Introduksjon til forent autentisering med Apple School Manager
Du kan bruke forent autentisering for å koble Apple School Manager til følgende:
Google Workspace
Microsoft Entra ID
Identitetsleverandøren (IdP-en) din
Merk: Du kan tilknytte Google Workspace, Microsoft Entra ID eller IdP-en din, men bare en av disse om gangen.
Dermed kan brukere logge seg på sin tilordnede iPhone, iPad, Mac, Apple Vision Pro og på Delt iPad ved hjelp av sitt eksisterende brukernavn (vanligvis e-postadressen) og passord. Når de har logget seg på en av disse enhetene, kan de også logge seg på iCloud på nettet på en Mac (iCloud for Windows støtter ikke administrerte Apple-kontoer).
Viktig: Når tilkoblingen er utløpt, stopper forening og synkronisering av brukerkontoer. Du må koble til på nytt for å fortsette å bruke forent autentisering og synkronisering.
Det finnes spesifikke situasjoner der det kan hende du ønsker å bruke forent autentisering:
Kun forent autentisering
Når Apple School Manager er sammenkoblet med Google Workspace, Microsoft Entra ID eller identitetsleverandøren din, blir det automatisk opprettet administrerte Apple-kontoer for brukerne. De kan deretter logge på med de eksisterende brukernavnene (vanligvis e-postadresser) og passordene sine.
Les følgende:
Forent autentisering med katalogsynkronisering
Du kan også synkronisere brukerkontoer fra Google Workspace, Microsoft Entra ID eller identitetsleverandøren din med Apple School Manager. Når du konfigurerer en tilkobling for katalogsynkronisering, kan du legge til egenskaper fra Apple School Manager (som klassetrinn og roller) i brukerkontodata som importeres fra en av disse tjenestene. Brukerkontoinformasjonen for tjenestene legges til som skrivebeskyttet frem til du slår av synkronisering. På dette tidspunktet blir kontoene manuelle kontoer, og attributtene i disse kontoene kan da redigeres. Hvis en brukerkonto fjernes fra en av disse tjenestene, kan brukerkontoen fjernes fra Apple School Manager. Les følgende:
Forent autentisering med brukere fra et studentinformasjonssystem (SIS) eller med filer lastet opp via SFTP
Hvis du planlegger å bruke forent autentisering med SIS- eller CSV-filene dine, bør du først konfigurere og slå på forent autentisering.
Når du vil koble til Google Workspace, Microsoft Entra ID eller IdP-en din, og koble til SIS-en din eller laste opp filer via SFTP, må du gjøre følgende:
Deretter kan du integrere SIS eller laste opp filer med SFTP. All informasjon, som klasser og klasselister, blir sjekket opp mot brukere fra Google Workspace, Microsoft Entra ID eller IdP-en din. Hvis en brukerkonto fjernes fra Google Workspace, Microsoft Entra ID eller IdP-en din, må den aktuelle brukerkontoen deaktiveres i Apple School Manager av en konto som har tillatelse til å endre statusen for brukere.
Viktig: Hvis du integrerer med et studentinformasjonssystem (SIS) eller importerer brukerkontoer med SFTP (Secure File Transfer Protocol) og bruker forent autentisering, må brukerens e-postadresse i SIS samsvare med Google Workspace-, Microsoft Entra ID- eller IdP-brukernavnet som vedkommende allerede bruker til å logge på.
Forent autentisering med Delt iPad
Når du bruker forent autentisering med Delt iPad, er påloggingsprosessen forskjellig avhengig av om brukerkontoen allerede finnes i Apple School Manager. Du kan se påloggingsscenarioene på Logg på en delt iPad.
Retningslinjer for kode er forhåndsinnstilt til standard (minst 8 bokstaver og siffer) og kan endres. Se Scenarioer for passordregel.
Hvis brukeren glemmer koden, må du tilbakestille brukerens kode for Delt iPad.
Før du starter
Før du bruker forent autentisering med Google Workspace, Microsoft Entra ID eller IdP-en din, bør du vurdere følgende:
Krav
Apple-enheter må oppfylle følgende minimumskrav for operativsystem:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Du må koble fra studentinformasjonssystemet (SIS) eller stanse opplastinger med SFTP.
Du må låse og slå på domenekravprosessen. Se Lås et domene.
Det er ingen konflikter for administrerte Apple-kontoer. Les Konflikter mellom administrerte Apple-kontoer.
Brukerkontoer som har rollen administrator, institusjonsansvarlig eller personansvarlig, kan ikke logge på med forent autentisering. De kan kun administrere foreningsprosessen.
Ved bruk av forent autentisering gjelder ikke innstillingen for standardformat for administrerte Apple-kontoer.
IdP-spesifikke krav
Ved kobling til Google Workspace:
Forent autentisering skal bruke brukerens e-postadresse som brukernavnet til vedkommende. Alias støttes ikke.
Ved kobling til Microsoft Entra ID:
Du må bruke en bruker med rollen Global administrator for Entra ID for å fullføre oppgaven Godkjenn forent autentisering nedenfor. Når tilkoblingen er vellykket, kan du endre brukerens rolle fra Global administrator til en annen rolle med påkrevde tillatelser for å opprettholde tilkoblingen. Hvis du vil ha mer informasjon, kan du se Standard Microsoft-roller som støtter domener, katalogsynkronisering og lesing av domeneinformasjon.
Forent autentisering med Microsoft Entra ID krever at brukerens UPN (userPrincipalName) stemmer overens med brukerens e-postadresse. Alias for userPrincipalName og alternative ID-er støttes ikke.
Ved kobling til en IdP må du ha følgende informasjon:
Et bekreftet domene du ønsker å bruke. Se Legg til og verifiser et domene.
Påloggingsmetode: Bruk Open ID Connect (OIDC).
Omfangstilgang: Du må gi tilgang til
ssf.manageogssf.read.Nettadresse til Shared Signals Framework (SSF)-konfigurasjon: Se dokumentasjonen til IdP-en din.
Nettadresse til OpenID-konfigurasjon: Se dokumentasjonen til IdP-en din.
Automatiske endringer
De administrerte Apple-kontoene for eksisterende Apple School Manager-brukere med e-postadresse på det forente domenet blir automatisk endret slik at de samsvarer med den e-postadressen.