Krav til synkronisering av Azure AD med Apple School Manager
Du kan bruke SCIM (system for identitetsadministrering mellom domener) til å importere brukere til Apple School Manager. Med dette systemet kan du slå sammen Apple School Manager-egenskaper (f.eks. klassetrinn og roller) med brukerkontodata som importeres fra Microsoft Azure Active Directory (Azure AD). Når du bruker SCIM til å importere brukere, legges kontoinformasjonen til som skrivebeskyttet inntil du kobler fra SCIM. På dette tidspunktet blir kontoene manuelle kontoer, og attributtene i disse kontoene kan da redigeres. Den første synkroniseringen tar lengre tid å utføre enn etterfølgende sykluser, som finner sted ca. hvert 40. minutt så lenge klargjøringstjenesten for Azure AD kjører. Se Provisioning tips (Tips til klargjøring) på dokumentasjonsnettstedet for Microsoft Azure.
Azure AD-tillatelser
Følgende roller i Azure AD kan bruke SCIM til å synkronisere kontoer til Apple School Manager:
Programadministrator
Skyprogramadministrator
Programeier
Global administrator
Se Azure AD built-in roles (Innebygde roller i Azure AD) på Microsoft Azure AD-nettstedet.
Azure AD-leietakere
For å bruke SCIM sammen med Apple School Manager kan organisasjonen din ikke ha samme Azure AD-leietaker som en annen Apple School Manager-organisasjon. Hvis du vil bruke SCIM for organisasjonen din, må du ta kontakt med Azure AD-administratoren for å forsikre deg om at Azure AD-leietakeren din ikke brukes sammen med SCIM av noen annen organisasjon.
Azure AD-grupper
I Azure AD bruker begge synkroniseringsmetodene ordet Grupper, men kun brukerkontoer blir synkronisert. Du kan legge til Azure AD-grupper i Apple School Manager Azure AD-appen. Hvis du for eksempel har grupper i Azure AD kalt Personale, Instruktører og Elever/studenter, kan du legge til disse tre gruppene i Apple School Manager Azure AD-appen. Når du kobler til med SCIM, synkroniseres kun kontoene i disse gruppene til Apple School Manager.
Merk: Undergrupper støttes ikke i Apple School Manager Azure AD-appen.
Omfang av klargjøring
Det er to fremgangsmåter for synkronisering av kontoer fra Azure AD til Apple School Manager.
Synkroniser kun tilordnede brukere og grupper: Dette alternativet synkroniserer kun kontoene som vises i Apple School Manager Azure AD-appen til Apple School Manager. Når du bruker denne metoden til å synkronisere, må Azure AD-kontoene ha rollen som Bruker for å synkroniseres til Apple School Manager.
Synkroniser alle brukere og grupper: Dette alternativet synkroniserer alle kontoer (synkronisering av grupper støttes ikke) i Azure AD-brukerfanen til Apple School Manager og oppretter administrerte Apple-ID-er for alle forente Azure AD-kontoer, selv hvis du bare vil bruke et spesifikt antall kontoer.
Se Microsoft-kundestøtteartiklene What is automated SaaS app user provisioning in Azure AD? (Hva er automatisert klargjøring av SaaS-appbrukere i Azure AD?) og Attribute-based application provisioning with scoping filters (Attributtbasert programklargjøring med omfangsfiltre).
Varslinger om klargjøring
Når du konfigurerer klargjøring, må du bruke e-postadressen til en bruker med rollen administrator, institusjonsansvarlig eller personansvarlig, slik at vedkommende kan motta varslinger fra Azure AD.
SCIM og forent autentisering
Hvis forening allerede er slått på når Azure AD-kontoer sendes til Apple School Manager, ser du ikke noen aktivitet, men kontoer synkroniserer fortsatt fra det forente domenet.
Azure AD er identitetsleverandøren (IdP) som godkjenner brukeren for Apple School Manager og utsteder autentiseringstokener. Apple School Manage støtter Azure AD, noe som betyr at andre IdP-er som kobler til Azure AD – som Active Directory Federated Services (ADFS) – også fungerer. Forent autentisering bruker Security Assertion Markup Language (SAML) for å koble Apple School Manager til Azure AD.
Azure AD-brukerkontoer og Apple School Manager
Når en bruker kopieres fra Azure AD med SCIM til Apple School Manager, er standardrollen elev/student. Når synkroniseringen er fullført, kan følgende brukeregenskaper redigeres:
Roller
Klassetrinn
Brukernavn for studentinformasjonssystem (SIS)
Disse attributtene lagres med brukerkontoen i Apple School Manager, og blir ikke skrevet tilbake til Azure AD.
Tilordning av brukerattributter i SCIM
Når en konto kopieres fra Azure AD til Apple School Manager med SCIM, lagres følgende attributter med skrivebeskyttelse. Tabellen angir også om brukerattributtet er obligatorisk.
Viktig: Hvis du legger til attributter som ikke er oppført i tabellen, brytes SCIM-tilkoblingen.
Azure AD-brukerattributt | Apple School Manager-brukerattributt | Påkrevd |
---|---|---|
Fornavn | Fornavn | |
Etternavn | Etternavn | |
Brukerhovednavn | Administrert Apple-ID og e-postadresse | |
Objekt-ID | (Vises ikke i Apple School Manager. Dette attributtet brukes for å identifisere kontoer med konflikter.) | |
Avdeling | Avdeling | |
ID-nummer for ansatt | Personnummer | |
Tilpasset attributt (må opprettes i Apple School Manager Azure AD-appen) | Kostnadssenter | |
Tilpasset attributt (må opprettes i Apple School Manager Azure AD-appen) | Divisjon |
Brukerhovednavn
Hvis en bruker har et brukerhovednavn (UPN) som er identisk med navnet til en eksisterende Apple School Manager-bruker som har rollen administrator, institusjonsansvarlig eller personansvarlig, utføres det ingen synkronisering, og kildefeltet forblir uendret. Dette skjer uavhengig av synkroniseringsmetoden som opprinnelig ble brukt (SIS eller SFTP).
Person-ID
Når en Azure AD-brukerkonto synkroniseres til Apple School Manager, opprettes en person-ID for Apple School Manager-brukerkontoen. Person-ID og objekt-ID brukes til å identifisere brukerkontoer med konflikter.
Person-ID-en genereres automatisk for brukere som importeres via SCIM eller SIS-integrasjonen, men ikke for brukere som importeres via SFTP.
Hvis SCIM er frakoblet, og SFTP skal laste opp brukere igjen, opprettes nye brukere, med mindre person-ID-en i SFTP-opplastingsfilen samsvarer med person-ID-en som ble tilordnet av SCIM. Se Importer kontoer ved bruk av SFTP.
Hvis du endrer person-ID-en for en konto som tidligere ble importert fra SCIM, er ikke den aktuelle kontoen tilkoblet Azure AD lenger. Hvis du har endret person-ID-en for en konto som tidligere ble importert fra SCIM og vil koble kontoen til SCIM igjen, ser du Løs konflikter for SCIM-brukerkontoer.
Anbefalinger
Du bør bare bruke Apple School Manager Azure AD-appen når du kobler til SCIM.
Hvis du har et verifisert domene, men ikke har slått på forent autentisering, bør du ikke slå på forening før du har kontrollert at Azure AD-brukerne er sendt til Apple School Manager. Gjør dette ved å vise klargjøringsloggene for Azure AD. Når du slår på forening etter at du har kontrollert at Azure AD-brukerne har blitt sendt, blir du varslet av en aktivitet når Azure AD brukere blir klargjort. Hvis forening allerede er slått på når Azure AD-brukere sendes, ser du ikke noen aktivitet, men brukere synkroniserer fortsatt.
Hvis du har konfigurert en gruppe i Azure AD, kan du legge til den aktuelle gruppen i Apple School Manager Azure AD-appen i stedet for å legge til hver bruker.
Viktig: Ikke bruk et gammelt brukernavn på nytt i 120 dager i Apple School Manager Azure AD-appen.
Før du starter
Før du starter må du gjøre følgende:
Koble fra studentinformasjonssystemet (SIS) eller stans opplastinger med SFTP.
Konfigurer og verifiser domenet du vil bruke. Se Koble til nye domener.
Konfigurer (men ikke slå på) forent autentisering. Se Slå på og test forent autentisering.
Merk: Hvis forent autentisering allerede er slått på, kan du fortsette. Se anbefalingene i den forrige delen.
Fastslå typen synkronisering i Azure AD og, hvis det er nødvendig, opprett grupper for synkronisering kun av tilordnede kontoer til Apple School Manager Azure AD-appen:
Synkroniser kun tilordnede brukere.
Synkroniser alle brukere.
Vær på telefonen med en Azure AD-administrator med tillatelser til å redigere bedriftsprogrammer. Når dere er klare, ser du Importer brukere med SCIM.