Voraussetzungen für die Microsoft Azure AD-Synchronisation in Apple School Manager
Du kannst das System für Domain-übergreifende Identitätsverwaltung (SCIM) verwenden, um Benutzer in Apple School Manager zu importieren. Mithilfe dieses Systems werden Eigenschaften von Apple School Manager (z. B. Klassenstufe und Funktionen) mit importierten Benutzer-Account-Daten aus Microsoft Azure Active Directory (Azure AD) zusammengefügt. Wenn du Benutzer per SCIM importierst, werden die Accountinformationen schreibgeschützt hinzugefügt, bis du die Verbindung mit SCIM trennst. Die Accounts werden dann zu manuellen Accounts und Attribute darin können bearbeitet werden. Die erste Synchronisierung dauert länger als weitere Durchläufe, die etwa alle 40 Minuten stattfinden, solange der Azure AD-Bereitstellungsdienst läuft. Siehe Bereitstellungstipps auf der Microsoft Azure Dokumentationswebsite.
Azure AD-Berechtigungen
Die folgenden Rollen in Azure AD können SCIM zur Synchronisierung von Accounts mit Apple School Manager verwenden:
Anwendungsadministrator
Cloudanwendungsadministrator
Anwendungsbesitzer
Globaler Administrator
Siehe Standardfunktionen in Azure AD auf der Microsoft Azure AD Website.
Azure AD-Mandanten
Um SCIM mit Apple School Manager nutzen zu können, muss deine Organisation einen anderen Azure AD-Mandanten haben als andere Apple School Manager-Organisationen. Wenn du SCIM in deiner Organisation verwenden möchtest, wende dich an deinen Azure AD-Administrator, um sicherzustellen, dass keine andere Organisation deinen Azure AD-Mandanten für SCIM nutzt.
Azure AD-Gruppen
In Azure AD verwenden beide Synchronisierungsmethoden das Wort Gruppen, es werden aber nur Benutzeraccounts synchronisiert. Du kannst Azure AD-Gruppen zur Apple School Manager Azure AD-App hinzufügen. Wenn es in Azure AD z. B. Gruppen namens Mitarbeiter, Lehrkräfte und Schüler/Studenten gibt, kannst du diese drei Gruppen der Apple School Manager Azure AD-App hinzufügen. Wenn du mithilfe von SCIM eine Verbindung herstellst, werden nur diese Gruppen mit Apple School Manager synchronisiert.
Hinweis: Untergruppen werden von der Apple School Manager Azure AD-App nicht unterstützt.
Bereitstellung von Bereichen
Es gibt zwei Methoden zur Synchronisierung von Azure AD-Accounts mit Apple School Manager.
Nur zugewiesene Nutzer und Gruppen synchronisieren: Diese Option synchronisiert nur Accounts, die in der Apple School Manager Azure AD-App in Apple School Manager angezeigt werden. Wenn die Synchronisierung über diese Methode erfolgt, müssen Azure AD-Accounts über die Rolle Benutzer verfügen, um mit Apple School Manager synchronisiert werden zu können.
Alle Benutzer und Gruppen synchronisieren: Diese Option synchronisiert alle Accounts (Synchronisation von Gruppen wird nicht unterstützt), die im Tab „Azure AD-Benutzer“ angezeigt werden, mit Apple School Manager und erstellt verwaltete Apple-IDs für alle verknüpften Azure AD-Accounts, selbst wenn du nur bestimmte Accounts verwenden möchtest.
Weitere Informationen erhältst du in den Microsoft Support-Artikeln Was ist die automatisierte Bereitstellung von SaaS-App-Benutzern in Azure AD? und Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern.
Bereitstellung von Benachrichtigungen
Bei der Konfiguration der Bereitstellung solltest du die E-Mail-Adresse eines:einer Benutzer:in mit der Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ verwenden, damit diese:r Benachrichtigungen von Azure AD erhalten kann.
SCIM und verknüpfte Authentifizierung
Wenn beim Senden der Azure AD-Accounts an Apple School Manager die Verknüpfung bereits aktiviert ist, kannst du diese Aktivität nicht sehen, aber die Accounts werden trotzdem mit den verknüpften Domains synchronisiert.
Azure AD ist der Identitätsprovider (IdP), der den:die Benutzer:in für Apple School Manager authentifiziert und Authentifizierungs-Token ausgibt. Da Apple School Manager Azure AD unterstützt, funktionieren auch andere IdPs, die sich mit Azure AD verbinden lassen, z. B. Active Directory Federated Services (ADFS). Die verknüpfte Authentifizierung verwendet SAML (Security Assertion Markup Language), um Apple School Manager mit Azure AD zu verbinden.
Azure-AD-Benutzer-Accounts in Apple School Manager
Wenn ein:e Benutzer:in mithilfe von SCIM in Apple School Manager kopiert wird, hat er:sie standardmäßig die Funktion „Schüler:in/Studierende:r“. Nach der Synchronisierung können die folgenden Benutzerattribute bearbeitet werden:
Funktionen
Klassenstufe
Benutzername im Studierendeninformationssystem (SIS)
Diese Attribute werden im Benutzeraccount in Apple School Manager gespeichert und nicht auf Azure AD zurückübertragen.
SCIM-Benutzerattributzuordnung
Wenn ein Account mithilfe von SCIM von Azure AD nach Apple School Manager kopiert wird, werden folgende Benutzerattribute schreibgeschützt gespeichert. In der Tabelle ist auch gekennzeichnet, ob ein Benutzerattribut erforderlich ist.
Wichtig: Das Hinzufügen von Attributen, die nicht in der Tabelle stehen, unterbricht die SCIM-Verbindung.
Azure AD-Benutzerattribute | Benutzerattribut in Apple School Manager | Erforderlich |
|---|---|---|
Vorname | Vorname |
|
Nachname | Nachname |
|
Benutzerprinzipalname | Verwaltete Apple-ID und E-Mail-Adresse |
|
Objekt-ID | (Wird nicht in Apple School Manager angezeigt. Dieses Attribut wird zur Ermittlung von in Konflikt stehenden Accounts verwendet.) |
|
Abteilung | Abteilung |
|
Mitarbeiter-ID | Personennummer |
|
Benutzerdefiniertes Attribut (muss in der Apple School Manager Azure AD-App erstellt werden) | Kostenstelle |
|
Benutzerdefiniertes Attribut (muss in der Apple School Manager Azure AD-App erstellt werden) | Unternehmensbereich |
|
Benutzerprinzipalname
Wenn ein:e Benutzer:in einen Benutzerprinzipalnamen hat, der exakt mit dem eines:einer bestehenden Benutzer:in von Apple School Manager übereinstimmt, der:die die Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ inne hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert. Dies geschieht ungeachtet der ursprünglich verwendeten Synchronisierungsmethode (SIS oder SFTP).
Personen-ID
Wenn ein:e Azure AD-Benutzer:in mit Apple School Manager synchronisiert wird, wird eine Personen-ID für den Apple School Manager-Account erstellt. Personen-ID und Objekt-ID werden zur Erkennung von in Konflikt stehenden Benutzeraccounts verwendet.
Die Personen-ID wird automatisch für Benutzer:innen erstellt, die über SCIM oder mittels SIS-Integration importiert wurden. Sie wird nicht automatisch für Benutzer:innen erstellt, die mittels SFTP importiert wurden.
Wenn die Verbindung zu SCIM getrennt wird und über SFTP erneut Benutzer:innen hochgeladen werden, werden neue Benutzer:innen erstellt, es sei denn, die Personen-ID in der SFTP-Upload-Datei entspricht der Personen-ID, die von SCIM zugewiesen wurde. Weitere Informationen findest du unter Accounts mittels SFTP importieren.
Wenn du die Personen-ID eines Accounts änderst, der zuvor aus SCIM importiert wurde, ist dieser nicht mehr mit Azure AD gekoppelt. Wenn du die Personen-ID eines Accounts geändert hast, der zuvor aus SCIM importiert wurde, und ihn wieder mit SCIM verbinden möchtest, lies SCIM-Benutzeraccount-Konflikte lösen.
Empfehlungen
Zur Verbindung mit SCIM solltest du nur die Apple School Manager Azure AD-App verwenden.
Wenn du über eine gültige Domain verfügst, die verknüpfte Authentifizierung aber nicht aktiviert hast, solltest du mit der Aktivierung warten, bis du überprüft hast, ob die Azure AD-Benutzer:innen an Apple School Manager gesendet wurden. Sieh dazu die Azure AD-Bereitstellungsprotokolle ein. Nachdem du überprüft hast, ob die Azure AD-Benutzer:innen gesendet wurden, und du die Verknüpfung aktivierst, wirst du von einer Aktivität darauf hingewiesen, wenn die Azure AD-Accounts bereitgestellt wurden. Wenn beim Senden der Azure AD-Benutzer:innen die Verknüpfung bereits aktiviert ist, kannst du diese Aktivität nicht sehen, aber die Benutzer:innen werden trotzdem synchronisiert.
Wenn du eine Gruppe in Azure AD konfigurierst, kannst du diese Gruppe zur Apple School Manager Azure AD-App hinzufügen, anstatt einzelne Benutzer hinzuzufügen.
Wichtig: Verwende einen Benutzernamen innerhalb 120 Tagen nicht erneut in der Apple School Manager Azure AD-App.
Erste Schritte
Führe zuerst folgende Schritte aus:
Trenne die Verbindung mit dem Studierendeninformationssystem (SIS) oder höre auf, SFTP für Uploads zu verwenden.
Konfiguriere und verifiziere die gewünschte Domain. Siehe Neue Domains verknüpfen.
Konfiguriere die verknüpfte Authentifizierung (aktiviere sie aber nicht). Siehe Verknüpfte Authentifizierung aktivieren und testen.
Hinweis: Ist die verknüpfte Authentifizierung bereits aktiviert, kannst du dennoch fortfahren. Lies die Empfehlungen im vorigen Abschnitt.
Ermittle die Synchronisierungsart in Azure AD und erstelle ggf. Gruppen, um nur zugewiesene Accounts mit der Apple School Manager Azure AD-App zu synchronisieren:
Nur zugewiesene Benutzer synchronisieren
Alle Benutzer synchronisieren
Wende dich telefonisch an einen Azure AD-Administrator mit der Befugnis, Enterprise-Apps zu bearbeiten. Wenn ihr bereit seid, lest SCIM zum Importieren von Benutzern verwenden.