Összevont hitelesítés használata a Microsoft Azure AD szolgáltatással az Apple School Managerben
Az Apple School Managerben kapcsolódhat a Microsoft Azure Active Directory (Azure AD) szolgáltatáshoz, ha engedélyezni szeretné a felhasználóknak, hogy Azure AD-felhasználónevükkel és -jelszavukkal jelentkezhessenek be.
Az Azure AD az az Identitásszolgáltató (IdP), amely hitelesíti a felhasználót az Apple School Manager számára, és kiadja a hitelesítési tokeneket. Ez a hitelesítés a tanúsítványalapú és a kétlépéses hitelesítést (2FA) támogatja. Mivel az Apple School Manager támogatja az Azure AD-t, az Azure AD-hez kapcsolódó más IdP-k is – például Active Directory Federation Services (AD FS) – együttműködnek az Apple School Managerrel.
Fontos: Az összevont hitelesítéshez a felhasználó egyszerű felhasználónevének egyeznie kell az e‑mail‑címével. Nem használhatók egyszerű felhasználóneves aliasok és alternatív azonosítók.
Összevont hitelesítés és könyvtár-szinkronizálás a Microsoft-bérlőkkel
A Microsoft-bérlőkkel rendelkező Apple School Manager Azure AD app hozzáadásához a bérlők adminisztrátorának el kell végeznie az összevont hitelesítés beállításának folyamatát, a hitelesítés tesztelését is beleértve. Ha a hitelesítés sikeres, akkor a bérlőben az Apple School Manager Azure AD app kitöltődik, az adminisztrátor pedig összevonhatja a tartományokat és konfigurálhatja az Apple School Managert az SCIM (System for Cross-domain Identity Management) könyvtár-szinkronizáláshoz való használatához. Lásd Az SCIM követelményeinek áttekintése c. részt.
Kezdés előtt
Az Apple School Manager Azure AD-vel való összekapcsolásához és az összevont hitelesítés használatához három lépést kell végrehajtani:
Adjon hozzá egy tartományt és igazolja a tulajdonjogát. Tekintse meg a következőt: Csatlakozás új tartományokhoz.
Több tartomány összevonható, viszont ugyanattól a nyilvános bérlőtől kell származniuk. Ha olyan tartományt próbál meg összevonni, amelynek tulajdonjogát már igazolta, de egy másik szervezet már összevonta ugyanazt a tartományt, akkor kapcsolatba kell lépnie az adott szervezettel annak megállapítására, hogy ki jogosult a tartomány összevonására. Lásd: Tartományütközések.
Fontos: Az összevont hitelesítés tesztelése az alapértelmezett felügyelt Apple ID formátumot is módosítja. A Tanulói Információs Rendszerben (SIS) létrehozott vagy a biztonságos fájlátviteli protokoll (SFTP) használatával felöltött új fiókok az új felügyelt Apple ID formátumot használják.
Konfigurálja az összevont hitelesítési folyamatot.
Tesztelje a hitelesítést egy Azure AD tartományba tartozó fiókkal.
Az összevont hitelesítési folyamat konfigurálása
Ez a feladat lehetővé teszi, hogy az Azure AD megbízhatóként kezelje az Apple School Managert.
Az Apple School Managerben jelentkezzen be egy olyan felhasználóval, amely Adminisztrátor, Helyszínkezelő vagy Személykezelő jogosultsággal rendelkezik.
Válassza ki a saját nevét az oldalsáv alján, és válassza ki a Beállítások , majd a Fiókok elemet .
Az Összevont hitelesítés szöveg mellett válassza ki a Szerkesztés, majd válassza ki a Kapcsolódás gombot.
Válassza ki a „Bejelentkezés a Microsofttal” elemet, adjon meg egy Microsoft Azure AD globális adminisztrátori, alkalmazás-adminisztrátori vagy felhőalkalmazás-adminisztrátori fiókot, majd válassza ki a Tovább gombot.
Adja meg a fiók jelszavát, majd válassza ki a Bejelentkezés gombot.
Figyelmesen olvassa el az alkalmazás használatára vonatkozó megállapodást, majd válassza ki az Elfogadás gombot.
Ezzel hozzájárulását adja ahhoz, hogy a Microsoft hozzáférést biztosítson az Apple-nek az Azure AD-ben található információkhoz.
Válassza ki a Kész elemet.
Megjegyzés: A művelet végrehajtása után a felhasználók nem tudnak létrehozni személyes Apple ID-kat az Ön által konfigurált tartományon. Ez más olyan Apple-szolgáltatásokat is érinthet, amelyeket használ. Lásd: Apple-szolgáltatások átvitele összevonás használatakor.
Bizonyos esetekben előfordulhat, hogy nem tudja hozzáadni a tartományt. Ennek a leggyakoribb okai a következők:
A feladathoz használt Azure AD globális adminisztrátori, alkalmazás-adminisztrátori vagy felhőalkalmazás-adminisztrátori fióknak nincs jogosultsága tartományok hozzáadására a Microsoft Azure AD-ben.
A 4. lépésben megadott fiók felhasználóneve vagy jelszava hibás.
A hitelesítés tesztelése egy Azure AD fiókkal
Ez a feladat lehetővé teszi, hogy az Apple School Manager megbízhatónak tekintse az Azure AD-t. Miután igazolta a tartomány tulajdonjogát és sikeresen tesztelte a hitelesítést egy Azure AD-fiókkal, létrehozhat további fiókokat és folyathatja a tartomány összevonását.
Az összevonni kívánt tartomány mellett válassza ki az Összevonás gombot.
Válassza ki a „Bejelentkezés a Microsoft Azure Portalba” elemet, majd adja meg a felhasználónevét és jelszavát.
Adjon meg egy olyan Microsoft Azure AD globális adminisztrátori, alkalmazás-adminisztrátori vagy felhőalkalmazás-adminisztrátori fiókot, amelyet a tartomány tartalmaz, majd válassza ki a Tovább gombot.
Adja meg a fiók jelszavát, válassza ki a Bejelentkezés elemet, és válassza ki a Kész, majd megint a Kész gombot.
Bizonyos esetekben előfordulhat, hogy nem tud bejelentkezni a tartományába. Íme néhány a leggyakoribb okok közül:
Az összevonni kívánt tartományból származó felhasználónév vagy jelszó hibás.
A fiókot nem tartalmazza az összevonni kívánt tartomány.
Miután a bejelentkezés sikerült, az Apple School Manager ellenőrzi a tartományt érintő felhasználónév-ütközéseket. A felhasználónév-ütközések ellenőrzését még azelőtt el kell végezni, hogy Ön használhatná az összevont hitelesítést ennél a tartománynál.
Megjegyzés: Az Apple School Manager és az Azure AD sikeres összekapcsolását követően egy adott fiókhoz tartozó szerepkört másik szerepkörre módosíthat. Egy fiók szerepkörét például oktatói szerepkörre módosíthatja.
Az összevont hitelesítés bekapcsolása
Az összevont hitelesítés bekapcsolása előtt győződjön meg arról, hogy kapcsolódott egy új tartományhoz, és igazolta.
Megjegyzés: Ha az SCIM segítségével szeretne kapcsolódni az Azure AD-hez, csak azután kapcsolja be az összevont hitelesítést, hogy sikeresen létrejött az SCIM-kapcsolat.
Az Apple School Managerben jelentkezzen be egy olyan felhasználóval, amely Adminisztrátor, Helyszínkezelő vagy Személykezelő jogosultsággal rendelkezik.
Válassza ki a saját nevét az oldalsáv alján, és válassza ki a Beállítások , majd a Fiókok elemet .
A Tartományok részben válassza ki a Szerkesztés elemet, majd kapcsolja be az összevont hitelesítést az Apple School Managerhez sikeresen hozzáadott tartományokra vonatkozóan.
Az összes fiók frissítése időbe telhet.
Az összevont hitelesítés tesztelése
Az alábbi feladatok elvégzését követően tesztelheti az összevont hitelesítési kapcsolatot:
Sikeresen kapcsolódott a tartományhoz és sikeresen igazolta annak tulajdonjogát.
A felhasználónév-ütközések ellenőrzése megtörtént.
Az alapértelmezett felügyelt Apple ID formátum frissítve lett.
Megjegyzés: Az Adminisztrátor, Helyszínkezelő vagy Személykezelő szerepkörrel rendelkező felhasználók nem jelentkezhetnek be összevont hitelesítés használatával; csak kezelni tudják az összevonási folyamatot.
Az Apple School Managerben jelentkezzen be olyan felhasználóval, aki nem rendelkezik Adminisztrátor, Munkatárs vagy Tanuló szerepkörrel.
Ha a rendszer megtalálja a felhasználónevet, amellyel bejelentkezett, akkor egy új képernyő jelzi, hogy a tartományban található egyik felhasználóval jelentkezik be.
Válassza ki a Folytatás gombot, adja meg felhasználó jelszavát, majd válassza ki a Bejelentkezés gombot.
Jelentkezzen ki az Apple School Managerből.
Megjegyzés: A felhasználók csak akkor tudnak bejelentkezni az iCloud.com oldalra, ha először egy másik Apple-készüléken bejelentkeznek a felügyelt Apple ID azonosítójukkal.