Azure AD-synchronisatievereisten met Apple School Manager
Je kunt het System for Cross-domain Identity Management (SCIM) gebruiken om gebruikers naar Apple School Manager te importeren. Met dit systeem voeg je eigenschappen van Apple School Manager (zoals niveau en rollen) samen met gebruikersaccountgegevens die zijn geïmporteerd uit Microsoft Azure Active Directory (Azure AD). Wanneer je SCIM gebruikt om gebruikers te importeren, worden de accountgegevens als alleen-lezen toegevoegd totdat je de verbinding met SCIM verbreekt. Op dat moment worden de accounts handmatige accounts. Vervolgens kunnen kenmerken in deze accounts worden bewerkt. De eerste synchronisatie met Apple School Manager duurt langer dan de volgende cycli, die ongeveer elke 40 minuten plaatsvinden zolang de Azure AD-inrichtingsservice actief is. Zie Tips voor inrichting op de website met Microsoft Azure-documentatie.
Azure AD-bevoegdheden
De volgende rollen in Azure AD kunnen SCIM gebruiken om accounts te synchroniseren met Apple School Manager:
Programmabeheerder
Cloudprogrammabeheerder
Programma-eigenaar
Algemene beheerder
Zie Ingebouwde Azure AD-rollen op de website van Microsoft Azure AD.
Azure AD-tenants
Als je SCIM wilt gebruiken met Apple School Manager, mag je organisatie niet dezelfde Azure AD-tenant hebben als een andere Apple School Manager-organisatie. Als je SCIM voor je organisatie wilt gebruiken, neem dan contact op met je Azure AD-beheerder om ervoor te zorgen dat geen andere Apple School Manager-organisatie je Azure AD-tenant gebruikt voor SCIM.
Azure AD-groepen
In Azure AD gebruiken beide synchronisatiemethoden het woord Groepen, maar worden alleen gebruikersaccounts gesynchroniseerd. Je kunt Azure AD-groepen toevoegen aan de Apple School Manager Azure AD-app. Als je bijvoorbeeld groepen in Azure AD hebt met de naam Medewerkers, Docenten en Leerlingen, kun je die drie groepen toevoegen aan de Apple School Manager Azure AD-app. Als je verbinding maakt via SCIM, worden alleen accounts in die groepen gesynchroniseerd met Apple School Manager.
Opmerking: Subgroepen worden niet ondersteund in de Apple School Manager Azure AD-app.
Inrichtingsbereik
Er zijn twee manieren waarop je accounts van Azure AD naar Apple School Manager kunt synchroniseren.
Alleen toegewezen gebruikers en groepen synchroniseren: Met deze optie worden alleen de accounts die worden weergegeven in de Apple School Manager Azure AD-app gesynchroniseerd met Apple School Manager. Wanneer je deze methode gebruikt om te synchroniseren, moeten Azure AD-accounts de rol van gebruiker hebben om te synchroniseren met Apple School Manager.
Alle gebruikers en groepen synchroniseren: Met deze optie worden alle accounts (synchronisatiegroepen wordt niet ondersteund) die worden weergegeven op het tabblad Azure AD-gebruiker gesynchroniseerd met Apple School Manager en worden beheerde Apple ID's aangemaakt voor alle gefedereerde Azure AD-accounts, zelfs als je van plan bent slechts een specifiek aantal accounts te gebruiken.
Raadpleeg de Microsoft Support-artikelen Wat is geautomatiseerde gebruikersinrichting voor SaaS-toepassing in Azure AD? en Toewijzing van toepassingen op basis van kenmerken met bereikfilters.
Inrichtingsmeldingen
Als je de inrichting configureert, moet je het e-mailadres gebruiken van een gebruiker met de rol beheerder, systeembeheerder of personenmanager zodat zij meldingen kunnen ontvangen van Azure AD.
SCIM en gefedereerde authenticatie
Als federatie al is ingeschakeld wanneer de Azure AD-accounts naar Apple School Manager worden verzonden, zie je geen activiteit, maar worden de accounts nog steeds gesynchroniseerd vanaf het gefedereerde domein.
Azure AD is de identiteitsprovider (IdP) die de gebruiker authenticeert voor Apple School Manager en authenticatie-tokens uitgeeft. Omdat Apple School Manager Azure AD ondersteunt, werken andere identiteitsproviders die verbinden met Azure AD, zoals Active Directory Federated Services (ADFS), ook met Apple School Manager. Gefedereerde authenticatie gebruikt Security Assertion Markup Language (SAML) om Apple School Manager te verbinden met Azure AD.
Azure AD-gebruikersaccounts en Apple School Manager
Wanneer een gebruiker van Azure AD via SCIM naar Apple School Manager wordt gekopieerd, is de standaardrol Leerling. Nadat de synchronisatie is voltooid, kunnen de volgende gebruikerskenmerken worden bewerkt:
Rollen
Onderwijsniveau
SIS-gebruikersnaam (studenteninformatiesysteem)
Deze kenmerken worden met de gebruikersaccount bewaard in Apple School Manager en worden niet teruggeschreven naar Azure AD.
Toewijzing van gebruikerskenmerken in SCIM
Wanneer een account van Azure AD via SCIM naar Apple School Manager wordt gekopieerd, worden de volgende gebruikerskenmerken bewaard als alleen-lezen. De tabel geeft ook aan of het gebruikerskenmerk vereist is.
Belangrijk: Als je kenmerken toevoegt die niet in de tabel staan, wordt de SCIM-verbinding verbroken.
Azure AD-gebruikerskenmerk | Apple School Manager-gebruikerskenmerk | Vereist |
|---|---|---|
Voornaam | Voornaam |
|
Achternaam | Achternaam |
|
User Principal Name (hoofdnaam gebruiker) | Beheerde Apple ID en e‑mailadres |
|
Object-ID | (Niet zichtbaar in Apple School Manager. Dit kenmerk wordt gebruikt om conflicterende accounts te identificeren.) |
|
Afdeling | Afdeling |
|
Medewerkers-ID | Persoonsnummer |
|
Aangepast kenmerk (moet worden aangemaakt in de Azure AD-app van Apple School Manager) | Kostenplaats |
|
Aangepast kenmerk (moet worden aangemaakt in de Azure AD-app van Apple School Manager) | Afdeling |
|
User Principal Name (hoofdnaam gebruiker)
Als een gebruiker een User Principal Name (UPN) heeft die precies hetzelfde is als een bestaande Apple School Manager-gebruiker die de rol beheerder, sitemanager of personenmanager heeft, wordt er geen synchronisatie uitgevoerd en blijft het bronveld ongewijzigd. Dit gebeurt ongeacht de oorspronkelijk gebruikte synchronisatiemethode (SIS of SFTP).
Persoons-ID
Wanneer een Azure AD-gebruiker wordt gesynchroniseerd met Apple School Manager, wordt er een persoons-ID aangemaakt voor de Apple School Manager-gebruikersaccount. De persoons-ID en object-ID worden gebruikt om conflicterende gebruikersaccounts te identificeren.
De persoons-ID wordt automatisch gegenereerd voor gebruikers die zijn geïmporteerd met SCIM of met SIS-integratie, maar deze wordt niet automatisch gegenereerd voor gebruikers die zijn geïmporteerd met SFTP.
Als de verbinding met SCIM wordt verbroken en SFTP gebruikers opnieuw moet uploaden, worden nieuwe gebruikers aangemaakt, tenzij de persoons-ID in het SFTP-uploadbestand overeenkomt met de persoons-ID die is toegewezen door SCIM. Zie Accounts importeren met SFTP.
Als je de persoons-ID wijzigt voor een account die eerder uit SCIM is geïmporteerd, wordt die account niet meer gekoppeld aan Azure AD. Als je de persoons-ID hebt gewijzigd voor een account die eerder uit SCIM is geïmporteerd en je wilt de account opnieuw verbinden met SCIM, raadpleeg je Conflicten SCIM-gebruikersaccounts oplossen.
Aanbevelingen
Gebruik alleen de Apple School Manager Azure AD-app wanneer je verbinding maakt met SCIM.
Als je een geverifieerd domein hebt maar geen gefedereerde authenticatie hebt ingeschakeld, moet je wachten met het inschakelen van federatie totdat je hebt geverifieerd dat de Azure AD-gebruikers naar Apple School Manager zijn verzonden. Dit kun je doen door de Azure AD-inrichtingslogboeken te bekijken. Nadat je hebt gecontroleerd of de Azure AD-gebruikers zijn verzonden, ontvang je bij het inschakelen van federatie een melding van een activiteit wanneer Azure AD-gebruikers worden ingericht. Als federatie al is ingeschakeld wanneer de Azure AD-gebruikers worden verzonden, zie je geen activiteit, maar worden de gebruikers nog steeds gesynchroniseerd.
Als je een groep hebt geconfigureerd in Azure AD, kun je die groep toevoegen aan de Apple School Manager Azure AD-app in plaats van elke gebruiker toe te voegen.
Belangrijk: Gebruik een gebruikersnaam niet opnieuw gedurende 120 dagen in de Apple School Manager Azure AD-app.
Voordat je aan de slag gaat
Voordat je aan de slag gaat, moet je het volgende doen:
Verbreek de verbinding met je studenteninformatiesysteem (SIS) of stop met uploaden met SFTP.
Configureer en verifieer het domein dat je wilt gebruiken. Zie Aan nieuwe domeinen koppelen.
Configureer gefedereerde authenticatie (maar schakel dit niet in). Raadpleeg Authenticatie inschakelen en een test uitvoeren
Opmerking: Als gefedereerde authenticatie al is ingeschakeld, kun je nog steeds doorgaan. Zie de aanbevelingen in het vorige gedeelte.
Bepaal het type synchronisatie in Azure AD en maak indien nodig groepen aan om alleen toegewezen accounts met de Apple School Manager Azure AD-app te synchroniseren:
Alleen toegewezen gebruikers synchroniseren.
Alle gebruikers synchroniseren.
Laat een Azure AD-beheerder met bevoegdheden om bedrijfstoepassingen te bewerken op stand-by staan. Als jullie er allebei klaar voor zijn, raadpleeg dan SCIM gebruiken om gebruikers te importeren.