Az Azure AD szinkronizálási követelményei az Apple School Managerben
A tartományok közötti személyazonosság-kezelő rendszer (SCIM) használatával felhasználókat importálhat az Apple School Managerbe. A rendszer segítségével Apple School Manager-tulajdonságokat (például osztályokat és szerepköröket) egyesíthet a Microsoft Azure Active Directory (Azure AD) szolgáltatásból importált felhasználói fiókadatokkal. Amikor az SCIM segítségével importál felhasználókat, a fiókadatok írásvédett adatokként kerülnek be mindaddig, amíg le nem kapcsolódik az SCIM-ről. Ekkor a fiókok manuális fiókokká válnak, és a fiókokban lévő attribútumok szerkeszthetővé válnak. Az első szinkronizálás hosszabb időt vesz igénybe, mint a későbbi ciklusok, amelyek körülbelül 40 percenként mennek végbe, ha fut az Azure AD kiépítési szolgáltatás. Tekintse meg a kiépítési tippeket a Microsoft Azure dokumentációjának webhelyén.
Azure AD-jogosultságok
Az Azure AD-ben a következő szerepkörök szinkronizálhatnak fiókokat az SCIM segítségével az Apple School Managerbe:
Alkalmazás-rendszergazda
Felhőalkalmazás-rendszergazda
Alkalmazástulajdonos
Globális rendszergazda
Tekintse meg a Beépített Azure AD-szerepkörök című részt a Microsoft Azure AD webhelyén.
Azure AD-bérlők
Ha SCIM-et szeretne használni az Apple School Managerhez, a szervezet nem rendelkezhet ugyanazzal az Azure AD-bérlővel, mint bármely más Apple School Manager-szervezet. Ha az SCIM rendszert szeretné használni a szervezetéhez, érdeklődjön az Azure AD rendszergazdánál, hogy más szervezet nem használja-e az adott Azure AD-bérlőt a SCIM-hez.
Azure AD-csoportok
Az Azure AD-ben mindkét szinkronizálási módszer esetén a Csoportok kifejezés van használatban, viszont csak a felhasználói fiókok szinkronizálódnak. Hozzáadhat Azure AD-csoportokat az Apple School Manager Azure AD apphoz. Ha például Munkatársak, Oktatók és Tanulók nevű csoportok vannak az Azure AD-ben, akkor hozzáadhatja ezt a három csoportot az Apple School Manager Azure AD apphoz. Ha az SCIM segítségével kapcsolódik, akkor csak az adott csoportokban lévő fiókok szinkronizálódnak az Apple School Managerbe.
Megjegyzés: Az alcsoportok nem támogatottak az Apple School Manager Azure AD appban.
Kiépítési hatókör
Kétféle módon lehet fiókokat szinkronizálni az Azure AD-ből az Apple School Managerbe.
Csak hozzárendelt felhasználók és csoportok szinkronizálása: Ezzel a funkcióval csak az Apple School Manager Azure AD appban látható fiókok szinkronizálhatók az Apple School Managerbe. Ennek a szinkronizálási módszernek a használatakor az Azure AD-fiókoknak felhasználói szerepkörrel kell rendelkezniük ahhoz, hogy szinkronizálódjanak az Apple School Managerbe.
Az összes hozzárendelt felhasználó és csoport szinkronizálása: Ezzel a funkcióval az Azure AD Felhasználó lapján látható összes fiók szinkronizálható az Apple School Managerbe (csoportok szinkronizálása nem támogatott), és létrehozhatók felügyelt Apple ID‑k az összes összevont Azure AD-fiók számára, még akkor is, ha csak egy bizonyos számú fiókot szeretne használni.
Tekintse meg a Microsoft Támogatás következő cikkeit: Mi az az Azure AD-ben az automatizált SaaS-app felhasználói üzembe helyezése? és Attribútum-alapú alkalmazás-kiépítés hatóköri szűrőkkel.
Kiépítési értesítések
A kiépítés konfigurálásakor használja egy Rendszergazda, Helyszínkezelő vagy Személykezelő szerepkörű felhasználó e-mail-címét, hogy az megkaphassa az értesítéseket az Azure AD-től.
Az SCIM és az összevont hitelesítés
Ha az összevonás már be van kapcsolva az Azure AD-fiókok az Apple School Managerbe való elküldésekor, akkor nem lesz látható semmilyen művelet, de a fiókok ettől függetlenül az összevont tartományból szinkronizálódnak.
Az Azure AD az az Identitásszolgáltató (IdP), amely hitelesíti a felhasználót az Apple School Manager számára, és kiadja a hitelesítési tokeneket. Mivel az Apple School Manager támogatja az Azure AD-t, az Azure AD-hez kapcsolódó más IdP-k is – például Active Directory Federated Services (ADFS) – együttműködnek. Az összevont hitelesítés Security Assertion Markup Language (SAML) nyelvet használ az Apple School Manager és az Azure AD összekapcsolásához.
Az Azure AD felhasználói fiókok és az Apple School Manager
Amikor az SCIM segítségével egy felhasználót átmásol az Azure AD-ből az Apple School Managerbe, az alapértelmezett szerepkör a Tanuló. A szinkronizálás befejeződése után a következő felhasználói attribútumok szerkeszthetők:
Szerepkörök
Évfolyam
SIS (Tanulói Információs Rendszer) felhasználónév
Ezeket az attribútumokat az Apple School Managerbeli felhasználói fiók tárolja, és nem íródnak vissza az Azure AD-be.
SCIM felhasználói attribútumok hozzárendelése
Amikor az SCIM segítségével egy fiókot átmásol az Azure AD-ből az Apple School Managerbe, a következő felhasználói attribútumok írésvédettek. A táblázat azt is jelzi, hogy az adott felhasználói attribútumra szükség van-e.
Fontos: A táblázatban nem szereplő attribútumok hozzáadásakor megszakad az SCIM-kapcsolat.
Azure AD felhasználói attribútum | Apple School Manager felhasználói attribútumok | Kötelező |
---|---|---|
Utónév | Utónév | |
Vezetéknév | Vezetéknév | |
Egyszerű felhasználónév | Felügyelt Apple ID és e-mail-cím | |
Objektumazonosító | (Nem látható az Apple School Managerben. Ezzel az attribútummal azonosíthatók az ütköző fiókok.) | |
Részleg | Részleg | |
Alkalmazotti azonosító | Személyszám | |
Egyéni attribútum (az Apple School Manager Azure AD appban kell létrehozni) | Költségközpont | |
Egyéni attribútum (az Apple School Manager Azure AD appban kell létrehozni) | Részleg |
Egyszerű felhasználónév
Ha egy felhasználó olyan Egyszerű felhasználónévvel (UPN) rendelkezik, amely pontosan megegyezik egy Rendszergazda, Helyszínkezelő vagy Személykezelő szerepkörű Apple School Manager-felhasználóéval, akkor nem kerül sor szinkronizálásra, és a forrásmező változatlan marad. Ez történik az eredetileg használt szinkronizálási módszertől (SIS vagy SFTP) függetlenül.
Személyazonosító
Egy Azure AD-felhasználó Apple School Managerbe való szinkronizálásakor létrejön egy személyazonosító az Apple School Manager felhasználói fiókhoz. A személyazonosítóval és az objektumazonosítóval azonosíthatók az ütköző felhasználói fiókok.
Az SCIM vagy az SIS-integráció segítségével importált felhasználók esetében automatikusan létrejön a személyazonosító, az SFTP segítségével importált felhasználók esetében viszont nem jön létre automatikusan.
Ha leválasztják az SCIM-t, és SFTP segítségével szeretnének ismét feltölteni felhasználókat, akkor csak abban az esetben jönnek létre új felhasználók, ha az SFTP feltöltési fájlban szereplő Személyazonosító nem egyezik meg az SCIM által kiosztott Személyazonosítóval. Lásd: Fiókok importálása SFTP segítségével.
Ha módosítja a személyazonosítót egy olyan fiók esetén, amelyet előzőleg az SCIM-ből importált, akkor a fiók többé nem lesz párosítva az Azure AD-vel. Ha módosítja a személyazonosítót egy olyan fiók esetében, amelyet előzőleg az SCIM-ből importált, és újra csatlakoztatni szeretné a fiókot az SCIM-hez, tekintse meg a következő részt: SCIM felhasználófiók-ütközések feloldása.
Javaslatok
Csak az Apple School Manager Azure AD appot használja, amikor az SCIM-hez kapcsolódik.
Ha igazolt tartománya van, de nem kapcsolta be az összevont hitelesítést, akkor addig várjon az összevonás bekapcsolásával, amíg meg nem bizonyosodott arról, hogy megtörtént az Azure AD-felhasználók elküldése az Apple School Managernek. Ezt az Azure AD kiépítési naplók megtekintésével tegye meg. Miután megbizonyosodott arról, hogy megtörtént az Azure AD-felhasználók elküldése, akkor az összevonás bekapcsolásakor értesítést kap, amikor az Azure AD-felhasználók aktiválódnak. Ha az összevonás már be van kapcsolva az Azure AD-felhasználók elküldésekor, akkor nem lesz látható semmilyen művelet, de a felhasználók ettől függetlenül szinkronizálódnak.
Ha van egy konfigurált csoport az Azure AD-ben, akkor az egyes felhasználók helyett hozzáadhatja az adott csoportot is az Apple School Manager Azure AD apphoz.
Fontos: Ne használja ugyanazt a felhasználónevet újra 120 napig az Apple School Manager Azure AD appban.
Kezdés előtt
A kezdés előtt a következőket kell tennie:
Csatlakozzon le a Tanulói Információs Rendszerről (SIS), vagy állítsa le az SFTP segítségével történő feltöltéseket.
Konfigurálja a használni kívánt tartományt és igazolja annak tulajdonjogát. Tekintse meg a következőt: Csatlakozás új tartományokhoz.
Konfigurálja (de ne kapcsolja be) az összevont hitelesítést. Lásd: Az összevont hitelesítés bekapcsolása és tesztelése.
Megjegyzés: Ha már be van kapcsolva az összevont hitelesítés, továbbléphet. Tekintse meg a javaslatokat az előző szakaszban.
Határozza meg a szinkronizálás típusát az Azure AD-ben, és – ha szükséges – hozzon létre csoportokat a csak hozzárendelt csoportok Apple School Manager Azure AD appba történő szinkronizálásához:
Csak a hozzárendelt felhasználók szinkronizálása.
Az összes felhasználó szinkronizálása.
Kérjen segítséget egy olyan Azure AD-rendszergazdától, aki jogosult szerkeszteni vállalati appokat. Ha mindketten készen állnak, tekintse meg a következő részt: SCIM használata felhasználók importálásához.