שימוש באימות מאוחד עם Microsoft Azure AD בתוך Apple School Manager
ב‑Apple School Manager, ניתן ליצור קישור אל Microsoft Azure Active Directory (Azure AD) כדי לאפשר למשתמשים להתחבר עם שם המשתמש והסיסמה שלהם ב‑Azure AD.
Azure AD הוא ספק הזהות (IdP) שמאמת את המשתמש עבור Apple School Manager ומנפיק אסימוני אימות. אימות זה תומך באימות אישורים וכן באימות בשני גורמים (2FA). מאחר ש‑Apple School Manager תומך ב‑Azure AD, גם ספקי זהות אחרים שמתחברים אל Azure AD – כגון Active Directory Federation Services (AD FS) – יפעלו עם Apple School Manager.
חשוב: לצורך אימות מאוחד, השם הראשי של המשתמש (UPN) חייב להיות זהה לכתובת הדוא״ל שלו. כינויים של השם הראשי של המשתמש ומזהים חלופיים אינם נתמכים.
אימות מאוחד וסנכרון מדריך כתובות עם דיירי Microsoft
על מנת להוסיף את היישום Apple School Manager Azure AD עם דיירי Microsoft, על מנהל המערכת של הדיירים לבצע את תהליך ההגדרה של האימות המאוחד, כולל בדיקת האימות. לאחר הצלחת האימות, היישום Apple School Manager Azure AD מאוכלס בדייר, ולמנהל המערכת יתאפשר לאחד דומיינים ולהגדיר את Apple School Manager כך שישתמש ב‑SCIM (מערכת לניהול זהויות בין דומיינים) לסנכרון מדריך כתובות. יש לעיין בבדיקת הדרישות של SCIM.
לפני שמתחילים
הקישור של Apple School Manager אל Azure AD מתבצע בשלושה שלבים ומשתמש באימות מאוחד:
הוספה ואימות דומיין. ניתן לעיין בעמוד קישור לדומיינים חדשים.
ניתן לאחד דומיינים מרובים, אך עליהם להשתייך לאותו דייר ציבורי. אם ניסית לאחד דומיין שכבר אימתת אבל ארגון אחר כבר איחד את הדומיין הזה, עליך ליצור קשר עם אותו ארגון כדי להחליט למי נתונה הסמכות לאחד את הדומיין. יש לעיין בעמוד מידע על התנגשויות בין דומיינים.
חשוב: במסגרת בדיקת האימות המאוחד, מתבצע גם שינוי בפורמט ברירת המחדל של ה‑Apple ID המנוהל. עבור חשבונות חדשים שנוצרים במערכת המידע לסטודנטים (SIS) או שמועלים באמצעות פרוטוקול Secure File Transfer Protocol (SFTP), נעשה שימוש בפורמט החדש של ה‑Apple ID המנוהל.
הגדרת תהליך האימות המאוחד.
בדיקת האימות באמצעות חשבון דומיין Azure AD יחיד.
הגדרת תהליך האימות המאוחד
משימה זו מאפשרת ל‑Azure AD לתת אמון ב‑Apple School Manager.
ב‑Apple School Manager , יש להתחבר עם משתמש בתפקיד מנהל מערכת, מנהל אתר או מנהל כח אדם.
יש לבחור בשמך בתחתית סרגל הצד, לבחור ב״העדפות״ , ולאחר מכן לבחור ב״חשבונות״ .
לצד ״אימות מאוחד״, יש לבחור ב״עריכה״ ולאחר מכן לבחור ב״התחברות״.
יש ללחוץ על ״התחברות עם Microsoft״, להזין חשבון Microsoft Azure AD Global Administrator, Application Administrator או Cloud Application Administrator, ולאחר מכן לבחור ב״הבא״.
יש להזין את הסיסמה עבור החשבון ולבחור ב״התחברות״.
יש לקרוא בעיון את הסכם השימוש ביישום ולבחור ב״הסכמה״.
האישור שעליך לתת הוא הסכמה כי Microsoft תיתן ל‑Apple גישה למידע ב‑Azure AD.
יש לבחור ב״סיום״.
הערה: לאחר השלמת שלב זה, המשתמשים לא יוכלו ליצור חשבונות Apple ID אישיים חדשים בדומיין שהגדרת. הדבר עשוי להשפיע על שירותים אחרים של Apple שנמצאים בשימוש. ניתן לעיין בעמוד העברת שירותי Apple כשמשתמשים באימות מאוחד.
ייתכן שבחלק מהמקרים לא ניתן יהיה להוסיף את הדומיין. הסיבות הנפוצות לכך:
לחשבון Microsoft Azure AD Global Administrator, Application Administrator או Cloud Application Administrator שבו נעשה שימוש אין הרשאה להוסיף דומיינים ב‑Azure AD.
שם המשתמש או הסיסמה מהחשבון בשלב ד׳ שגויים.
בדיקת האימות באמצעות חשבון Azure AD יחיד
משימה זו מאפשרת ל‑Apple School Manager לתת אמון ב‑Azure AD. לאחר אימות הבעלות על הדומיין והשלמת בדיקת האימות באמצעות חשבון Azure AD יחיד, ניתן ליצור חשבונות נוספים ולהמשיך באיחוד הדומיין.
יש לבחור ב״איחוד״ ליד הדומיין שברצונך לאחד.
יש לבחור באפשרות ״התחברות ל‑Microsoft Azure Portal" ולאחר מכן להזין את שם המשתמש והסיסמה שלך.
יש להזין חשבון Microsoft Azure AD Global Administrator, Application Administrator או Cloud Application Administrator שקיים בדומיין, ואז לבחור ב״הבא״.
יש להזין את הסיסמה של החשבון, לבחור ב״התחברות״, לבחור ב״סיום״ ולאחר מכן לבחור ב״סיום״.
ייתכן שבחלק מהמקרים לא ניתן יהיה להתחבר לדומיין. להלן כמה מהסיבות הנפוצות לכך:
שם המשתמש או הסיסמה עבור הדומיין שבחרת לאחד שגויים.
החשבון אינו נמצא בדומיין שבחרת לאחד.
לאחר ההתחברות, Apple School Manager בודק מול הדומיין אם יש התנגשויות בין שמות משתמשים. הבדיקה עבור התנגשויות בין שמות משתמשים חייבת להסתיים בהצלחה כדי שניתן יהיה להשתמש באימות מאוחד בדומיין זה.
הערה: לאחר שקישרת בהצלחה את Apple School Manager ל‑Azure AD, ניתן לשנות את תפקיד החשבון לתפקיד אחר. למשל, באפשרותך לשנות את התפקיד של החשבון לתפקיד ״מורה״.
הפעלת אימות מאוחד
לפני הפעלת אימות מאוחד, יש לוודא שביצעת קישור לדומיין חדש ואימות שלו.
הערה: אם בכוונתך להתחבר ל‑Azure AD באמצעות SCIM, יש להמתין ולהפעיל אימות מאוחד רק אחרי שחיבור SCIM נוצר בהצלחה.
ב‑Apple School Manager , יש להתחבר עם משתמש בתפקיד מנהל מערכת, מנהל אתר או מנהל כח אדם.
יש לבחור בשמך בתחתית סרגל הצד, לבחור ב״העדפות״ , ולאחר מכן לבחור ב״חשבונות״ .
יש לבחור ב״עריכה״ במקטע ״דומיינים״ ולהפעיל אימות מאוחד עבור הדומיינים שנוספו בהצלחה אל Apple School Manager.
ייתכן שייקח זמן מה עד שכל החשבונות יתעדכנו.
בדיקת האימות המאוחד
ניתן לבדוק את חיבור האימות המאוחד לאחר ביצוע המשימות הבאות:
החיבור לדומיין והאימות שלו בוצעו בהצלחה.
בדיקת ההתנגשויות בין שמות משתמשים הושלמה.
פורמט ברירת המחדל עבור חשבונות Apple ID מנוהלים עודכן.
הערה: משתמשים בעלי תפקידי ניהול מערכת, ניהול אתר או ניהול אנשים אינם יכולים להתחבר באמצעות אימות מאוחד; חשבונות כאלה יכולים רק לנהל את תהליך האיחוד.
ב‑Apple School Manager , יש להתחבר עם משתמש שאינו בתפקיד מנהל מערכת, צוות או סטודנט.
אם שם המשתמש שאיתו התחברת נמצא, יוצג מסך חדש עם הודעה המציינת שהתחברת עם משתמש בדומיין שלך.
יש לבחור ב״המשך״, להזין את הסיסמה עבור המשתמש ולאחר מכן לבחור ב״התחברות״.
יש להתנתק מ‑Apple School Manager.
הערה: משתמשים לא יכולים להתחבר אל iCloud.com מבלי להתחבר קודם באמצעות Apple ID מנוהל במכשיר Apple אחר.