
Einführung in die verknüpfte Authentifizierung in Apple School Manager
Du kannst Verknüpfte Authentifizierung verwenden, um Apple School Manager mit Folgendem zu verbinden:
Google Workspace
Microsoft Entra ID OpenID Connect (OIDC)
Identitätsanbieter (IdP) mit OIDC oder SCIM-basierte Bereitstellung (System for Cross-domain Identity Management)
Hinweis: Du kannst eine Verbindung zu Google Workspace, Microsoft Entra ID oder deinem IdP herstellen, aber immer jeweils nur zu einem davon.
Anschließend können sich Benutzer:innen bei dem ihnen zugewiesenen iPhone, iPad, Mac, der Apple Vision Pro und bei „Geteiltes iPad“ mit ihrem bestehenden Benutzernamen (in der Regel ihre E-Mail-Adresse) und Passwort anmelden. Nachdem sie sich auf einem dieser Geräte angemeldet haben, können sie sich auch bei iCloud im Internet auf einem Mac anmelden (iCloud für Windows unterstützt keine verwalteten Apple Accounts).
Wichtig: Wenn die Verbindung abgelaufen ist, werden die Verknüpfung und Synchronisierung von Benutzeraccounts beendet. Du musst dich erneut verbinden, um die verknüpfte Authentifizierung und Synchronisierung weiterhin zu nutzen.
Es gibt bestimmte Fälle, in denen du die verknüpfte Authentifizierung verwenden könntest:
Nur verknüpfte Authentifizierung
Wenn Apple School Manager mit Google Workspace, Microsoft Entra ID oder deinem IdP verknüpft wird, werden für die Benutzer:innen automatisch verwaltete Apple Accounts erstellt. Sie können sich dann mit ihrem bestehenden Benutzernamen (in der Regel ihre E‑Mail-Adresse) und ihrem Passwort anmelden.
Weitere Informationen findest du hier:
Verknüpfte Authentifizierung mit Verzeichnissynchronisierung
Du kannst auch Benutzeraccounts von Google Workspace, Microsoft Entra ID oder deinem IdP mit Apple School Manager synchronisieren. Wenn du eine Verbindung zur Verzeichnissynchronisierung einrichtest, kannst du Eigenschaften von Apple School Manager (z. B. Klassenstufe und Funktionen) mit den aus einem dieser Dienste importierten Benutzeraccount-Daten zusammenführen. Die Informationen des Benutzeraccounts des Dienstes werden schreibgeschützt hinzugefügt, bis du die Synchronisierung deaktivierst. Die Accounts werden dann zu manuellen Accounts und Attribute darin können bearbeitet werden. Wenn ein Benutzeraccount aus einem dieser Dienste entfernt wird, kann dieser Benutzeraccount aus Apple School Manager entfernt werden. Weitere Informationen findest du hier:
Verknüpfte Authentifizierung mit Benutzer:innen aus einem Studierendeninformationssystem (SIS) oder mit .csv-Dateien, die mit SFTP hochgeladen wurden
Wenn du mit einem SIS integrierst oder Benutzeraccounts über SFTP importierst und die verknüpfte Authentifizierung verwendest:
Aktiviere und konfiguriere zuerst die verknüpfte Authentifizierung.
Die E-Mail-Adresse des:der Benutzer:in im SIS muss mit dem Benutzernamen für Google Workspace, Microsoft Entra ID oder deinen IdP übereinstimmen, den er:sie bereits zum Anmelden verwendet.
Anschließend kannst du dein SIS integrieren oder .csv-Dateien über Secure File Transfer Protocol (SFTP) hochladen. Alle Informationen, etwa Klassen und Teilnehmerlisten, werden mit Benutzer:innen aus Google Workspace, Microsoft Entra ID oder deinem IdP abgeglichen. Wenn ein Benutzeraccount aus Google Workspace, Microsoft Entra ID oder deinem IdP entfernt wird, muss dieser Benutzeraccount in Apple School Manager von einem Account mit Rechten zum Ändern des Benutzerstatus deaktiviert werden.
Verknüpfte Authentifizierung mit „Geteiltes iPad“
Wenn du die verknüpfte Authentifizierung mit „Geteiltes iPad“ verwendest, ist der Anmeldevorgang unterschiedlich, je nachdem, ob der Benutzeraccount bereits in Apple School Manager vorhanden ist. Anmeldeszenarien findest du unter Bei gemeinsam genutztem iPad („Geteiltes iPad“) anmelden.
Die standardmäßige Coderichtlinie ist Standard (mindestens 8 Buchstaben und Zahlen) und kann geändert werden. Siehe Szenarien für Passwortrichtlinien.
Wenn ein:e Benutzer:in seinen:ihren Code vergisst, musst du den Code für „Geteiltes iPad“ zurücksetzen.
Erste Schritte
Bevor du die verknüpfte Authentifizierung mit Google Workspace, Microsoft Entra ID oder deinem IdP verwendest, solltest du Folgendes beachten:
Voraussetzungen
Apple-Geräte müssen die folgenden minimalen Betriebssystemvoraussetzungen erfüllen:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Du musst die Verbindung mit dem Studierendeninformationssystem (SIS) trennen oder Uploads mit SFTP beenden.
Du musst die Domain-Erfassung sperren und aktivieren. Siehe Eine Domain sperren.
Es gibt keine Konflikte mit verwalteten Apple Account. Siehe Konflikte in verwalteten Apple Accounts.
Benutzeraccounts mit der Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ können sich nicht mithilfe der verknüpften Authentifizierung anmelden. Sie können lediglich den Verknüpfungsvorgang verwalten.
Wenn die verknüpfte Authentifizierung verwendet wird, gilt das Standardformat für den verwalteten Apple Account nicht.
IdP-spezifische Voraussetzungen
Bei der Verknüpfung mit Google Workspace:
Bei der verknüpften Authentifizierung muss die E‑Mail-Adresse des:der Benutzer:in als Benutzername verwendet werden. Aliasnamen werden nicht unterstützt.
Bei der Verknüpfung mit Microsoft Entra ID:
Du musst eine:n Benutzer:in mit der Funktion „Entra ID -Globale:r Administrator:in“ verwenden, um die Aufgabe Verknüpfte Authentifizierung genehmigen (siehe unten) abzuschließen. Nachdem die Verbindung erfolgreich hergestellt wurde, kannst du die Funktion des:der Benutzer:in von „Globale:r Administrator:in“ in eine andere Funktion mit den erforderlichen Berechtigungen ändern, um die Verbindung aufrechtzuerhalten. Weitere Informationen findest du unter Microsoft-Standardfunktionen, die Domains, Verzeichnissynchronisierung und Domain-Lesevorgänge unterstützen.
Für die verknüpfte Authentifizierung mit Microsoft Entra ID muss der userPrincipalName (UPN) mit der E-Mail-Adresse des:der Benutzer:in übereinstimmen. Aliasse für Benutzerprinzipalnamen und alternative IDs werden nicht unterstützt.
Bei der Verknüpfung mit einem IdP musst du über die folgenden Informationen verfügen:
Eine bestätigte Domain, die du verwenden möchtest. Siehe Eine Domain hinzufügen und bestätigen.
Anmeldemethode: Verwende Open ID Connect (OIDC).
Umfangszugriff: Zugriff muss gewährt werden für
ssf.manage
undssf.read
.URL für die Shared Signals Framework (SSF)-Konfiguration: Beziehe dich auf die Dokumentation deines IdP.
URL für die OpenID-Konfiguration: Beziehe dich auf die Dokumentation deines IdP.
Automatische Änderungen
Für bestehende Benutzer:innen von Apple School Manager mit einer E-Mail-Adresse in der verknüpften Domain wird ihr verwalteter Apple Account automatisch so geändert, dass er dieser E-Mail-Adresse entspricht.