Apple School ManagerでMicrosoft Azure ADとのFederated Authenticationを使用する
Apple School Managerで、Microsoft Azure Active Directory(Azure AD)をリンクすると、ユーザはAzure ADのユーザ名とパスワードでサインインできるようになります。
Azure ADはIDプロバイダ(IdP)であり、Apple School Managerのユーザを認証し、認証トークンを発行するために使用します。この認証は、証明書認証と2ファクタ認証(2FA)をサポートしています。Apple School ManagerはAzure ADに対応しているため、Azure ADに接続する他のIdP(Active Directory Federation Services(AD FS)など)もApple School Managerで使用できます。
重要: Federated Authenticationを使用するには、ユーザのユーザプリンシパル名(UPN:User Principal Name)がメールアドレスと一致する必要があります。ユーザプリンシパル名のエイリアスと代替IDはサポートされていません。
Federated AuthenticationおよびMicrosoftテナントとのディレクトリ同期
MicrosoftテナントでApple School ManagerのAzure ADアプリを追加するには、テナントの管理者は、認証テストも含め、Federated Authenticationの設定プロセスを完了する必要があります。認証が正常に完了すると、Apple School ManagerのAzure ADアプリがテナントに追加され、管理者はドメインを連携し、Apple School Managerを構成して、ディレクトリ同期にSCIM(クロスドメインID管理システム)を使用できるようになります。「SCIMの必要条件を確認する」を参照してください。
開始する前に
Apple School ManagerをAzure ADにリンクして、Federated Authenticationを使用するには、3つの手順のプロセスを実行します:
ドメインを追加し、確認する。「新しいドメインにリンクする」を参照してください。
複数のドメインを連携することは可能ですが、それらのドメインはすべて同じパブリックテナントに登録されたものである必要があります。連携しようとしている確認済みのドメインが、他の組織によってすでに連携されている場合は、その組織と連絡を取り、ドメインを連携する権限がどちらにあるのかを判断する必要があります。「ドメインの競合について」を参照してください。
重要: Federated Authenticationテストでは、デフォルトの管理対象Apple IDフォーマットも変更されます。Student Information System(SIS)で作成されたアカウント、またはSecure File Transfer Protocol(SFTP)を使用してアップロードされた新しいアカウントは、新しい管理対象Apple IDのフォーマットを使用します。
Federated Authenticationプロセスを構成する。
1つのAzure ADドメインアカウントで認証をテストする。
Federated Authenticationプロセスを構成する
このタスクを実行することで、Azure ADはApple School Managerの信頼性を確認できます。
Apple School Managerで、管理者、サイトマネージャ、またはユーザマネージャの役割を持つユーザでサインインします。
サイドバーの下部にある自分の名前を選択し、「環境設定」を選択して、「アカウント」を選択します。
Federated Authenticationの横にある「編集」を選択し、「接続」をタップします。
「Microsoftでサインイン」を選択し、Microsoft Azure ADのグローバル管理者、アプリケーション管理者、またはクラウドアプリケーション管理者のアカウントを入力して、「次へ」を選択します。
アカウントのパスワードを入力して、「サインイン」を選択します。
アプリケーションの利用規約をよく読み、「同意する」を選択します。
ここで、MicrosoftがAzure AD内の情報へのアクセスをAppleに対して許可することに同意します。
「完了」を選択します。
注記: この手順を完了すると、ユーザは、構成したドメイン上で個人用Apple IDを新たに作成することができなくなります。これは、使用中のAppleのその他のサービスに影響を与える可能性があります。「連携時にAppleのサービスを移行する」を参照してください。
場合によっては、ドメインを追加できないことがあります。一般的な原因は、以下のとおりです:
使用されているAzure ADのグローバル管理者、アプリケーション管理者、またはクラウドアプリケーション管理者のアカウントに、Microsoft Azure ADでドメインを追加する権限がない。
手順4のアカウントのユーザ名またはパスワードが間違っている。
1つのAzure ADアカウントで認証をテストする
このタスクを実行することで、Apple School ManagerはAzure ADの信頼性を確認できます。ドメインの所有権を確認し、1つのAzure ADアカウントで認証テストに成功すると、追加のアカウントを作成して、ドメインの連携を続行できるようになります。
連携するドメインの横にある「連携する」を選択します。
「Microsoft Azureポータルにサインイン」を選択し、ユーザ名とパスワードを入力します。
ドメインに存在するMicrosoft Azure ADのグローバル管理者、アプリケーション管理者、またはクラウドアプリケーション管理者のアカウントを入力して、「次へ」を選択します。
アカウントのパスワードを入力し、「サインイン」>「完了」>「完了」の順に選択します。
場合によっては、ドメインにサインインできないことがあります。一般的な理由は、以下のとおりです:
連携用に選択したドメインのユーザ名またはパスワードが間違っている。
連携用に選択したドメインにアカウントが含まれていない。
サインインに成功すると、Apple School Managerはこのドメインとのユーザ名との間の競合がないかチェックします。このドメインとFederated Authenticationを使用する前に、ユーザ名の競合チェックを完了する必要があります。
注記: アカウントの役割の変更は、Apple School ManagerをAzure ADにリンクした後に行うことができます。たとえば、アカウントの役割を講師の役割に変更する場合などが挙げられます。
Federated Authenticationを有効にする
Federated Authenticationを有効にする前に、新しいドメインのリンクと確認を完了してください。
注記: SCIMを使用してAzure ADに接続する予定の場合は、SCIM接続が正常に完了したことを確認してから、Federated Authenticationを有効にする必要があります。
Apple School Managerで、管理者、サイトマネージャ、またはユーザマネージャの役割を持つユーザでサインインします。
サイドバーの下部にある自分の名前を選択し、「環境設定」を選択して、「アカウント」を選択します。
「ドメイン」セクションの「編集」を選択して、Apple School Managerに正常に追加されたドメインのFederated Authenticationを有効にします。
すべてのアカウントがアップデートされるまで、しばらく時間がかかる場合があります。
Federated Authenticationをテストする
以下のタスクを完了したら、Federated Authenticationの接続をテストできます:
ドメインへの接続と確認
ユーザ名の競合チェック
管理対象Apple IDのデフォルトフォーマットのアップデート
注記: 管理者、サイトマネージャ、ユーザマネージャの役割を持つユーザは、Federated Authenticationを使用してサインインできません。この役割では、連携プロセスの管理のみが可能です。
Apple School Managerで、管理者、職員、学生の役割を持たないユーザでサインインします。
サインインしたユーザ名が見つかった場合、新しい画面にドメイン内のユーザでサインインしていることが表示されます。
「続ける」を選択し、ユーザのパスワードを入力して、「サインイン」を選択します。
Apple School Managerからサインアウトします。
注記: ユーザは、まず別のAppleデバイスから管理対象Apple IDにサインインするまで、iCloud.comにサインインすることはできません。