Azure AD:n synkronointivaatimukset Apple School Managerissa
SCIM:llä (avoin standardi pilvipalveluiden ja -sovellusten identiteetinhallintaan) voit tuoda käyttäjiä Apple School Manageriin. Tällä järjestelmällä yhdistät Apple School Managerin ominaisuudet (esimerkiksi arvosanatasot ja roolit) käyttäjätilitietoihin, jotka on tuotu Microsoft Azure Active Directorysta (Azure AD). Kun tuot käyttäjät SCIM:llä, tilitiedot lisätään Vain luku ‑muodossa, kunnes katkaiset yhteyden SCIM:iin. Tileistä tulee silloin manuaalisia tilejä ja tilien määritteistä muokattavia. Ensimmäinen synkronointi kestää pidempään kuin sitä seuraavat synkronoinnit, jotka toteutetaan noin 40 minuutin välein aina, kun Azure AD ‑valmistelupalvelu on käynnissä. Lue Microsoft Azuren ohjesivustolta Provisioning tips (Valmisteluvinkkejä).
Azure AD -oikeudet
Seuraavat Azure AD -roolit voivat synkronoida tilejä Apple School Manageriin SCIM:llä:
Application Administrator
Cloud Application Administrator
Application Owner
Global Administrator.
Lue Microsoft Azuren ohjesivustolta Azure AD built-in roles (Azure AD:hen sisältyvistä rooleista).
Azure AD -vuokraajat
Jos haluat käyttää SCIM:iä Apple School Managerin kanssa, organisaatiollasi ei voi olla samaa Azure AD ‑vuokraajaa kuin jollain muulla Apple School Manager ‑organisaatiolla. Jos haluat käyttää organisaatiosi SCIM:ää, ota yhteyttä Azure AD ‑ylläpitäjään ja varmista, ettei mikään muu organisaatio käytä Azure AD ‑vuokraajaasi SCIM:llä.
Azure AD -ryhmät
Molemmat Azure AD:n synkronointimenetelmät käyttävät sanaa Ryhmät, mutta vain käyttäjätilit synkronoidaan. Voit lisätä Azure AD ‑ryhmiä Apple School Manager Azure AD ‑appiin. Jos sinulla on Azure AD:ssä esimerkiksi ryhmät nimeltä Henkilökunta, Ohjaajat ja Opiskelijat, voit lisätä nämä kolme ryhmää Apple School Manager Azure AD ‑appiin. Kun yhdistät SCIM:llä, vain näiden ryhmien tilit synkronoidaan Apple School Manageriin.
Huomaa: alaryhmiä ei tueta Apple School Manager Azure AD ‑apissa.
Valmistelun laajuus
Voit synkronoida tilejä Azure AD:stä Apple School Manageriin kahdella tavalla.
Synkronoi vain liitetyt käyttäjät ja ryhmät: Tämä asetus synkronoi Apple School Manageriin vain tilit, jotka näkyvät Apple Business School Azure AD ‑apissa. Kun synkronoinnissa käytetään tätä tapaa, Azure AD ‑tileillä on oltava käyttäjän rooli, jotta ne voivat synkronoida tietoja Apple School Manageriin.
Synkronoi kaikki käyttäjät ja ryhmät: tämä asetus synkronoi Apple School Manageriin kaikki tilit (ryhmien synkronointia ei tueta), jotka näytetään Azure AD:n Käyttäjä-välilehdellä ja luo rajoitetut Apple ID:t kaikille yhdistetyille Azure AD ‑tileille, vaikka haluaisit käyttää vain tietyn määrän tilejä.
Katso Microsoftin tukiartikkelit What is automated SaaS app user provisioning in Azure AD? (Mitä on SaaS-apin valmistelu Azure AD:ssa?) ja Attribute-based application provisioning with scoping filters (Määritepohjainen appien valmistelu laajuussuodattimilla).
Valmisteluilmoitukset
Kun määrität valmistelun, käytä ylläpitäjän, järjestelmähallinnoijan tai henkilöhallinnoijan sähköpostiosoitetta, jotta he voivat vastaanottaa ilmoituksia Azure AD:stä.
SCIM ja yhdistetty todennus
Jos yhdistäminen on jo käytössä, kun Azure AD ‑tilit lähetetään Apple School Manageriin, et näe toimintoa, mutta tilit synkronoituvat silti yhdistetystä domainista.
Azure AD on henkilöllisyyden tarjoaja (IdP), joka todentaa käyttäjän Apple School Manageriin ja myöntää todennustunnukset. Koska Apple School Manager tukee Azure AD:tä, muut identiteetin tarjoajat, jotka ovat yhteydessä Azure AD:hen (esimerkiksi Active Directory Federated Services, ADFS), toimivat myös. Yhdistetty todennus käyttää Security Assertion Markup Language (SAML) ‑standardia Apple School Managerin yhdistämiseen Azure AD:hen.
Azure AD:n käyttäjätilit Apple School Managerissa
Kun käyttäjä kopioidaan Azure AD:stä SCIM:llä Apple School Manageriin, oletusrooli on Opiskelija. Kun synkronointi on valmis, seuraavia käyttäjän määritteitä voidaan muokata:
roolit
luokkataso
opiskelijatietojärjestelmän (SIS) käyttäjätunnus.
Nämä määritteet tallennetaan käyttäjätilille Apple School Managerissa, eikä niitä tallenneta Azure AD:hen.
SCIM-käyttäjämääritteiden kartoittaminen
Kun tili kopioidaan Azure AD:stä Apple School Manageriin SCIM:llä, seuraavat käyttäjämääritteet tallennetaan Vain luku ‑muodossa. Taulukko osoittaa myös sen, onko käyttäjän määrittely tarpeen.
Tärkeää: jos lisäät määritteitä, joita ei ole lueteltu taulukossa, SCIM-yhteys ei toimi.
Azure AD -käyttäjämäärite | Apple School Managerin käyttäjämäärite | Pakollinen |
---|---|---|
Etunimi | Etunimi | |
Sukunimi | Sukunimi | |
Käyttäjän ensisijainen nimi | Rajoitettu Apple ID ja sähköpostiosoite | |
Objektin tunnus | (Ei näytetä Apple School Managerissa. Tällä määritteellä tunnistetaan ristiriitaiset tilit.) | |
Osasto | Osasto | |
Työntekijätunnus | Henkilön numero | |
Mukautettu määrite (luotava Apple School Manager Azure AD -apissa) | Kustannuspaikka | |
Mukautettu määrite (luotava Apple School Manager Azure AD -apissa) | Jaosto |
Käyttäjän ensisijainen nimi
Jos käyttäjän ensisijainen nimi on täysin sama kuin olevassa olevalla Apple School Manager -käyttäjällä, jolla on ylläpitäjän, järjestelmähallinnoijan tai henkilöhallinnoijan rooli, synkronointia ei tehdä, jolloin lähdekenttä pysyy ennallaan. Näin käy alun perin käytetystä synkronointitavasta (opiskelijatietojärjestelmä tai SFTP) riippumatta.
Henkilön tunnus
Kun Azure AD -käyttäjä synkronoidaan Apple School Manageriin, Apple School Manager ‑käyttäjätilille luodaan henkilön tunnus. Ristiriitaiset tilit tunnistetaan henkilön tunnuksen ja objektin tunnuksen perusteella. SCIM:llä tai SIS-integroinnilla tuoduille käyttäjille luodaan lisäksi automaattisesti henkilön tunnus, mutta sitä ei luoda automaattisesti käyttäjille, jotka on tuotu SFTP:llä.
Jos SCIM-yhteys katkeaa ja käyttäjät ladataan uudelleen SFTP:llä, järjestelmä luo uudet käyttäjät, ellei SFTP-latauksessa käytetty henkilön tunnus täsmää SCIM:ssä liitetyn henkilön tunnuksen kanssa. Katso Tilien tuominen SFTP:llä.
Tärkeitä huomioitavia seikkoja, jos muokkaat henkilön tunnusta:
Jos muokkaat aiemmin SCIM:stä tuodun tilin henkilön tunnusta, tämä tili ei ole enää yhdistetty Azure AD:hen.
Jos muokkaat sellaisen tilin henkilön tunnusta, joka on tuotu aiemmin SCIM:stä, ja haluat yhdistää tilin uudelleen, lue ohjeet SCIM-käyttäjätiliristiriitojen ratkaisemiseen.
Suositukset
käytä Apple School Manager Azure AD ‑appia vain, kun muodostat SCIM-yhteyden.
Jos olet vahvistanut domainin, mutta et ole ottanut yhdistettyä todennusta käyttöön, ota yhdistäminen käyttöön vasta, kun olet vahvistanut, että Azure AD ‑käyttäjät on lähetetty Apple School Manageriin. Voit varmistaa tämän Azure AD:n valmistelulokeista. Kun olet vahvistanut, että Azure AD ‑käyttäjät on lähetetty ja ottanut yhdistäminen käyttöön, saat Azure AD ‑käyttäjien valmistelutoiminnosta ilmoituksen. Et näe toimintoa, jos yhdistäminen on jo käytössä, kun Azure AD ‑käyttäjät lähetetään. Käyttäjät synkronoidaan siitä huolimatta.
Jos sinulla on Azure AD:ssä ryhmä määritettynä, voit lisätä sen Apple School Manager Azure AD ‑appiin yksittäisten käyttäjien lisäämisen sijaan.
Tärkeää: älä käytä samaa käyttäjätunnusta uudelleen 120 päivän aikana Apple School Manager Azure AD ‑apissa.
Ennen aloittamista
Tee ennen aloittamista seuraavat toimenpiteet:
Katkaise yhteys opiskelijatietojärjestelmään tai lopeta SFTP-lataukset.
Määritä ja vahvista domain, jota haluat käyttää. Lue ohjeet uusien domainien yhdistämiseen.
Määritä yhdistetty todennus (mutta älä ota sitä käyttöön). Lisätietoja on kohdassa Yhdistetyn todennuksen prosessin määrittäminen.
Huomaa: Jos yhdistetty todennus on jo käytössä, voit silti jatkaa. Tarkista suositukset edellisestä osiosta.
Määritä synkronointityyppi Azure AD:ssä ja luo tarvittaessa ryhmät, joilla synkronoidaan vain ne tilit, jotka on liitetty Apple School Manager Azure AD ‑appiin:
Synkronoi vain liitetyt käyttäjät.
Synkronoi kaikki käyttäjät.
Varmista, että yritysappien muokkaamiseen oikeutettu Azure AD ‑ylläpitäjä on saatavilla. Kun olette molemmat valmiita, lue ohjeet käyttäjien tuomiseen SCIM:n avulla.