Inleiding tot gebundelde authenticatie voor Apple School Manager
Je gebruikt gebundelde authenticatie om Apple School Manager te koppelen aan jouw specifieke Microsoft Azure Active Directory (AD). Het resultaat is dat jouw gebruikers hun Microsoft Azure AD-gebruikersnamen en wachtwoorden kunnen gebruiken als beheerde Apple ID’s. Ze kunnen hun Microsoft Azure AD-inloggegevens gebruiken om in te loggen op hun toegewezen iPad of Mac en zelfs in iCloud op het internet. Leerlingen kunnen deze ook gebruiken om in te loggen op gedeelde iPad.
Belangrijk: Gebundelde authenticatie vereist dat de UserPrincipalName van de gebruiker overeenkomt met zijn of haar e-mailadres. UserPrincipalName-aliassen worden niet ondersteund.
Om gebundelde authenticatie met Apple School Manager te gebruiken moeten je Apple apparaten aan de volgende vereisten voldoen:
macOS 10.13.4 of later
iOS 11,3 of later
Microsoft Azure AD is de Identiteitsverstrekker (IdP), die de gebruikersnamen en wachtwoorden bevat voor de accounts die je wilt gebruiken met Apple School Manager. Gebundelde authenticatie gebruikt Security Assertion Markup Language (SAML) om Apple School Manager te verbinden met Microsoft Azure AD.
Er zijn twee hoofdscenario’s voor het gebruik van gebundelde authenticatie:
Uitsluitend gebundelde authenticatie
Als je koppelt met Microsoft Azure AD worden beheerde Apple ID’s aangemaakt voor gebruikers als ze gewoon inloggen met dezelfde gebruikersnaam en wachtwoord die ze met Microsoft Azure AD-diensten gebruiken. Als een gebruiker wordt verwijderd uit Microsoft Azure AD kan die gebruiker worden verwijderd uit Apple School Manager.
Gebundelde authenticatie met gebruikers van andere bronnen
Wanneer je verbinding maakt met Microsoft Azure AD worden er automatisch beheerde Apple ID’s aangemaakt voor gebruikers en zij loggen gewoonweg in met hun huidige e-mailadres als hun beheerde Apple ID.
Vervolgens maak je verbinding met je SIS of upload je bestanden met SFTP. Alle informatie zoals klassen en deelnemerslijsten wordt gematcht met de gebruikers uit jouw Microsoft Azure AD-systeem. Als een gebruiker wordt verwijderd uit Microsoft Azure AD, moet die gebruiker worden gedeactiveerd in Apple School Manager door een account die bevoegdheden heeft om de status van gebruikers te wijzigen.
Belangrijk: Als je verbinding maakt met een studenteninformatiesysteem (SIS) of gebruikers importeert met Secure File Transfer Protocol (SFTP), en je gebruikt gebundelde authenticatie, dan moet het e-mailadres van de gebruiker in SIS overeenkomen met de Microsoft Azure AD-gebruikersnaam waarmee ze al inloggen.
Gebundelde authenticatie en gedeelde iPad
Als je gebundelde authenticatie gebruikt met gedeelde iPad is het inlogproces anders als een gebruiker al bestaat in Apple School Manager.
Als de gebruiker reeds bestaat moet je zijn of haar toegangscode opnieuw instellen. Zie Gedeelde iPad-toegangscodes opnieuw instellen
Als de gebruiker nog niet bestaat, wort deze doorverwezen om in te loggen via het Microsoft Azure AD-scherm. Zodra de gebruiker zijn identiteit met succes heeft bevestigd, moet deze een gedeelde iPad-toegangscode aanmaken.
Het standaardtoegangscodebeleid is Standaard en kan worden gewijzigd. Raadpleeg Scenario’s wachtwoordbeleid in Apple School Manager.
Opmerking: Alleen domeinen die niet door andere instellingen zijn geclaimd, kunnen worden toegevoegd.