelem identit (IdP), počítejte s následujícím:
Požadavky
Zařízení Apple musí splňovat následující minimální požadavky na operační systém:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Musíte se odpojit od studentského informačního systému (SIS) nebo přestat používat nahrávání přes SFTP.
Musíte svoji doménu zamknout a přivlastnit si ji. Víc se dočtete v části Zamknutí domény.
Neexistují žádné konflikty spravovaných účtů Apple. Další informace najdete v části Konflikty spravovaných účtů Apple.
Uživatelské účty s funkcí administrátora, správce instituce nebo správce osob se nemůžou přihlašovat pomocí federovaného ověřování – můžou jenom spravovat proces federování.
Při používání federovaného ověřování se výchozí nastavení formátu spravovaných účtů Apple nepoužije.
Požadavky jednotlivých IdP
Při propojení s Google Workspace:
Při federovaném ověřování by se jako uživatelská jména měly používat e‑mailové adresy. Aliasy nejsou podporovány.
Při propojení s Microsoft Entra ID:
Aby bylo možné dokončit akci Schválení federovaného ověřování, jak je popsáno dále, musíte použít uživatelský účet s funkcí globálního administrátora Entra ID. Po úspěšném navázání připojení můžete funkci uživatele změnit z globálního správce na jinou funkci, která má oprávnění potřebná k udržení připojení. Další informace najdete v části Výchozí uživatelské funkce Microsoftu, které podporují domény, synchronizaci adresáře a čtení domén.
Federované ověřování pomocí Microsoft Entra ID vyžaduje, aby se hlavní jméno uživatele (userPrincipalName, UPN) shodovalo s uživatelovou e‑mailovou adresou. Aliasy k userPrincipalName ani alternativní ID nejsou podporovány.
Při propojení s IdP musíte mít následující informace:
Ověřenou doménu, kterou chcete použít. Víc se dočtete v části Přidání a ověření domény.
Způsob přihlášení: Použijte OIDC (Open ID Connect).
Přístup k rozsahu: Přístup musí být udělen pro
ssf.manageassf.read.Konfigurační URL frameworku SSF (Shared Signals Framework): Viz dokumentace k vašemu IdP.
Konfigurační URL OpenID: Viz dokumentace k vašemu IdP.
Automatické změny
Existujícím uživatelům Apple School Manageru, kteří mají ve federované doméně e‑mailovou adresu, se spravovaný účet Apple automaticky změní tak, aby se shodoval s e‑mailovou adresou.