Johdanto yhdistettyyn todennukseen Apple School Managerissa
Ota käyttöön yhdistetty todennus ja yhdistä sillä Apple School Manager seuraaviin:
Google Workspace
Microsoft Entra ID
henkilöllisyyden tarjoaja (IdP).
Huomaa: Voit yhdistää Google Workspacen, Microsoft Entra ID:n tai henkilöllisyyden tarjoajasi, mutta vain yhden kerrallaan.
Tämän jälkeen käyttäjät voivat kirjautua sisään määritetylle iPhonelle, iPadille, Macille, Apple Vision Prohon ja jaetulle iPadille nykyisellä käyttäjätunnuksellaan (yleensä sähköpostiosoitteellaan) ja salasanallaan. Kun he ovat kirjautuneet sisään yhdelle näistä laitteista, he voivat myös kirjautua sisään iCloudiin verkossa Macilla (iCloud Windowsille ei tue hallittuja Apple-tilejä).
Tärkeää: Kun yhteys on vanhentunut, käyttäjätilien yhdistäminen ja synkronointi loppuu. Sinun on luotava yhteys uudelleen, jotta voi jatkaa yhdistetyn todennuksen ja synkronoinnin käyttöä.
Saatat käyttää yhdistettyä todennusta tietyissä tilanteissa:
Vain yhdistetty todennus
Kun Apple School Manager ja Google Workspace, Microsoft Entra ID tai henkilöllisyyden tarjoajasi on yhdistetty, käyttäjille luodaan automaattisesti hallitut Apple‑tilit. Käyttäjät voivat sitten kirjautua sisään olemassa olevalla käyttäjätunnuksellaan (yleensä käyttäjän sähköpostiosoite) ja salasanallaan.
Katso lisätietoja:
Yhdistetty todennus ja hakemistosynkronointi
Voit synkronoida käyttäjätilejä myös Google Workspacesta, Microsoft Entra ID:stä tai henkilöllisyyden tarjoajastasi Apple School Manageriin. Kun otat käyttöön hakemistosynkronointiyhteyden, voit lisätä Apple School Manager -ominaisuuksia (esimerkiksi luokkatason ja roolit) jostain tällaisesta palvelusta tuotuihin käyttäjätilitietoihin. Palveluiden käyttäjätilitiedot lisätään Vain luku ‑muodossa, kunnes poistat synkronoinnin käytöstä. Tileistä tulee silloin manuaalisia tilejä ja tilien määritteistä muokattavia. Jos tili poistetaan jostain tällaisesta palvelusta, tämän käyttäjätilin voi poistaa Apple School Managerista. Katso lisätietoja:
Yhdistetty todennus opiskelijatietojärjestelmän käyttäjien tai SFTP:llä lähetettyjen tiedostojen avulla
Jos suunnittelet käyttäväsi yhdistettyä todennusta opiskelijatietojärjestelmän tai CSV-tiedostojen kanssa, määritä yhdistetty todennus ja ota se käyttöön ensin.
Kun haluat yhdistää Google Workspaceen, Microsoft Entra ID:hen tai IdP:hesi ja luoda yhteyden opiskelijatietojärjestelmään tai lähettää tiedostoja SFTP:llä, toimi seuraavasti:
Sen jälkeen voit integroida opiskelijatietojärjestelmäsi tai lähettää tiedostot SFTP:llä. Kaikkia tietoja, kuten luokkia ja opiskelijaluetteloita, verrataan Google Workspacen, Microsoft Entra ID:n tai henkilöllisyyden tarjoajasi käyttäjiin. Jos käyttäjätili poistetaan Google Workspacesta, Microsoft Entra ID:stä tai henkilöllisyyden tarjoajastasi, kyseinen käyttäjätili pitää poistaa käytöstä Apple School Managerissa tilillä, jolla on oikeudet muuttaa käyttäjien tilaa.
Tärkeää: Jos integroit opiskelijatietojärjestelmän (SIS) tai tuot käyttäjiä SFTP:llä (Secure File Transfer Protocol) ja käytät yhdistettyä todennusta, käyttäjän sähköpostiosoitteen opiskelijatietojärjestelmässä täytyy olla sama kuin Google Workspacen, Microsoft Entra ID:n tai henkilöllisyyden tarjoajan käyttäjätunnus, jolla hän jo kirjautuu sisään.
Yhdistetty todennus ja jaettu iPad
Kun käytät yhdistettyä todennusta jaetulla iPadilla, kirjautumisprosessi vaihtelee sen mukaan, löytyykö käyttäjätili jo Apple School Managerista. Jos haluat tutustua kirjautumistapoihin, siirry kohtaan Kirjautuminen jaettuun iPadiin.
Oletusarvoinen pääsykoodikäytäntö on normaali (vähintään 8 kirjainta ja numeroa), ja sitä voidaan muuttaa. Katso lisätietoja kohdasta Salasanakäytäntöskenaariot.
Jos käyttäjä unohtaa pääsykoodinsa, jaetun iPadin pääsykoodi pitää nollata.
Ennen aloittamista
Ota huomioon seuraavat ennen kuin käytät yhdistettyä todennusta Google Workspacen, Microsoft Entra ID:n tai IdP:si kanssa:
Vaatimukset
Apple-laitteiden on noudatettava seuraavia käyttöjärjestelmän vähimmäisvaatimuksia:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Yhteys opiskelijatietojärjestelmään on katkaistava tai SFTP-lataukset lopetettava.
Lukitse ja laita päälle domainin haltuunottoprosessi. Katso lisätietoja kohdasta Domainin lukitseminen.
Hallittujen Apple-tilien ristiriitoja ei ole. Lue lisätietoja aiheesta: Hallittujen Apple-tilien ristiriidat.
Käyttäjätileillä, joilla on ylläpitäjän, järjestelmähallinnoijan tai henkilöhallinnoijan rooli, ei voi kirjautua sisään yhdistetyllä todennuksella. Näillä tileillä voidaan vain hallita yhdistämisprosessia.
Kun käytetään yhdistettyä todennusta, hallitun Apple‑tilin oletusmuotoasetus ei ole voimassa.
IdP-kohtaiset vaatimukset
Yhdistettäessä Google Workspaceen:
Yhdistetyssä todennuksessa tulisi käyttää käyttäjätunnuksena käyttäjän sähköpostiosoitetta. Aliaksia ei tueta.
Yhdistettäessä Microsoft Entra ID:hen:
Sinun täytyy suorittaa alla kuvattu yhdistetyn todennuksen hyväksymisen tehtävä käyttäjätilillä, jolla on Entra ID:n yleisen ylläpitäjän käyttöoikeudet. Kun yhteys on muodostettu, voit vaihtaa käyttäjän yleisen ylläpitäjän roolin johonkin toiseen rooliin, joka tarjoaa tarvittavat oikeudet yhteyden ylläpitoon. Lisätietoja on kohdassa Microsoftin oletusroolit, jotka tukevat domaineja, hakemistosynkronointia ja domainin lukua.
Microsoft Entra ID:n yhdistetty todennus edellyttää, että käyttäjän userPrincipalName (UPN) vastaa hänen sähköpostiosoitettaan. userPrincipalName-aliaksia ja vaihtoehtoisia tunnuksia ei tueta.
Yhdistettäessä IdP:hen sinulla on oltava seuraavat tiedot:
Vahvistettu domain, jota haluat käyttää. Katso lisätiedot kohdasta Lisää ja vahvista domain.
Kirjautumistapa: käytä Open ID Connectia (OIDC).
Laajuuden käyttöoikeus: käyttöoikeus täytyy myöntää kohteille
ssf.managejassf.read.Shared Signals Frameworkin (SSF) määritysten URL-osoite: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
OpenID-määrityksen URL-osoite: tarkista tämä henkilöllisyyden tarjoajan käyttöohjeista.
Automaattiset muutokset
Olemassa olevien Apple School Manager ‑käyttäjien, joiden sähköpostiosoite on yhdistetyn domainin osoite, hallittu Apple‑tili vaihdetaan automaattisesti tätä sähköpostiosoitetta vastaavaksi.