Einführung in die verknüpfte Authentifizierung in Apple School Manager

Nur verknüpfte Authentifizierung

Wenn Apple School Manager mit Google Workspace, Microsoft Entra ID oder deinem IdP verknüpft wird, werden für die Benutzer:innen automatisch verwaltete Apple Accounts erstellt. Sie können sich dann mit ihrem bestehenden Benutzernamen (in der Regel ihre E‑Mail-Adresse) und ihrem Passwort anmelden.

Weitere Informationen findest du hier:

• Verknüpfte Authentifizierung mit Google Workspace verwenden

• Verknüpfte Authentifizierung mit Microsoft Entra ID verwenden

• Verknüpfte Authentifizierung mit deinem Identitätsprovider verwenden

Verknüpfte Authentifizierung mit Verzeichnissynchronisierung

Du kannst auch Benutzeraccounts von Google Workspace, Microsoft Entra ID oder deinem IdP mit Apple School Manager synchronisieren. Wenn du eine Verbindung zur Verzeichnissynchronisierung einrichtest, kannst du Eigenschaften von Apple School Manager (z. B. Klassenstufe und Funktionen) mit den aus einem dieser Dienste importierten Benutzeraccount-Daten zusammenführen. Die Informationen des Benutzeraccounts des Dienstes werden schreibgeschützt hinzugefügt, bis du die Synchronisierung deaktivierst. Die Accounts werden dann zu manuellen Accounts und Attribute darin können bearbeitet werden. Wenn ein Benutzeraccount aus einem dieser Dienste entfernt wird, kann dieser Benutzeraccount aus Apple School Manager entfernt werden. Weitere Informationen findest du hier:

• Benutzeraccounts aus Google Workspace synchronisieren

• Benutzeraccounts aus Microsoft Entra ID synchronisieren

• Benutzer:innen aus deinem IdP synchronisieren

Verknüpfte Authentifizierung mit Benutzer:innen aus einem Studierendeninformationssystem (SIS) oder mit .csv-Dateien, die mit SFTP hochgeladen wurden

Wenn du mit einem SIS integrierst oder Benutzeraccounts über SFTP importierst und die verknüpfte Authentifizierung verwendest:

• Aktiviere und konfiguriere zuerst die verknüpfte Authentifizierung.

• Die E-Mail-Adresse des:der Benutzer:in im SIS muss mit dem Benutzernamen für Google Workspace, Microsoft Entra ID oder deinen IdP übereinstimmen, den er:sie bereits zum Anmelden verwendet.

Anschließend kannst du dein SIS integrieren oder .csv-Dateien über Secure File Transfer Protocol (SFTP) hochladen. Alle Informationen, etwa Klassen und Teilnehmerlisten, werden mit Benutzer:innen aus Google Workspace, Microsoft Entra ID oder deinem IdP abgeglichen. Wenn ein Benutzeraccount aus Google Workspace, Microsoft Entra ID oder deinem IdP entfernt wird, muss dieser Benutzeraccount in Apple School Manager von einem Account mit Rechten zum Ändern des Benutzerstatus deaktiviert werden.

Verknüpfte Authentifizierung mit „Geteiltes iPad“

Wenn du die verknüpfte Authentifizierung mit „Geteiltes iPad“ verwendest, ist der Anmeldevorgang unterschiedlich, je nachdem, ob der Benutzeraccount bereits in Apple School Manager vorhanden ist. Anmeldeszenarien findest du unter Bei gemeinsam genutztem iPad („Geteiltes iPad“) anmelden.

Die standardmäßige Coderichtlinie ist Standard (mindestens 8 Buchstaben und Zahlen) und kann geändert werden. Siehe Szenarien für Passwortrichtlinien.

Wenn ein:e Benutzer:in seinen:ihren Code vergisst, musst du den Code für „Geteiltes iPad“ zurücksetzen.

Erste Schritte

Bevor du die verknüpfte Authentifizierung mit Google Workspace, Microsoft Entra ID oder deinem IdP verwendest, solltest du Folgendes beachten:

Voraussetzungen

• Apple-Geräte müssen die folgenden minimalen Betriebssystemvoraussetzungen erfüllen:

  • iOS 15.5

  • iPadOS 15.5

  • macOS 12.4

  • visionOS 1.1

• Du musst die Verbindung mit dem Studierendeninformationssystem (SIS) trennen oder Uploads mit SFTP beenden.

• Du musst die Domain-Erfassung sperren und aktivieren. Siehe Eine Domain sperren.

• Es gibt keine Konflikte mit verwalteten Apple Account. Siehe Konflikte in verwalteten Apple Accounts.

• Benutzeraccounts mit der Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ können sich nicht mithilfe der verknüpften Authentifizierung anmelden. Sie können lediglich den Verknüpfungsvorgang verwalten.

• Wenn die verknüpfte Authentifizierung verwendet wird, gilt das Standardformat für den verwalteten Apple Account nicht.

IdP-spezifische Voraussetzungen

Bei der Verknüpfung mit Google Workspace:

• Bei der verknüpften Authentifizierung muss die E‑Mail-Adresse des:der Benutzer:in als Benutzername verwendet werden. Aliasnamen werden nicht unterstützt.

Bei der Verknüpfung mit Microsoft Entra ID:

• Du musst eine:n Benutzer:in mit der Funktion „Entra ID -Globale:r Administrator:in“ verwenden, um die Aufgabe Verknüpfte Authentifizierung genehmigen (siehe unten) abzuschließen. Nachdem die Verbindung erfolgreich hergestellt wurde, kannst du die Funktion des:der Benutzer:in von „Globale:r Administrator:in“ in eine andere Funktion mit den erforderlichen Berechtigungen ändern, um die Verbindung aufrechtzuerhalten. Weitere Informationen findest du unter Microsoft-Standardfunktionen, die Domains, Verzeichnissynchronisierung und Domain-Lesevorgänge unterstützen.

• Für die verknüpfte Authentifizierung mit Microsoft Entra ID muss der userPrincipalName (UPN) mit der E-Mail-Adresse des:der Benutzer:in übereinstimmen. Aliasse für Benutzerprinzipalnamen und alternative IDs werden nicht unterstützt.

Bei der Verknüpfung mit einem IdP musst du über die folgenden Informationen verfügen:

• Eine bestätigte Domain, die du verwenden möchtest. Siehe Eine Domain hinzufügen und bestätigen.

• Anmeldemethode: Verwende Open ID Connect (OIDC).

• Umfangszugriff: Zugriff muss gewährt werden für ssf.manage und ssf.read.

• URL für die Shared Signals Framework (SSF)-Konfiguration: Beziehe dich auf die Dokumentation deines IdP.

• URL für die OpenID-Konfiguration: Beziehe dich auf die Dokumentation deines IdP.

Automatische Änderungen

• Für bestehende Benutzer:innen von Apple School Manager mit einer E-Mail-Adresse in der verknüpften Domain wird ihr verwalteter Apple Account automatisch so geändert, dass er dieser E-Mail-Adresse entspricht.