Wymagania dotyczące synchronizacji Azure AD z usługą Apple School Manager
Za pomocą systemu SCIM (System for Cross-domain Identity Management) można importować użytkowników do usługi Apple School Manager. Przy użyciu tego systemu łączysz właściwości usługi Apple School Manager (takie jak poziom nauki i role) z danymi konta użytkownika importowanymi z usługi Microsoft Azure Active Directory (Azure AD). Gdy używasz systemu SCIM do importowania użytkowników, informacje o koncie są tylko do odczytu do momentu odłączenia się od SCIM. W tym czasie konta stają się kontami dodawanymi ręcznie, a atrybuty na tych kontach można edytować. Początkowa synchronizacja trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile działa usługa przypisywania w Azure AD. Zobacz Wskazówki dotyczące aprowizowania w witrynie z dokumentacją Microsoft Azure.
Uprawnienia usługi Azure AD
Osoby pełniące następujące role w usłudze Azure AD mogą używać SCIM do synchronizowania kont z usługą Apple School Manager:
Administrator aplikacji
Administrator aplikacji w chmurze
Właściciel aplikacji
Administrator globalny
Zobacz Role wbudowane usługi Azure AD w witrynie Microsoft Azure AD.
Dzierżawcy w usłudze Azure AD
Aby używać SCIM z usługą Apple School Manager, organizacja nie może mieć tego samego dzierżawcy usługi Azure AD, co żadna inna organizacja w usłudze Apple School Manager. Jeśli chcesz używać systemu SCIM dla swojej organizacji, skontaktuj się z administratorem usługi Azure AD w celu upewnienia się, że żadna inna organizacja nie używa Twojej dzierżawy usługi Azure AD dla systemu SCIM.
Grupy w usłudze Azure AD
W usłudze Azure AD obie metody synchronizacji używają słowa grupy, ale synchronizowane są tylko konta użytkowników. Grupy usługi Azure AD możesz dodawać do aplikacji Apple School Manager Azure AD. Na przykład jeśli w usłudze Azure AD masz grupy o nazwach Personel, Prowadzący i Uczestnicy, możesz dodać te trzy grupy do aplikacji Apple School Manager Azure AD. Jeśli łączysz się przy użyciu systemu SCIM, tylko konta w tych grupach są synchronizowane z usługą Apple School Manager.
Uwaga: Grupy podrzędne nie są obsługiwane w aplikacji Apple School Manager Azure AD.
Zakres obsługi administracyjnej
Synchronizację kont z usługi Azure AD z usługą Apple School Manager można przeprowadzić na dwa sposoby.
Synchronizowanie tylko przydzielonych użytkowników i grup: Ta opcja synchronizuje tylko konta widoczne w aplikacji Apple School Manager Azure AD z usługą Apple School Manager. W przypadku korzystania z tej metody synchronizacji konta Azure AD muszą mieć rolę użytkownika, aby można było je synchronizować z usługą Apple School Manager.
Synchronizuj wszystkich użytkowników i grupy: Ta opcja synchronizuje wszystkie konta (synchronizowanie grup nie jest obsługiwane) widoczne na karcie Użytkownik w usłudze Azure AD z usługą Apple School Manager i tworzy zarządzane Apple ID dla wszystkich kont sfederowanych Azure AD, nawet jeśli zamierzasz używać tylko określonej liczby kont.
Zobacz artykuły pomocy technicznej Microsoft Co to jest zautomatyzowana obsługa użytkowników aplikacji SaaS w usłudze Azure AD? i Inicjowanie obsługi aplikacji opartej na atrybutach przy użyciu filtrów zakresu.
Powiadomienia dotyczące obsługi administracyjnej
Podczas konfigurowania obsługi administracyjnej należy użyć adresu email użytkownika z rolą administratora, menedżera placówki lub menedżera osób, aby mogli oni otrzymywać powiadomienia z usługi Azure AD.
SCIM i uwierzytelnianie federacyjne
Jeśli podczas wysyłania kont Azure AD do usługi Apple School Manager federacja jest już włączona, nie będziesz widzieć aktywności, ale konta będą nadal się synchronizować ze sfederowaną domeną.
Azure AD to dostawca tożsamości (IdP), który uwierzytelnia użytkownika w usłudze Apple School Manager i wystawia tokeny uwierzytelniania. Ponieważ usługa Apple School Manager obsługuje usługę Azure AD, inni dostawcy tożsamości łączący się z usługą Azure AD — jak Active Directory Federated Services (ADFS) — również będą działać z usługą Apple School Manager. Uwierzytelnianie federacyjne wykorzystuje protokół Security Assertion Markup Language (SAML), by połączyć usługę Apple School Manager z Azure AD.
Konta użytkowników Azure AD i usługa Apple School Manager
Podczas kopiowania użytkownika z usługi Azure AD do usługi Apple School Manager przy użyciu systemu SCIM domyślnym ustawieniem roli jest Uczestnik. Po zakończeniu synchronizacji można edytować następujące atrybuty użytkownika:
Role
Poziom nauki
Nazwa użytkownika w systemie informacji o studentach (SIS)
Te atrybuty są przechowywane z kontem użytkownika w usłudze Apple School Manager i nie są zapisywane z powrotem w usłudze Azure AD.
Mapowanie atrybutów użytkownika systemu SCIM
Podczas kopiowania konta do usługi Apple School Manager z usługi Azure AD przy użyciu systemu SCIM, następujące atrybuty użytkownika są przechowywane jako tylko do odczytu. Tabela wskazuje również czy atrybut użytkownika jest wymagany.
Ważne: Dodanie atrybutów, które nie zostały wymienione w tabeli, przerywa połączenie SCIM.
Atrybut użytkownika usługi Azure AD | Atrybut użytkownika w usłudze Apple School Manager | Wymagane |
---|---|---|
Imię | Imię | |
Nazwisko | Nazwisko | |
Główna nazwa użytkownika | Zarządzany Apple ID i adres email | |
ID obiektu | (Nie jest wyświetlany w usłudze Apple School Manager. Ten atrybut służy do identyfikowania konfliktowych kont). | |
Dział | Dział | |
ID pracownika | Numer osoby | |
Atrybut niestandardowy (musi zostać utworzony w aplikacji Apple School Manager Azure AD) | Centrum kosztów | |
Atrybut niestandardowy (musi zostać utworzony w aplikacji Apple School Manager Azure AD) | Wydział |
Główna nazwa użytkownika
Jeśli użytkownik ma główną nazwę użytkownika, która jest dokładnie taka sama jak nazwa istniejącego użytkownika usługi Apple School Manager z rolą administratora, menedżera placówki lub menedżera użytkowników, synchronizacja nie jest wykonywana, a pole źródłowe pozostaje niezmienione. Dzieje się tak niezależnie od pierwotnie zastosowanej metody synchronizacji (SIS lub SFTP).
ID osoby
Podczas synchronizowania użytkownika Azure AD z usługą Apple School Manager tworzony jest ID osoby dla konta użytkownika usługi Apple School Manager. ID osoby i ID obiektu służą do identyfikowania konfliktowych kont użytkowników. Ponadto ID osoby jest generowany automatycznie dla użytkowników zaimportowanych przy użyciu systemu SCIM lub integracji z systemem SIS, ale nie jest generowany automatycznie dla użytkowników zaimportowanych przy użyciu protokołu SFTP.
Jeśli system SCIM zostanie odłączony, a użytkownicy zostaną ponownie przesłani przy użyciu protokołu SFTP, zostaną utworzeni nowi użytkownicy, chyba że ID osoby w pliku przesyłania SFTP jest zgodny z ID osoby przydzielonym przez system SCIM. Zobacz Importowanie kont przy użyciu protokołu SFTP.
Ważne kwestie dotyczące modyfikowania ID osoby:
Jeśli zmodyfikujesz ID osoby dla konta wcześniej zaimportowanego z systemu SCIM, konto to nie będzie już dłużej sparowane z usługą Azure AD.
Jeśli zmodyfikujesz ID osoby dla konta wcześniej zaimportowanego z systemu SCIM i chcesz ponownie połączyć to konto, zobacz Rozstrzyganie konfliktów kont użytkowników systemu SCIM.
Zalecenia
Podczas łączenia się z systemem SCIM należy używać wyłącznie aplikacji Apple School Manager Azure AD.
Jeśli masz zweryfikowaną domenę, ale nie jest włączone uwierzytelnianie federacyjne, musisz poczekać z włączeniem federowania, dopóki nie upewnisz się, że użytkownicy usługi Azure AD zostali wysłani do usługi Apple School Manager. Zrób to, wyświetlając dzienniki obsługi administracyjnej Azure AD. Po upewnieniu się, że użytkownicy usługi Azure AD zostali wysłani, po włączeniu federowania otrzymasz powiadomienie od aktywności, gdy użytkownicy usługi Azure AD zostaną przypisani. Jeśli podczas wysyłania użytkowników usługi Azure AD federowanie jest już włączone, nie będziesz widzieć aktywności, ale użytkownicy będą nadal synchronizowani.
Jeśli w usłudze Azure AD masz skonfigurowaną grupę, możesz dodać tę grupę do aplikacji Apple School Manager Azure AD zamiast dodawać każdego użytkownika.
Ważne: Nie używaj ponownie nazwy użytkownika przez 120 dni w aplikacji Apple School Manager Azure AD.
Przed rozpoczęciem
Przed rozpoczęciem musisz wykonać następujące czynności:
Rozłącz się z systemem informacji o studentach (SIS) lub zatrzymaj przesyłanie przy użyciu protokołu SFTP.
Skonfiguruj i potwierdź własność domeny, z której chcesz korzystać. Zobacz Łączenie z nowymi domenami.
Skonfiguruj uwierzytelnianie federacyjne (ale go nie włączaj). Zobacz Konfigurowanie procesu uwierzytelniania federacyjnego.
Uwaga: Jeśli uwierzytelnianie federacyjne jest już włączone, nadal możesz kontynuować. Zobacz zalecenia w poprzedniej sekcji.
Określ typ synchronizacji w usłudze Azure AD i w razie potrzeby utwórz grupy w celu synchronizowania tylko przydzielonych kont z aplikacją Apple School Manager Azure AD:
Synchronizowanie tylko przydzielonych użytkowników.
Synchronizowanie wszystkich użytkowników.
Korzystanie z usług dyżurnego administratora usługi Azure AD z uprawnieniami do edytowania aplikacji dla przedsiębiorstw. Gdy oboje jesteście gotowi, zobacz Importowanie użytkowników przy użyciu SCIM.