דרישות הסנכרון של Azure AD עם Apple School Manager
ניתן להשתמש במערכת לניהול זהויות בין דומיינים (SCIM) כדי לייבא משתמשים ל‑Apple School Manager. באמצעות מערכת זו, ממזגים מאפיינים של Apple School Manager (כגון כיתות ותפקידים) עם נתוני חשבון משתמש שיובאו מ‑Microsoft Azure Active Directory (Azure AD). כשמשתמשים ב‑SCIM לייבוא משתמשים, פרטי החשבון נוספים לקריאה בלבד, עד להתנתקות מ‑SCIM. בשלב זה, החשבונות הופכים לחשבונות ידניים, ואז ניתן לערוך את המאפיינים בחשבונות האלה. הסנכרון הראשוני נמשך זמן רב יותר מאשר המחזורים הבאים אחריו, המתבצעים כל 40 דקות בערך, כל עוד שירות ההקצאה של Azure AD פועל. ניתן לעיין בעמוד Provisioning tips באתר התיעוד של Microsoft Azure.
הרשאות ב‑Azure AD
התפקידים הבאים ב‑Azure AD יכולים להשתמש ב‑SCIM כדי לסנכרן חשבונות ל‑Apple School Manager:
מנהל יישומים
מנהל יישומים ב״ענן״
בעל יישומים
מנהל מערכת כללי
ניתן לעיין בעמוד Azure AD Built-In Roles באתר Microsoft Azure AD.
דיירים ב‑Azure AD
כדי להשתמש ב‑SCIM עם Apple School Manager, לארגון לא יכול להיות שם דייר זהה ב‑Azure AD כמו לארגון אחר ב‑Apple School Manager. כדי להשתמש ב‑SCIM עבור הארגון שלך, יש לפנות למנהל המערכת של Azure AD כדי לוודא שאף ארגון אחר לא משתמש באותו דייר של Azure AD ל‑SCIM.
קבוצות ב‑Azure AD
ב‑Azure AD, שתי שיטות הסנכרון משתמשות במילה קבוצות, אבל רק חשבונות המשתמש מסונכרנים. אפשר להוסיף קבוצות Azure AD ליישום Apple School Manager Azure AD. לדוגמה, אם יש לך קבוצות ב‑Azure AD בשם צוות, מורים וסטודנטים, באפשרותך להוסיף את שלוש הקבוצות האלה ליישום Apple School Manager Azure AD. כשמתחברים באמצעות SCIM, רק חשבונות בקבוצות האלה יסונכרנו ל‑Apple School Manager.
הערה: קבוצות משנה לא נתמכות ביישום Apple School Manager Azure AD.
היקף הקצאה
יש שתי דרכים שבהן ניתן לסנכרן חשבונות מ‑Azure AD ל‑Apple School Manager.
סנכרון רק של משתמשים וקבוצות שהוקצו: אפשרות זו מסנכרנת ל‑Apple School Manager רק את החשבונות שמופיעים ביישום Apple School Manager Azure AD. כשמשתמשים בשיטת הסנכרון הזו, חשבונות Azure AD צריכים להיות מוגדרים עם תפקיד משתמש כדי לסנכרן ל‑Apple School Manager.
סנכרון כל המשתמשים והקבוצות: אפשרות זו מסנכרנת ל‑Apple School Manager את כל החשבונות (אין תמיכה בסנכרון קבוצות) שמופיעים בלשונית ״משתמשי Azure AD״ ויוצרת חשבונות Apple ID מנוהלים לכל חשבונות Azure AD המאוחדים, גם אם בכוונתך להשתמש רק במספר ספציפי של חשבונות.
ניתן לעיין במאמרי התמיכה של Microsoft מהי הקצאת משתמשים אוטומטית ביישומי SaaS ב‑Azure AD? וכן הקצאת יישומים מבוססת מאפיינים עם מסנני היקף.
הודעות הקצאה
כשמגדירים הקצאה, יש להשתמש בכתובת הדוא״ל של משתמש בעל תפקיד של ניהול מערכת, ניהול אתר או ניהול כוח אדם כדי לאפשר קבלת הודעות מ‑Azure AD.
SCIM ואימות מאוחד
אם איחוד כבר מופעל כאשר חשבונות Azure AD נשלחים ל‑Apple School Manager, פעילות לא תופיע, אבל החשבונות עדיין יסונכרנו מהדומיין המאוחד.
Azure AD הוא ספק הזהות (IdP) שמאמת את המשתמש עבור Apple School Manager ומנפיק אסימוני אימות. מאחר ש‑Apple School Manager תומך ב‑Azure AD, ספקי זהות אחרים שמתחברים ל‑Azure AD, כגון Active Directory Federated Services (ADFS), יפעלו גם הם. אימות מאוחד משתמש ב‑Security Assertion Markup Language (SAML) כדי לקשר את Apple School Manager ל‑Azure AD.
חשבונות משתמש של Azure AD עם Apple School Manager
כאשר משתמש מועתק מ‑Azure AD באמצעות SCIM ל‑Apple School Manager, תפקיד ברירת המחדל הוא ״סטודנט״. בסיום הסנכרון, ניתן לערוך את מאפייני המשתמשים הבאים:
תפקידים
כיתה
שם משתמש במערכת המידע לסטודנטים (SIS)
מאפיינים אלה מאוחסנים עם חשבון המשתמש ב‑Apple School Manager ולא נשלחים בחזרה ל‑Azure AD.
מיפוי מאפייני משתמש ב‑SCIM
כאשר חשבון מועתק מ‑Azure AD באמצעות SCIM ל‑Apple School Manager, מאפייני המשתמש הבאים מאוחסנים כשהם מוגדרים לקריאה בלבד. בטבלה מצוין גם אם חובה לציין את מאפיין המשתמש.
חשוב: הוספת מאפיינים שאינם מפורטים בטבלה תנתק את החיבור של SCIM.
מאפיין משתמש ב‑Azure AD | מאפייני משתמש של Apple School Manager | נדרש |
---|---|---|
שם פרטי | שם פרטי | |
שם משפחה | שם משפחה | |
השם הראשי של המשתמש | Apple ID מנוהל וכתובת דוא״ל | |
מזהה אובייקט | (לא מוצג ב‑Apple School Manager. מאפיין זה משמש לזיהוי חשבונות מתנגשים.) | |
מחלקה | מחלקה | |
מזהה עובד | מספר מזהה אדם | |
מאפיין מותאם אישית (חובה ליצור אותו ביישום Azure AD ב‑Apple School Manager) | מרכז עלות | |
מאפיין מותאם אישית (חובה ליצור אותו ביישום Azure AD ב‑Apple School Manager) | אגף |
השם הראשי של המשתמש
אם למשתמש יש שם ראשי של משתמש (UPN) שהוא זהה לחלוטין למשתמש Apple School Manager קיים בעל תפקיד ״ניהול מערכת״, ״ניהול אתר״ או ״ניהול כוח אדם״, לא מתבצע סנכרון ושדה המקור נשאר ללא שינוי. מצב זה מתרחש ללא קשר לשיטת הסנכרון המקורית שהייתה בשימוש (SIS או SFTP).
מזהה אדם
כאשר משתמש Azure AD מסונכרן עם Apple School Manager, נוצר קוד זיהוי אדם עבור חשבון המשתמש של Apple School Manager. קוד זיהוי אדם ומזהה אובייקט משמשים לזיהוי חשבונות משתמש מתנגשים. בנוסף, מזהה האדם נוצר אוטומטית עבור משתמשים שיובאו באמצעות SCIM או שילוב SIS, אבל לא נוצר אוטומטית ממשתמשים שיובאו באמצעות SFTP.
אם SCIM מנותק ונעשה שימוש ב‑SFTP כדי להעלות משתמשים שוב, נוצרים משתמשים חדשים אלא אם קוד זיהוי האדם בקובץ ההעלאה של SFTP יהיה תואם לקוד זיהוי האדם שהוקצה על ידי SCIM. ניתן לעיין בעמוד ייבוא חשבונות באמצעות SFTP.
שיקולים חשובים אם ברצונך לשנות את מזהה האדם:
אם שינית את קוד זיהוי האדם של חשבון שיובא קודם מ‑SCIM, חשבון זה לא ישויך עוד ל‑Azure AD.
אם שינית את קוד זיהוי אדם של חשבון שיובא קודם מ‑SCIM וברצונך לחבר שוב את החשבון, יש לעיין בעמוד פתרון התנגשויות של חשבונות משתמש של SCIM.
המלצות
עליך להשתמש ביישום Apple School Manager Azure AD רק כשמתחברים ל‑SCIM.
אם יש לך דומיין מאומת אבל לא הפעלת אימות מאוחד, עליך להמתין ולהפעיל אותו רק אחרי שווידאת שמשתמשי Azure AD נשלחו אל Apple School Manager. אפשר לבדוק זאת ביומני ההקצאה של Azure AD. לאחר שאימתת כי משתמשי Azure AD נשלחו, כאשר האיחוד יופעל, תגיע הודעה על פעילות כאשר משתמשי Azure AD יוקצו. אם איחוד כבר מופעל כאשר משתמשי Azure AD נשלחים, לא תופיע פעילות, אבל המשתמשים עדיין מסתנכרנים.
אם הגדרת קבוצה ב‑Azure AD, באפשרותך להוסיף אותה ליישום Apple School Manager Azure AD במקום להוסיף כל משתמש בנפרד.
חשוב: אין לעשות שימוש חוזר בשם משתמש מסוים במשך 120 יום ביישום Apple School Manager Azure AD.
לפני שמתחילים
לפני שמתחילים, יש לבצע את הפעולות הבאות:
להתנתק ממערכת המידע לסטודנטים (SIS) או לעצור העלאות באמצעות SFTP.
להגדיר ולאמת את הדומיין שבו ברצונך להשתמש. ניתן לעיין בעמוד קישור לדומיינים חדשים.
להגדיר (אבל לא להפעיל) אימות מאוחד. יש לעיין ב‑הגדרת תהליך האימות המאוחד.
הערה: אם אימות מאוחד כבר מופעל, עדיין אפשר להמשיך. ניתן לעיין בהמלצות שבסעיף הקודם.
לקבוע את סוג הסנכרון ב‑Azure AD, ובמקרה הצורך, ליצור קבוצות לסנכרון חשבונות מוקצים בלבד ליישום Apple School Manager Azure AD:
סנכרון משתמשים שהוקצו בלבד.
סנכרון כל המשתמשים.
הצבת מנהל מערכת Azure AD עם הרשאות לעריכה של יישומים ארגוניים בכוננות. כאשר שניכם תהיו מוכנים, יש לעיין בעמוד שימוש ב‑SCIM לייבוא משתמשים.