Inleiding tot gefedereerde authenticatie met Apple School Manager
Je gebruikt gefedereerde authenticatie om Apple School Manager te koppelen aan je specifieke Microsoft Azure Active Directory (Azure AD). Het resultaat is dat je gebruikers hun gebruikersnamen (User Principal Name, hoofdnaam gebruiker) en wachtwoorden voor Azure AD kunnen gebruiken als beheerde Apple ID's. Ze kunnen hun inloggegevens voor Azure AD gebruiken om in te loggen op hun toegewezen iPad of Mac en zelfs bij iCloud op het internet. Leerlingen kunnen deze ook gebruiken om in te loggen op Gedeelde iPad.
Probeer je een domein te federeren dat je al hebt geverifieerd, maar een andere organisatie heeft het identieke domein al gefedereerd? Neem dan contact op met die organisatie om vast te stellen wie het recht heeft om het domein te federeren. Raadpleeg Over domeinconflicten.
Belangrijk: Gefedereerde authenticatie vereist dat de User Principal Name (hoofdnaam gebruiker, UPN) van de gebruikers overeenkomt met hun e‑mailadres. User Principal Name-aliassen en alternatieve ID's worden niet ondersteund.
Om gefedereerde authenticatie met Apple School Manager te gebruiken moeten je Apple apparaten aan de volgende vereisten voldoen:
iOS 11.3 of nieuwer
iPadOS 13.1 of nieuwer
macOS 10.13.4 of nieuwer
Azure AD is de identiteitsprovider (IdP) die de gebruiker authenticeert voor Apple School Manager en authenticatie-tokens uitgeeft. Omdat Apple School Manager Azure AD ondersteunt, werken andere identiteitsproviders die verbinden met Azure AD, zoals Active Directory Federation Services (ADFS), ook met Apple School Manager. Gefedereerde authenticatie gebruikt Security Assertion Markup Language (SAML) om Apple School Manager te verbinden met Azure AD.
Opmerking: Gebruikers kunnen niet inloggen op iCloud.com tenzij ze eerst met hun beheerde Apple ID inloggen op een ander Apple apparaat.
Gefedereerde authenticatie en System for Cross-domain Identity Management (SCIM)
Om de Azure AD-app van Apple School Manager met Microsoft-tenants toe te voegen, moet de beheerder van de tenants het configuratieproces voor gefedereerde authenticatie doorlopen, inclusief het testen van de authenticatie. Wanneer dit is geslaagd, wordt de Azure AD-app van Apple School Manager ingevuld in de tenant en kan de beheerder domeinen federeren en Apple School Manager configureren voor het gebruik van SCIM. Zie SCIM-vereisten bekijken.
Er zijn drie scenario's voor het gebruik van gefedereerde authenticatie:
Uitsluitend gefedereerde authenticatie
Als je koppelt met Azure AD worden beheerde Apple ID's voor gebruikers aangemaakt als ze inloggen, gewoon met dezelfde combinatie van gebruikersnaam en wachtwoord die ze met diensten voor Azure AD gebruiken. Als een gebruiker is verwijderd uit Azure AD, kan die gebruiker worden verwijderd uit Apple School Manager.
Gefedereerde authenticatie en gedeelde iPad
Als je gefedereerde authenticatie gebruikt met Gedeelde iPad gaat het inlogproces anders als een gebruiker al bestaat in Apple School Manager. Om de inlogscenario's met Gedeelde iPad en Apple School Manager te bekijken, raadpleeg je Overzicht van Gedeelde iPad.
Het standaardwachtwoordbeleid is Standaard (8 of meer letters en cijfers) en kan worden gewijzigd. Zie Scenario's wachtwoordbeleid.
Als gebruikers hun toegangscode vergeten, moet je een toegangscode voor Gedeelde iPad opnieuw instellen.
Gefedereerde authenticatie met gebruikers van andere bronnen
Wanneer je een koppeling maakt met Azure AD, worden er automatisch beheerde Apple ID's voor gebruikers aangemaakt. Zij loggen gewoon in met hun huidige e‑mailadres als hun beheerde Apple ID.
Vervolgens maak je verbinding met je SIS of upload je bestanden met SFTP. Alle informatie, zoals klassen en deelnemerslijsten, wordt gematcht met de gebruikers uit je systeem voor Azure AD. Als een gebruiker is verwijderd uit Azure AD, moet die gebruiker worden gedeactiveerd in Apple School Manager. Dit kan alleen door een account die bevoegdheden heeft om de status van gebruikers te wijzigen.
Belangrijk: Als je verbinding maakt met een studenteninformatiesysteem (SIS) of gebruikers importeert met Secure File Transfer Protocol (SFTP), en je gebruikt gefedereerde authenticatie, dan moet het e‑mailadres van de gebruiker in SIS overeenkomen met de gebruikersnaam voor Azure AD waarmee ze al inloggen.