Korzystanie z uwierzytelniania federacyjnego z usługą Microsoft Azure AD w usłudze Apple School Manager
W usłudze Apple School Manager możesz nawiązać połączenie z usługą Microsoft Azure Active Directory (Azure AD), aby umożliwić użytkownikom logowanie się za pomocą nazwy użytkownika i hasła z usługi Azure AD.
Azure AD to dostawca tożsamości (IdP), który uwierzytelnia użytkownika w usłudze Apple School Manager i wystawia tokeny uwierzytelniania. To uwierzytelnianie obsługuje uwierzytelnianie za pomocą certyfikatu oraz uwierzytelnianie dwupoziomowe (2FA). Ponieważ usługa Apple School Manager obsługuje usługę Azure AD, inni dostawcy tożsamości łączący się z usługą Azure AD — jak Active Directory Federation Services (AD FS) — również będą działać z usługą Apple School Manager.
Ważne: Uwierzytelnianie federacyjne wymaga, aby główna nazwa użytkownika (UPN) odpowiadała adresowi email użytkownika. Aliasy głównej nazwy użytkownika i alternatywne identyfikatory nie są obsługiwane.
Uwierzytelnianie federacyjne i synchronizacja katalogów z dzierżawcami Microsoft
Aby dodać aplikację Apple School Manager Azure AD z dzierżawcami Microsoft, administrator dzierżawców musi wykonać proces konfiguracji uwierzytelniania federacyjnego oraz przetestować uwierzytelnianie. W przypadku powodzenia uwierzytelniania aplikacja Apple School Manager Azure AD zostaje wypełniona przez dzierżawcę, a administrator może sfederować domeny i skonfigurować usługę Apple School Manager do korzystania z systemu SCIM (System do zarządzania identyfikacją domen) do synchronizacji katalogów. Zobacz Przeglądanie wymagań systemu SCIM.
Przed rozpoczęciem
Istnieje trzyetapowy proces łączenia usługi Apple School Manager z Azure AD i korzystania z uwierzytelniania federacyjnego:
Dodaj domenę i potwierdź jej własność. Zobacz Łączenie z nowymi domenami.
Można sfederować wiele domen, ale muszą one pochodzić od tego samego jednego dzierżawcy publicznego. Jeśli próbujesz sfederować domenę, której własność została już przez Ciebie potwierdzona, ale inna organizacja już sfederowała identyczną domenę, musisz skontaktować się z tą organizacją, aby ustalić, kto ma uprawnienia do sfederowania domeny. Zobacz Informacje o konfliktach domen.
Ważne: Test uwierzytelniania federacyjnego spowoduje zmianę domyślnego formatu zarządzanego Apple ID. Nowe konta utworzone w systemie informacji o studentach (SIS) lub przesłane przy użyciu protokołu bezpiecznego transferu plików (SFTP) wykorzystują nowy format zarządzanego Apple ID.
Skonfiguruj proces uwierzytelniania federacyjnego.
Przetestuj uwierzytelnianie za pomocą jednego konta domeny Azure AD.
Konfigurowanie procesu uwierzytelniania federacyjnego
Zadanie to pozwala usłudze Azure AD zaufać usłudze Apple School Manager.
W usłudze Apple School Manager zaloguj się jako użytkownik z rolą administratora, menedżera placówki lub menedżera użytkowników.
Wybierz swoje imię i nazwisko na dole paska bocznego, wybierz opcję Preferencje , a następnie wybierz opcję Konta .
Obok opcji Uwierzytelnianie federacyjne wybierz przycisk Edytuj, a następnie wybierz przycisk Połącz.
Wybierz opcję „Zaloguj się przy użyciu konta Microsoft”, podaj konto globalnego administratora, administratora aplikacji lub administratora aplikacji w chmurze usługi Microsoft Azure AD, a następnie wybierz przycisk Dalej.
Wpisz hasło do konta, a następnie wybierz przycisk Zaloguj.
Dokładnie przeczytaj umowę dotyczącą aplikacji, a następnie wybierz przycisk Akceptuj.
Wyrażasz zgodę na to, aby firma Microsoft umożliwiła firmie Apple dostęp do informacji znalezionych w usłudze Azure AD.
Wybierz przycisk Gotowe.
Uwaga: Po wykonaniu tego kroku użytkownicy nie mogą tworzyć nowych osobistych Apple ID w skonfigurowanej domenie. Może to mieć wpływ na inne usługi Apple, z których korzystasz. Zobacz Przenoszenie usług Apple w procesie federacji.
W niektórych przypadkach dodanie domeny może nie być możliwe. Często spotykane przyczyny to:
Globalny administrator, administrator aplikacji lub administrator aplikacji w chmurze usługi Azure AD nie ma uprawnień do dodawania domen w usłudze Microsoft Azure AD.
Nazwa użytkownika lub hasło z konta w kroku 4 są nieprawidłowe.
Testowanie uwierzytelniania za pomocą jednego konta Azure AD
Zadanie to umożliwia usłudze Apple School Manager zaufać usłudze Azure AD. Po potwierdzeniu własności domeny i pomyślnym przetestowaniu uwierzytelnienia za pomocą jednego konta Azure AD możesz teraz utworzyć dodatkowe konta i kontynuować federowanie domeny.
Wybierz przycisk Sfederuj obok domeny, którą chcesz sfederować.
Wybierz opcję „Zaloguj się do portalu Microsoft Azure”, a następnie podaj swoją nazwę użytkownika i hasło.
Podaj konto globalnego administratora, administratora aplikacji lub administratora aplikacji w chmurze usługi Microsoft Azure AD, które istnieje w danej domenie, a następnie wybierz przycisk Dalej.
Wprowadź hasło do konta, wybierz przycisk Zaloguj, wybierz przycisk Gotowe, a następnie wybierz przycisk Gotowe.
W niektórych przypadkach zalogowanie się do domeny może nie być możliwe. Oto kilka często spotykanych powodów:
Nazwa użytkownika lub hasło z domeny wybranej do federacji jest nieprawidłowe.
Konto nie znajduje się w domenie wybranej do federacji.
Po pomyślnym zalogowaniu usługa Apple School Manager sprawdza, czy nazwa użytkownika nie jest w konflikcie z tą domeną. Aby można było korzystać z uwierzytelniania federacyjnego w tej domenie, należy wykonać sprawdzenie pod kątem konfliktów nazw użytkowników.
Uwaga: Po pomyślnym połączeniu usługi Apple School Manager z usługą Azure AD, możesz zmienić rolę konta na inną. Możesz na przykład zmienić rolę konta na rolę prowadzącego.
Włączanie uwierzytelniania federacyjnego
Przed włączeniem uwierzytelniania federacyjnego upewnij się, że masz połączenie z nową domeną, która została zweryfikowana.
Uwaga: Jeśli planujesz nawiązanie połączenia z usługą Azure AD przy użyciu SCIM, zaczekaj z włączeniem uwierzytelniania federacyjnego do momentu pomyślnego nawiązania połączenia SCIM.
W usłudze Apple School Manager zaloguj się jako użytkownik z rolą administratora, menedżera placówki lub menedżera użytkowników.
Wybierz swoje imię i nazwisko na dole paska bocznego, wybierz opcję Preferencje , a następnie wybierz opcję Konta .
Wybierz przycisk Edytuj w sekcji Domeny, a następnie włącz uwierzytelnianie federacyjne dla domen, które zostały dodane do usługi Apple School Manager.
Uaktualnianie wszystkich kont może trochę potrwać.
Testowanie uwierzytelniania federacyjnego
Możesz przetestować połączenie uwierzytelniania federacyjnego po wykonaniu następujących zadań:
Ukończono proces połączenia i potwierdzenia własności domeny.
Ukończono sprawdzenie pod kątem konfliktów nazw użytkowników.
Domyślny format zarządzanego Apple ID został uaktualniony.
Uwaga: Użytkownicy z rolą administratora, menedżera placówki lub menedżera użytkowników nie mogą logować się za pomocą uwierzytelniania federacyjnego; mogą jedynie zarządzać procesem federowania.
W usłudze Apple School Manager zaloguj się jako użytkownik, który nie ma roli administratora, personelu lub ucznia.
Jeśli nazwa użytkownika, za pomocą której się logujesz, zostanie znaleziona, zostanie wyświetlony nowy ekran wskazujący, że logujesz się jako użytkownik w swojej domenie.
Wybierz przycisk Kontynuuj, wpisz hasło użytkownika, a następnie wybierz przycisk Zaloguj.
Wyloguj się z usługi Apple School Manager.
Uwaga: Użytkownicy nie mogą zalogować się na stronie iCloud.com, jeśli najpierw nie zalogują się za pomocą zarządzanego Apple ID na innym urządzeniu Apple.