Johdanto yhdistettyyn todennukseen: Apple School Manager
Ota käyttöön yhdistetty todennus ja yhdistä sillä Apple School Manager seuraaviin:
Google Workspace
Microsoft Entra ID Open ID Connect (OIDC)
Henkilöllisyyden tarjoaja (IdP) OIDC:llä tai System for Cross-domain Identity Managementilla (SCIM)
Huomaa: Voit yhdistää Google Workspacen, Microsoft Entra ID:n tai henkilöllisyyden tarjoajasi, mutta vain yhden kerrallaan.
Tämän jälkeen käyttäjät voivat kirjautua sisään liitetylle iPhonelle, iPadille, Macille, Apple Vision Prohon ja jaetulle iPadille nykyisellä käyttäjätunnuksellaan (yleensä sähköpostiosoitteellaan) ja salasanallaan. Kun he ovat kirjautuneet sisään yhdelle näistä laitteista, he voivat myös kirjautua sisään iCloudiin verkossa Macilla (iCloud Windowsille ei tue hallittuja Apple-tilejä).
Tärkeää: Kun yhteys on vanhentunut, käyttäjätilien yhdistäminen ja synkronointi loppuu. Sinun on luotava yhteys uudelleen, jotta voi jatkaa yhdistetyn todennuksen ja synkronoinnin käyttöä.
Saatat käyttää yhdistettyä todennusta tietyissä tilanteissa:
Vain yhdistetty todennus
Kun Apple School Manager ja Google Workspace, Microsoft Entra ID tai henkilöllisyyden tarjoajasi on yhdistetty, käyttäjille luodaan automaattisesti hallitut Apple‑tilit. Käyttäjät voivat sitten kirjautua sisään olemassa olevalla käyttäjätunnuksellaan (yleensä käyttäjän sähköpostiosoite) ja salasanallaan.
Katso lisätietoja:
Yhdistetty todennus ja hakemistosynkronointi
Voit synkronoida käyttäjätilejä myös Google Workspacesta, Microsoft Entra ID:stä tai henkilöllisyyden tarjoajastasi Apple School Manageriin. Kun otat käyttöön hakemistosynkronointiyhteyden, voit lisätä Apple School Manager -ominaisuuksia (esimerkiksi luokkatason ja roolit) jostain tällaisesta palvelusta tuotuihin käyttäjätilitietoihin. Palveluiden käyttäjätilitiedot lisätään Vain luku ‑muodossa, kunnes poistat synkronoinnin käytöstä. Tileistä tulee silloin manuaalisia tilejä ja tilien määritteistä muokattavia. Jos tili poistetaan jostain tällaisesta palvelusta, tämän käyttäjätilin voi poistaa Apple School Managerista. Katso lisätietoja:
Yhdistetty todennus opiskelijatietojärjestelmän käyttäjien tai SFTP:llä lähetettyjen .csv-tiedostojen avulla
Jos integroit SIS:ään tai tuot käyttäjätilejä SFTP:n avulla ja aiot käyttää yhdistettyä todennusta:
Laita ensin päälle ja määritä yhdistetty todennus.
Käyttäjän sähköpostiosoitteen SIS:ssä on vastattava hänen jo sisäänkirjautumiseen käyttämäänsä Google Workspace-, Microsoft Entra ID- tai IdP-käyttäjätunnusta.
Sen jälkeen voit integroida opiskelijatietojärjestelmäsi tai lähettää .csv-tiedostot turvallisella tiedonsiirtoprotokollalla (SFTP). Kaikkia tietoja, kuten luokkia ja opiskelijaluetteloita, verrataan Google Workspacen, Microsoft Entra ID:n tai henkilöllisyyden tarjoajasi käyttäjiin. Jos käyttäjätili poistetaan Google Workspacesta, Microsoft Entra ID:stä tai henkilöllisyyden tarjoajastasi, kyseinen käyttäjätili pitää poistaa käytöstä Apple School Managerissa tilillä, jolla on oikeudet muuttaa käyttäjien tilaa.
Yhdistetty todennus ja jaettu iPad
Kun käytät yhdistettyä todennusta jaetulla iPadilla, kirjautumisprosessi vaihtelee sen mukaan, löytyykö käyttäjätili jo Apple School Managerista. Jos haluat tutustua kirjautumistapoihin, siirry kohtaan Kirjautuminen jaettuun iPadiin.
Oletusarvoinen pääsykoodikäytäntö on normaali (vähintään 8 kirjainta ja numeroa), ja sitä voidaan muuttaa. Katso lisätietoja kohdasta Salasanakäytäntöskenaariot.
Jos käyttäjä unohtaa pääsykoodinsa, jaetun iPadin pääsykoodi pitää nollata.
Ennen aloittamista
Ota huomioon seuraavat ennen kuin käytät yhdistettyä todennusta Google Workspacen, Microsoft Entra ID:n tai IdP:si kanssa:
Vaatimukset
Apple-laitteiden on noudatettava seuraavia käyttöjärjestelmän vähimmäisvaatimuksia:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Yhteys opiskelijatietojärjestelmään on katkaistava tai SFTP-lataukset lopetettava.
Lukitse ja laita päälle domainin haltuunottoprosessi. Katso lisätietoja kohdasta Domainin lukitseminen.
Hallittujen Apple-tilien ristiriitoja ei ole. Lue lisätietoja aiheesta: Hallittujen Apple-tilien ristiriidat.
Käyttäjätileillä, joilla on ylläpitäjän, järjestelmähallinnoijan tai henkilöhallinnoijan rooli, ei voi kirjautua sisään yhdistetyllä todennuksella. Näillä tileillä voidaan vain hallita yhdistämisprosessia.
Kun käytetään yhdistettyä todennusta, hallitun Apple‑tilin oletusmuotoasetus ei ole voimassa.
IdP-kohtaiset vaatimukset
Yhdistettäessä Google Workspaceen:
Yhdistetyssä todennuksessa tulee käyttää käyttäjätunnuksena käyttäjän sähköpostiosoitetta. Aliaksia ei tueta.
Yhdistettäessä Microsoft Entra ID:hen:
Sinun täytyy suorittaa alla kuvattu yhdistetyn todennuksen hyväksymisen tehtävä käyttäjätilillä, jolla on Entra ID:n yleisen ylläpitäjän käyttöoikeudet. Kun yhteys on muodostettu, voit vaihtaa käyttäjän yleisen ylläpitäjän roolin johonkin toiseen rooliin, joka tarjoaa tarvittavat oikeudet yhteyden ylläpitoon. Katso lisätietoja kohdasta Microsoftin oletusroolit, jotka tukevat domaineja, hakemistosynkronointia ja domainin lukua.
Microsoft Entra ID:n yhdistetty todennus edellyttää, että käyttäjän userPrincipalName (UPN) vastaa hänen sähköpostiosoitettaan. userPrincipalName-aliaksia ja vaihtoehtoisia tunnuksia ei tueta.
Yhdistettäessä IdP:hen sinulla on oltava seuraavat tiedot:
Vahvistettu domain, jota haluat käyttää. Katso lisätiedot kohdasta Lisää ja vahvista domain.
Kirjautumistapa: käytä Open ID Connectia (OIDC).
Laajuuden käyttöoikeus: käyttöoikeus täytyy myöntää kohteille
ssf.managejassf.read.Shared Signals Frameworkin (SSF) määritysten URL-osoite: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
OpenID-määrityksen URL-osoite: tarkista tämä henkilöllisyyden tarjoajan käyttöohjeista.
Automaattiset muutokset
Olemassa olevien Apple School Manager ‑käyttäjien, joiden sähköpostiosoite on yhdistetyn domainin osoite, hallittu Apple‑tili vaihdetaan automaattisesti tätä sähköpostiosoitetta vastaavaksi.