Introduzione all’autenticazione con account associato in Apple School Manager
Puoi usare l’autenticazione con account associato per collegare Apple School Manager a:
Google Workspace
Microsoft Entra ID
Il tuo Identity provider (IdP)
Nota: puoi creare collegamenti a Google Workspace, Microsoft Entra ID o il tuo IdP, ma solo uno alla volta.
Di conseguenza, gli utenti potranno accedere a iPhone, all'iPad, Mac, Apple Vision Pro assegnati e all'iPad condiviso utilizzando il nome utente esistente (generalmente l'indirizzo email) e la password. Dopo l'accesso a uno di questi dispositivi, potranno anche accedere a iCloud sul web su un Mac (iCloud per Windows non supporta gli Apple Account gestiti).
Importante: Una volta scaduta la connessione, l'autenticazione con account associato e la sincronizzazione degli account utente vengono interrotte. Per continuare a usare l'autenticazione con account associato e la sincronizzazione, occorre riconnettersi.
L’autenticazione con account associato può essere usata in casi specifici:
Solo autenticazione con account associato
Quando Apple School Manager e Google Workspace, Microsoft Entra ID o il tuo IdP sono collegati, gli Apple Account gestiti vengono automaticamente creati per gli utenti. Gli utenti possono accedere utilizzando il nome utente (generalmente l’indirizzo email) e la password esistenti.
Consulta i seguenti argomenti:
Autenticazione con account associato con sincronizzazione directory
Puoi anche sincronizzare gli account utente con Google Workspace, Microsoft Entra ID o il tuo IdP in Apple School Manager. Quando imposti una connessione Sincronizzazione directory, puoi aggiungere le proprietà di Apple School Manager (come il livello di istruzione e i ruoli) grazie ai dati dell’account utente importati da uno di questi servizi. Le informazioni dell’account utente di servizio vengono aggiunte in sola lettura finché non ti disattivi la sincronizzazione. A quel punto, gli account diventano manuali e gli attributi all’interno di questi account possono essere modificati. Se un account utente viene rimosso da uno di questi servizi, tale account utente può essere rimosso da Apple School Manager. Consulta i seguenti argomenti:
Autenticazione con account associato con utenti da Sistema Informativo Studenti (SIS) o con file caricati mediante SFTP
Se intendi utilizzare l'autenticazione con account associato con i tuoi file SIS o CSV, devi prima configurare e attivare la funzione.
Se desideri collegarti a Google Workspace, Microsoft Entra ID o al tuo IdP e collegarti al tuo SIS o caricare i file mediante SFTP, devi eseguire le seguenti operazioni:
A questo punto, puoi integrare il tuo SIS o caricare i file con SFTP. Tutte le informazioni, come le classi e i registri, vengono confrontate con gli utenti di Google Workspace, Microsoft Entra ID o del tuo IdP. In caso di rimozione dell’utente da Google Workspace, Microsoft Entra ID o dal tuo IdP, il suo account deve essere disattivato in Apple School Manager da un account con i privilegi per cambiare lo stato degli utenti.
Importante: Se stai integrando un Sistema Informativo Studenti (SIS) o stai importando utenti con il protocollo Secure File Transfer Protocol (SFTP) e stai utilizzando l’autenticazione con account associato, l’indirizzo email dell’utente nel SIS deve corrispondere al nome utente di Google Workspace, Microsoft Entra ID o del tuo IdP che già utilizza per accedere.
Autenticazione con account associato con iPad condiviso
Quando utilizzi l’autenticazione con account associato e un iPad condiviso, la procedura di accesso varia a seconda che l’account utente sia già esistente o meno in Apple School Manager. Per visualizzare gli scenari di accesso, consulta Accedere all’iPad condiviso.
Il formato predefinito per il codice è standard (8 o più lettere e numeri) e può essere modificato. consulta Possibili formati delle password.
Se l’utente dimentica il proprio codice di accesso, devi reimpostare il codice per iPad condiviso.
Prima di iniziare
Prima di utilizzare l'autenticazione con account associato con Google Workspace, Microsoft Entra ID o il tuo IdP, considera quanto segue:
Requisiti
I dispositivi Apple devono soddisfare i seguenti requisiti minimi in termini di sistema operativo:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Devi disconnetterti dal Sistema Informativo Studenti (SIS) o interrompere i caricamenti mediante SFTP.
Devi bloccare il dominio e attivare il processo di l'acquisizione del dominio. Consulta Bloccare un dominio.
Non devono esistere conflitti tra Apple Apple Account gestiti. Consulta Conflitti tra Apple Account gestiti.
Gli account con ruolo di amministrazione, responsabile sede o responsabile persone non possono accedere tramite autenticazione con account associato, ma possono unicamente gestire la procedura di associazione.
In caso di utilizzo dell'autenticazione con account associato, l'impostazione Formato predefinito dell'Apple Account gestito non è applicabile.
Requisiti specifici per IdP
In caso di collegamento a Google Workspace:
L’autenticazione con account associato deve utilizzare l’indirizzo email dell’utente come nome utente. Gli alias non sono supportati.
In caso di collegamento a Microsoft Entra ID:
Per completare la seguente attività Approvare un’autenticazione con account associato dovrai utilizzare un account con ruolo di amministratore o amministratrice globale Entra ID. Dopo aver effettuato la connessione, potrai modificare il ruolo dell’utente da amministratore o amministratrice globale a un altro avente i privilegi richiesti per mantenere la connessione. Per ulteriori informazioni, consulta Ruoli predefiniti di Microsoft che supportano domini, sincronizzazione directory e lettura dei domini..
L’autenticazione con account associato con Microsoft Entra ID richiede che userPrincipalName (UPN) dell'utente corrisponda al suo indirizzo email. Gli alias con userPrincipalName e gli ID alternativi non sono supportati.
In caso di collegamento a un IdP, occorrono le seguenti informazioni:
Un nome di dominio verificato che intendi usare. Consulta Aggiungere e verificare un dominio.
Metodo di accesso: utilizza OpenID Connect (OIDC).
Accesso all’ambito: l’accesso deve essere consentito a
ssf.manageessf.read.URL per la configurazione di Shared Signals Framework (SSF): consulta la documentazione del tuo IdP.
URL di configurazione di OpenID: consulta la documentazione del tuo IdP.
Modifiche automatiche
Per gli utenti esistenti di Apple School Manager con un indirizzo email nel dominio associato: il proprio Apple Account gestito viene automaticamente modificato in modo che corrisponda all’indirizzo email.