Introduktion til godkendelse via organisationsnetværket med Apple School Manager
Du kan bruge godkendelse via organisationsnetværket til at knytte Apple School Manager til følgende:
Google Workspace
Microsoft Entra ID OIDC (Open ID Connect)
En id-leverandør, der bruger OIDC (OpenID Connect) eller SCIM (System til identitetsadministration på tværs af domæner)
Bemærk: Du kan oprette forbindelse til Google Workspace, Microsoft Entra ID eller din id-leverandør, men kun én ad gangen.
Som resultat kan brugere logge ind på deres tildelte iPhone, iPad, Mac, Apple Vision Pro og på Delt iPad med deres eksisterende brugernavn (som regel deres e-mailadresse) og adgangskode. Når de er logget ind på en af disse enheder, kan de efterfølgende også logge ind på iCloud fra en browser på en Mac (iCloud til Windows understøtter ikke administrerede Apple-konti).
Vigtigt: Når forbindelsen er udløbet, placeres brugerkonti ikke længere i organisationsnetværket, og de synkroniseres ikke længere. Du skal genoprette forbindelsen, hvis du vil fortsætte med at bruge godkendelse via organisationsnetværk og synkronisering.
Der er særlige situationer, hvor du kan bruge godkendelse via organisationsnetværket:
Kun godkendelse via organisationsnetværket
Når Apple School Manager og Google Workspace, Microsoft Entra ID eller din id-udbyder er forbundet, oprettes administrerede Apple-konti automatisk til brugere. Så kan de logge ind med deres eksisterende brugernavn (som regel deres e-mailadresse) og adgangskode.
se følgende:
Godkendelse via organisationsnetværk med bibliotekssynkronisering
Du kan også synkronisere brugerkonti fra Google Workspace, Microsoft Entra ID eller din id-udbyder med Apple School Manager. Når du indstiller en bibliotekssynkroniseringsforbindelse, kan du tilføje Apple School Manager-egenskaber (f.eks. klassetrin og roller) til brugerkontodata, der er importeret fra en af de tjenester. Tjenesternes brugerkontooplysninger tilføjes som skrivebeskyttede, indtil du slår synkronisering fra. På dette tidspunkt ændres kontiene til manuelle konti, og attributter på disse konti kan derefter redigeres. Hvis en brugerkonto fjernes fra en af disse tjenester, kan den brugerkonto fjernes fra Apple School Manager. se følgende:
Godkendelse via organisationsnetværk med brugere fra et SIS (Student Information System) eller med csv-arkiver, der er overført med SFTP
Hvis du integrerer med et SIS eller importerer brugerkonti med SFTP og vil bruge godkendelse via organisationsnetværk:
Aktivér og konfigurer først godkendelse via organisationsnetværket.
Brugerens e-mailadresse i SIS skal matche det brugernavn, som brugeren allerede anvender til at logge ind på Google Workspace, Microsoft Entra ID eller hos id-leverandøren.
Du kan derefter integrere dit SIS eller overføre csv-arkiver med SFTP (Secure File Transfer Protocol). Alle oplysninger, f.eks. klasser og deltagerlister, sammenholdes med brugere fra Google Workspace, Microsoft Entra ID eller din id-leverandør. Hvis en brugerkonto fjernes fra Google Workspace, Microsoft Entra ID eller din id-leverandør, skal denne brugerkonto deaktiveres i Apple School Manager af en konto med privilegier til at ændre brugeres status.
Godkendelse via organisationsnetværk med Delt iPad
Når du bruger godkendelse via organisationsnetværket med Delt iPad, varierer loginprocessen, afhængigt af om brugerkontoen allerede findes i Apple School Manager. Du kan få vist loginscenarier under Log ind på Delt iPad.
Adgangskodepolitikken er standard (mindst 8 bogstaver og tal), og denne kan ændres. se Scenarier for adgangskodepolitikker.
Hvis brugeren glemmer sin adgangskode, skal du nulstille adgangskoden til Delt iPad.
Sådan forbereder du dig
Før du bruger godkendelse via organisationsnetværk med Google Workspace, Microsoft Entra ID eller din id-udbyder, bør du tage højde for følgende:
Krav
Apple-enheder skal overholde følgende minimumskrav til operativsystem:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Du skal afbryde forbindelsen til dit SIS (Student Information System) eller stoppe overførsler med SFTP.
Du skal låse og slå domæneregistreringsprocessen til. Se Lås et domæne.
Der er ingen administrerede Apple-konti med konflikter. se Administrerede Apple-konti med konflikter.
Brugerkonti med rollen som administrator, lokalitetsansvarlig eller personansvarlig kan ikke logge ind med godkendelse via organisationsnetværket. De kan kun administrere processen i organisationsnetværket.
Når du bruger godkendelse via organisationsnetværk, gælder indstillingen for standardformat for administrerede Apple-konti ikke.
Specifikke krav i forbindelse med id-udbydere
Ved oprettelse af forbindelse til Google Workspace:
Godkendelse via organisationsnetværket skal anvende brugerens e-mailadresse som brugernavn. Aliasser understøttes ikke.
Ved oprettelse af forbindelse til Microsoft Entra ID:
Du skal anvende en bruger med rollen som global Entra ID-administrator for at udføre handlingen Godkend godkendelse via organisationsnetværket nedenfor. Når forbindelsen er oprettet, kan du ændre brugerens rolle fra global administrator til en anden rolle med de nødvendige privilegier for at opretholde forbindelsen. Læs mere under Microsoft-standardroller, der understøtter domæner, bibliotekssynkronisering og domænelæsning.
Godkendelse via organisationsnetværk med Microsoft Entra ID kræver, at en brugers userPrincipalName (UPN) stemmer overens med brugerens e-mailadresse. userPrincipalName-aliasser og alternative id'er understøttes ikke.
Ved oprettelse af forbindelse til en id-leverandør skal du have følgende oplysninger:
Et bekræftet domæne, du vil bruge. Se Tilføj og bekræft et domæne.
Loginmetode: Brug OIDC (Open ID Connect).
Områdeadgang: Adgang skal tildeles til
ssf.manageogssf.read.URL til konfiguration af SSF (Shared Signals Framework): Se dokumentationen fra din id-leverandør.
URL til konfiguration af OpenID: Se dokumentationen fra din id-leverandør.
Automatiske ændringer
Den administrerede Apple-konto for eksisterende Apple School Manager-brugere med en e-mailadresse fra et organisationsnetværks domæne skiftes automatisk, så den matcher deres e-mailadresse.