Inleiding tot gefedereerde authenticatie met Apple School Manager
Je kunt Gefedereerde authenticatie gebruiken om Apple School Manager te koppelen aan het volgende:
Google Workspace
Microsoft Entra ID
Je identiteitsprovider (IdP)
Opmerking: Je kunt koppelen met Google Workspace, Microsoft Entra ID of je IdP, maar slechts met één tegelijk.
Gebruikers kunnen dan inloggen op de aan hen toegewezen iPhone, iPad, Mac, Apple Vision Pro en bij gedeelde iPad met hun bestaande gebruikersnaam (meestal hun e-mailadres) en wachtwoord. Nadat ze hebben ingelogd bij een van die apparaten, kunnen ze ook inloggen bij iCloud op internet op een Mac (iCloud voor Windows ondersteunt geen beheerde Apple Accounts).
Belangrijk: Wanneer de verbinding verlopen is, wordt de federatie en synchronisatie van gebruikersaccounts gestopt. Je moet opnieuw verbinding maken om gefedereerde authenticatie en synchronisatie te blijven gebruiken.
Er zijn bepaalde scenario’s waarin je gefedereerde authenticatie kunt gebruiken:
Uitsluitend gefedereerde authenticatie
Wanneer Apple School Manager en Google Workspace, Microsoft Entra ID of je IdP zijn gekoppeld, worden automatisch beheerde Apple Accounts aangemaakt voor gebruikers. Ze kunnen vervolgens inloggen met hun bestaande gebruikersnaam (over het algemeen hun e-mailadres) en wachtwoord.
Bekijk de volgende mogelijkheden:
Gefedereerde authenticatie met directory-synchronisatie
Je kunt ook gebruikersaccounts van Google Workspace, Microsoft Entra ID of je IdP synchroniseren met Apple School Manager. Als je een verbinding voor directory-synchronisatie instelt, kun je Apple School Manager-eigenschappen (zoals niveau en rollen) toevoegen aan met gebruikersaccountgegevens die zijn geïmporteerd uit een van die services. De gebruikersaccountgegevens van de service worden toegevoegd als alleen-lezen totdat je synchroniseren uitschakelt. Op dat moment worden de accounts handmatige accounts. Vervolgens kunnen kenmerken in deze accounts worden bewerkt. Als een gebruikersaccount wordt verwijderd uit een van die services, kan die gebruikersaccount ook worden verwijderd uit Apple School Manager. Bekijk de volgende mogelijkheden:
Gefedereerde authenticatie met gebruikers van een Studenteninformatiesysteem (SIS) of bestanden gebruiken die zijn geüpload met SFTP
Als je gefedereerde authenticatie wilt gebruiken met je SIS- of csv-bestanden, moet je gefedereerde authenticatie eerst configureren en inschakelen.
Als je een koppeling wilt maken met Google Workspace, Microsoft Entra ID of je IdP en een koppeling wilt maken met je SIS of bestanden wilt uploaden met SFTP, doe je het volgende:
Je kunt dan je SIS integreren of bestanden uploaden met SFTP. Alle informatie, zoals klassen en roosters, wordt gematcht met de gebruikers uit je systeem voor Google Workspace, Microsoft Entra ID of je IdP. Als een gebruikersaccount is verwijderd uit Google Workspace, Microsoft Entra ID of je IdP, moet die gebruikersaccount worden gedeactiveerd in Apple School Manager. Dit kan alleen door een account die bevoegdheden heeft om de status van gebruikers te wijzigen.
Belangrijk: Als je integreert met een studenteninformatiesysteem (SIS) of gebruikersaccounts importeert met Secure File Transfer Protocol (SFTP), en je gebruikt gefedereerde authenticatie, dan moet het e-mailadres van de gebruiker in SIS overeenkomen met de gebruikersnaam voor Google Workspace, Microsoft Entra ID of je IdP waarmee deze al inlogt.
Gefedereerde authenticatie met Gedeelde iPad
Als je gefedereerde authenticatie gebruikt met Gedeelde iPad gaat het inlogproces anders als de gebruikersaccount al bestaat in Apple School Manager. Om de loginscenario’s voor Gedeelde iPad te bekijken, raadpleeg je Inloggen op Gedeelde iPad.
Het standaardwachtwoordbeleid is Standaard (8 of meer letters en cijfers) en kan worden gewijzigd. Raadpleeg Scenario’s wachtwoordbeleid.
Als gebruikers hun toegangscode vergeten, moet je de toegangscode voor de Gedeelde iPad opnieuw instellen.
Voordat je aan de slag gaat
Voordat je gefedereerde authenticatie gebruikt met Google Workspace, Microsoft Entra ID of je IdP, moet je het volgende overwegen:
Vereisten
Apple apparaten moeten aan de volgende minimale vereisten voor het besturingssysteem voldoen:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Je moet de verbinding met je studenteninformatiesysteem (SIS) verbreken of uploaden met SFTP stoppen.
Je moet het proces 'Domein vastleggen' vergrendelen en inschakelen. Zie Een domein vergrendelen.
Er zijn geen conflicten met beheerde Apple Accounts. Raadpleeg Conflicten met beheerde Apple Accounts.
Gebruikersaccounts met de rol van beheerder, systeembeheerder of personenmanager kunnen niet inloggen met gefedereerde authenticatie; zij kunnen het federatieproces alleen beheren.
Als je gefedereerde authenticatie gebruikt, is de instelling Standaardformaat beheerde Apple Account niet van toepassing.
Voor IdP specifieke vereisten
In geval van een koppeling met Google Workspace:
Gefedereerde authenticatie moet het e-mailadres van de gebruiker gebruiken als de gebruikersnaam. Aliassen worden niet ondersteund.
In geval van een koppeling met Microsoft Entra ID:
Je moet een gebruiker met de rol Globale beheerder voor Entra ID gebruiken om de taak Gefedereerde authenticatie goedkeuren hieronder te voltooien. Nadat de verbinding is gelukt, kun je de rol van de gebruiker van Algemene beheerder wijzigen in een andere rol met de vereiste bevoegdheden om de verbinding te behouden. Zie Standaard Microsoft-rollen die domeinen, directory-synchronisatie en domein lezen ondersteunen voor meer informatie.
Voor gefedereerde authenticatie met Microsoft Entra ID moet de userPrincipalName (UPN) van de gebruiker overeenkomen met diens e-mailadres. userPrincipalName-aliassen en alternatieve ID's worden niet ondersteund.
Als je een koppeling maakt met een IdP, moet je over de volgende informatie beschikken:
Een geverifieerd domein dat je wilt gebruiken. Zie Een domein toevoegen en verifiëren.
Inlogmethode: Gebruik Open ID Connect (OIDC).
Bereiktoegang: Toegang moet worden verleend voor
ssf.manageenssf.read.Configuratie-URL voor Shared Signals Framework (SSF): raadpleeg de documentatie van je IdP.
Configuratie-URL voor OpenID: raadpleeg de documentatie van je IdP.
Automatische wijzigingen
Voor bestaande Apple School Manager-gebruikers met een e-mailadres in het gefedereerde domein wordt hun beheerde Apple Account automatisch gewijzigd zodat deze overeenkomt met dat e-mailadres.