Gefedereerde authenticatie met Microsoft Azure AD gebruiken in Apple School Manager
In Apple School Manager kun je een koppeling maken met Microsoft Azure Active Directory (Azure AD) om toe te staan dat gebruikers kunnen inloggen met hun Azure AD-gebruikersnaam en -wachtwoord.
Azure AD is de identiteitsprovider (IdP) die de gebruiker authenticeert voor Apple School Manager en authenticatie-tokens uitgeeft. Deze authenticatie ondersteunt authenticatie van certificaten en twee-factor-authenticatie (2FA). Omdat Apple School Manager Azure AD ondersteunt, werken andere identiteitsproviders die verbinden met Azure AD, zoals Active Directory Federation Services (ADFS), ook met Apple School Manager.
Belangrijk: Gefedereerde authenticatie vereist dat de User Principal Name (hoofdnaam gebruiker, UPN) van de gebruikers overeenkomt met hun e‑mailadres. User Principal Name-aliassen en alternatieve ID's worden niet ondersteund.
Gefedereerde authenticatie en directory-synchronisatie met Microsoft-tenants
Om de Azure AD-app van Apple School Manager met Microsoft-tenants toe te voegen, moet de beheerder van de tenants het configuratieproces voor gefedereerde authenticatie doorlopen, inclusief het testen van de authenticatie. Als de authenticatie is gelukt, wordt de Azure AD-app van Apple School Manager ingevuld in de tenant en kan de beheerder domeinen federeren en Apple School Manager configureren voor het gebruik van SCIM (System for Cross-domain Identity Management) voor directory-synchronisatie. Zie SCIM-vereisten bekijken.
Voordat je aan de slag gaat
Er zijn drie stappen om Apple School Manager aan Azure AD te koppelen en gefedereerde authenticatie te gebruiken:
Een domein toevoegen en verifiëren. Zie Aan nieuwe domeinen koppelen.
Meerdere domeinen kunnen worden gefedereerd, maar ze moeten van dezelfde enkele publieke tenant zijn. Probeer je een domein te federeren dat je al hebt geverifieerd, maar een andere organisatie heeft het identieke domein al gefedereerd? Neem dan contact op met die organisatie om vast te stellen wie het recht heeft om het domein te federeren. Raadpleeg Over domeinconflicten.
Belangrijk: De gefedereerde authenticatietest wijzigt ook de standaardindeling van je beheerde Apple ID. Nieuwe accounts die zijn aangemaakt in je studenteninformatiesysteem (SIS) of geüpload met Secure File Transfer Protocol (SFTP), gebruiken de nieuwe beheerde Apple ID-indeling.
Het proces voor gefedereerde authenticatie configureren.
De authenticatie testen met één Azure AD-domeinaccount.
Het proces voor gefedereerde authenticatie configureren
Deze taak staat Azure AD toe om Apple School Manager te vertrouwen.
Log bij Apple School Manager in als een gebruiker met de rol van beheerder, systeembeheerder of personenmanager.
Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren' en selecteer 'Accounts' .
Selecteer 'Bewerk' naast 'Gefedereerde authenticatie' en selecteer vervolgens 'Verbind'.
Selecteer 'Log in met Microsoft', voer een account van Microsoft Azure AD in voor een algemene beheerder, toepassingsbeheerder of cloudtoepassingsbeheerder en selecteer 'Volgende'.
Voer het wachtwoord voor de account in en selecteer vervolgens 'Log in'.
Lees de overeenkomst voor de applicatie goed door en selecteer vervolgens 'Akkoord'.
Je gaat ermee akkoord dat Microsoft toegang geeft aan Apple tot gegevens in Azure AD.
Selecteer 'Gereed'.
Opmerking: Als je deze stap hebt voltooid, kunnen gebruikers geen nieuwe persoonlijke Apple ID’s meer maken op het domein dat jij configureert. Dit kan ook invloed hebben op andere diensten van Apple die je gebruikt. Raadpleeg Services van Apple overzetten bij federatie.
In bepaalde gevallen kun je je domein mogelijk niet toevoegen. Veelvoorkomende redenen zijn:
De gebruikte Microsoft Azure AD-account voor algemeen beheerder, programmabeheerder, of cloudprogrammabeheerder heeft geen bevoegdheden om domeinen toe te voegen in Azure AD.
De gebruikersnaam of het wachtwoord van de account in stap 4 is onjuist.
Authenticatie testen met één Azure AD-account
Deze taak staat Apple School Manager toe om Azure AD te vertrouwen. Nadat je eigendom van je domein hebt geverifieerd en met succes de authenticatie hebt getest met een enkele Azure AD-account, kun je extra accounts aanmaken en doorgaan met het federeren van je domein.
Selecteer 'Federeer' naast het domein dat je wilt federeren.
Selecteer 'Log in op Microsoft Azure Portal' en voer je gebruikersnaam en wachtwoord in.
Voer een Microsoft Azure AD-account in voor een algemene beheerder, toepassingsbeheerder of cloudtoepassingsbeheerder die bestaat in het domein en selecteer 'Volgende'.
Voer het wachtwoord voor de account in, selecteer 'Log in', selecteer 'Gereed' en vervolgens 'Gereed'.
In bepaalde gevallen kun je mogelijk niet inloggen op je domein. Hieronder een aantal veelvoorkomende redenen:
De gebruikersnaam of het wachtwoord van het domein dat je hebt gekozen om te federeren, is niet juist.
De account bevindt zich niet in het domein dat je hebt gekozen om te federeren.
Wanneer het inloggen is geslaagd, controleert Apple School Manager of er conflicterende gebruikersnamen zijn bij dit domein. De controle op conflicterende gebruikersnamen moet voltooid zijn voordat je gefedereerde authenticatie voor dit domein kunt gebruiken.
Opmerking: Nadat je Apple School Manager met succes hebt gekoppeld met Azure AD, kun je de rol van een account wijzigen. Misschien wil je bijvoorbeeld de rol van een account veranderen in een docentenrol.
Gefedereerde authenticatie inschakelen
Voordat je gefedereerde authenticatie inschakelt, moet je controleren of je hebt gekoppeld naar een nieuw domein en dit hebt geverifieerd.
Opmerking: Als je van plan bent om via SCIM verbinding te maken met Azure AD, moet je wachten met het inschakelen van gefedereerde authenticatie tot de SCIM-verbinding is gelukt.
Log bij Apple School Manager in als een gebruiker met de rol van beheerder, systeembeheerder of personenmanager.
Selecteer je naam onder in de navigatiekolom, selecteer 'Voorkeuren' en selecteer 'Accounts' .
Selecteer 'Bewerk' in het gedeelte 'Domeinen' en zet vervolgens gefedereerde authenticatie aan voor de domeinen die met succes zijn toegevoegd aan Apple School Manager.
Het kan even duren voordat alle accounts zijn bijgewerkt.
Gefedereerde authenticatie testen
Je kunt de verbinding van gefedereerde authenticatie testen nadat je de volgende taken hebt uitgevoerd:
De verbinding naar en verificatie van je domein zijn met succes voltooid.
De controle op conflicterende gebruikersnamen is voltooid.
De standaardindeling van de beheerde Apple ID is bijgewerkt.
Opmerking: Gebruikers met rol van beheerder, systeembeheerder of personenmanager kunnen niet inloggen met gefedereerde authenticatie; zij kunnen het federatieproces alleen beheren.
Log bij Apple School Manager in met een gebruiker die niet de rol heeft van beheerder, medewerker of leerling.
Als de gebruikersnaam waarmee je bent ingelogd is gevonden, staat in een nieuw scherm dat je inlogt met een gebruiker in je domein.
Selecteer 'Ga door', voer het wachtwoord voor de gebruiker in en selecteer vervolgens 'Log in'.
Log uit bij Apple School Manager.
Opmerking: Gebruikers kunnen niet inloggen op iCloud.com tenzij ze eerst met hun beheerde Apple ID inloggen op een ander Apple apparaat.