מבוא לאימות מאוחד ב‑Apple School Manager
אימות מאוחד משמש כדי לקשר את Apple School Manager לשירותים הבאים:
Google Workspace
Open ID Connect (OIDC) באמצעות Microsoft Entra ID
כל ספק זהות (IdP) שמשתמש ב-OIDC או ב-System for Cross-domain Identity Management (SCIM)
הערה: ניתן לבצע קישור ל‑Google Workspace, ל‑Microsoft Entra ID או ל‑IdP, אך ניתן לקשר רק לשירות אחד בכל פעם.
כתוצאה מכך, משתמשים יכולים להתחבר למכשיר שהוקצה להם (iPhone, iPad, Mac ו-Apple Vision Pro) ול-iPad משותף באמצעות שם המשתמש הקיים שלהם (בדרך כלל זו כתובת הדוא״ל שלהם) וסיסמה. לאחר שהם מתחברים לאחד מהמכשירים האלה, הם יכולים להתחבר גם ל-iCloud באינטרנט דרך ה-Mac (iCloud ל-Windows לא תומך בחשבונות Apple מנוהלים).
חשוב: כאשר פג תוקפו של החיבור, איחוד וסנכרון של חשבונות משתמש נפסקים. יש להתחבר מחדש כדי להמשיך להשתמש באימות מאוחד ובסנכרון.
במקרים מסוימים, כדאי לשקול שימוש באימות מאוחד:
אימות מאוחד בלבד
כאשר Apple School Manager מקושר ל‑Google Workspace, ל‑Microsoft Entra ID או ל‑IdP שלך, נוצרים למשתמשים חשבונות Apple מנוהלים באופן אוטומטי. כך, משתמשים יכולים להתחבר באמצעות שם המשתמש הקיים (בדרך כלל כתובת הדוא״ל) והסיסמה שלהם.
למידע נוסף:
אימות מאוחד עם סנכרון ספריות
ניתן גם לסנכרן חשבונות משתמשים של Google Workspace, Microsoft Entra ID או ה‑IdP שלך עם Apple School Manager. כשמגדירים חיבור של סנכרון ספריה, אפשר להוסיף מאפיינים של Apple School Manager (כמו כיתה ותפקידים) אל נתונים של חשבונות משתמשים שיובאו מאחד משירותים אלה. פרטי חשבון המשתמש שיובאו מהשירותים, מתווספים עם הרשאת קריאה בלבד עד לכיבוי הסנכרון. בשלב זה, החשבונות הופכים לחשבונות ידניים, ואז ניתן לערוך את המאפיינים בחשבונות האלה. אם חשבון משתמש הוסר מאחד משירותים אלה, חשבון משתמש זה יוסר מ‑Apple School Manager. למידע נוסף:
אימות מאוחד עם משתמשים ממערכת מידע לסטודנטים (SIS) או עם קובצי .csv שהועלו באמצעות SFTP
אם מתבצע שילוב עם SIS או ייבוא של חשבונות משתמשים באמצעות SFTP, וגם יתבצע שימוש באימות מאוחד:
ראשית יש להפעיל ולהגדיר אימות מאוחד.
כתובת הדוא״ל של המשתמשים חייבת להיות זהה לשם המשתמש שלהם ב-Google Workspace, ב-Microsoft Entra ID או ב-IdP שכבר משמש אותם לצורך התחברות.
לאחר מכן, אפשר לשלב את מערכת ה‑SIS או להעלות קובצי .csv דרך Secure File Transfer Protocol (SFTP). כל המידע, כגון כיתות וגיליונות נוכחות, מתואם מול המידע של המשתמשים מ-Google Workspace, מ-Microsoft Entra ID או מה‑IdP שלך. אם מסירים חשבון משתמש מ‑Google Workspace, מ‑Microsoft Entra ID או מה‑IdP, יש להשבית אותו ב‑Apple School Manager באמצעות חשבון בעל הרשאות לשינוי הסטטוס של משתמשים.
אימות מאוחד עם iPad משותף
כשמשתמשים באימות מאוחד עם iPad משותף, תהליך ההתחברות תלוי בשאלה אם חשבון המשתמש כבר קיים ב‑Apple School Manager. להצגת תרחישי ההתחברות, יש לקרוא את התחברות ל‑iPad משותף.
מדיניות ברירת המחדל עבור קודי גישה היא סטנדרטית (צירוף של אותיות ומספרים באורך של 8 תווים לפחות) וניתן לשנות אותה. ניתן לעיין בעמוד אפשרויות מדיניות סיסמאות.
אם משתמשים שוכחים את קוד הגישה שלהם, יש לאפס את קוד הגישה ל‑iPad המשותף.
לפני שמתחילים
לפני השימוש באימות מאוחד עם Google Workspace, Microsoft Entra ID או ה-IdP שלך, כדאי לשקול את הדברים הבאים:
הדרישות
מכשירי Apple חייבים לעמוד בדרישות המינימום הבאות לגבי מערכת ההפעלה:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
עליך להתנתק ממערכת המידע לסטודנטים (SIS) או להפסיק העלאות באמצעות SFTP.
עליך לנעול ולהפעיל את התהליך ללכידת הדומיין. ניתן לעיין בעמוד נעילת דומיין.
אין התנגשויות של חשבונות Apple מנוהלים. ניתן לעיין בעמוד התנגשויות של חשבונות Apple מנוהלים.
חשבונות משתמשים עם תפקידי מנהל מערכת, מנהל אתר או מנהל כוח אדם אינם יכולים להתחבר באמצעות אימות מאוחד, אלא לנהל את תהליך האיחוד בלבד.
בזמן שימוש באימות מאוחד, הגדרת פורמט ברירת המחדל של חשבון Apple מנוהל אינה חלה.
דרישות ספציפיות ל-IdP
בעת קישור ל-Google Workspace:
על האימות המאוחד להשתמש בכתובת הדוא״ל של המשתמש כשם המשתמש. אין תמיכה בכינויים.
בעת קישור ל-Microsoft Entra ID:
עליך להשתמש במשתמש בעל תפקיד מנהל/ת מערכת כללי/ת ב-Entra ID לצורך השלמת המשימה אישור האימות המאוחד המתוארת בהמשך. לאחר שהחיבור מבוצע בהצלחה, ניתן לשנות את תפקיד המשתמש ממנהל/ת מערכת כללי/ת לתפקיד אחר בעל ההרשאות הנדרשות כדי לתחזק את החיבור. למידע נוסף, ניתן לעיין בעמוד תפקידי ברירת המחדל של Microsoft שתומכים בדומיינים, בסנכרון ספריות ובקריאת דומיינים.
לצורך אימות מאוחד עם Microsoft Entra ID, ה‑userPrincipalName (UPN) של המשתמש חייב להיות זהה לכתובת הדוא"ל. כינויי userPrincipalName ומזהים חלופיים אינם נתמכים.
בעת קישור ל-IdP, צריך להכין את המידע הבא:
דומיין מאומת שבו ברצונך להשתמש. ניתן לעיין בעמוד הוספה ואימות דומיין.
שיטת התחברות: יש להשתמש ב‑Open ID Connect (OIDC).
גישת היקף: יש להעניק גישה אל
ssf.manageואלssf.read.כתובת URL לתצורת Shared Signals Framework (SSF): יש לעיין במסמכים של ה‑IdP.
כתובת URL לתצורת OpenID: יש לעיין במסמכים של ה‑IdP.
שינויים אוטומטיים
עבור חשבונות Apple School Manager קיימים עם כתובת דוא"ל בדומיין המאוחד, חשבון ה‑Apple המנוהל משתנה באופן אוטומטי כך שיתאים לאותה כתובת דוא"ל.