Wprowadzenie do uwierzytelniania federacyjnego w usłudze Apple School Manager
Uwierzytelnianie federacyjne pozwala połączyć usługę Apple School Manager z następującymi usługami:
Google Workspace
Microsoft Entra ID
Dostawca tożsamości (IdP)
Uwaga: Możesz połączyć się z usługą Google Workspace, usługą Microsoft Entra ID lub dostawcą tożsamości, ale tylko z jedną usługą naraz.
Dzięki temu użytkownicy mogą logować się do przydzielonego im iPhone’a, iPada, Maca, Apple Vision Pro i do Wspólnego iPada, używając istniejącej nazwy użytkownika (zazwyczaj adresu email) i hasła. Po zalogowaniu się na jednym z tych urządzeń mogą oni również zalogować się do usługi iCloud w Internecie na Macu (aplikacja iCloud dla Windows nie obsługuje zarządzanych kont Apple).
Ważne: Gdy połączenie wygaśnie, federacja i synchronizacja kont użytkowników przestaje działać. Aby nadal korzystać z uwierzytelniania federacyjnego i synchronizacji, musisz połączyć się ponownie.
Istnieją określone przypadki, w których można użyć uwierzytelniania federacyjnego:
Tylko uwierzytelnianie federacyjne
Po połączeniu usługi Apple School Manager z usługą Google Workspace, Microsoft Entra ID lub dostawcą tożsamości zarządzane konta Apple są automatycznie tworzone dla użytkowników. Następnie użytkownicy mogą logować się przy użyciu swojej dotychczasowej nazwy użytkownika (zazwyczaj adresu email) i hasła.
Zobacz następujące artykuły:
Uwierzytelnianie federacyjne z synchronizacją katalogu
Możesz też synchronizować konta użytkowników z usługi Google Workspace, Microsoft Entra ID lub dostawcy tożsamości do usługi Apple School Manager. Po skonfigurowaniu połączenia synchronizacji katalogu możesz dodać właściwości usługi Apple School Manager (takie jak poziom nauki i role) do danych konta użytkownika zaimportowanych z jednej z tych usług. Dane konta użytkownika usług są dodawane jako tylko do odczytu, dopóki nie wyłączysz synchronizacji. W tym czasie konta stają się kontami dodawanymi ręcznie, a atrybuty na tych kontach można edytować. Jeśli konto użytkownika zostanie usunięte z jednej z tych usług, można usunąć je z usługi Apple School Manager. Zobacz następujące artykuły:
Uwierzytelnianie federacyjne z użytkownikami z systemu informacji o studentach (SIS) lub za pomocą plików przesłanych przy użyciu SFTP
Jeśli planujesz używać uwierzytelniania federacyjnego z plikami SIS lub CSV, musisz najpierw skonfigurować i włączyć uwierzytelnianie federacyjne.
Jeśli chcesz połączyć się z Google Workspace, Microsoft Entra ID lub dostawcą tożsamości i połączyć się z systemem SIS lub przesłać pliki za pomocą SFTP, musisz wykonać następujące czynności:
Następnie możesz zintegrować system SIS lub przesłać pliki za pomocą protokołu SFTP. Wszystkie informacje, takie jak klasy i plany zajęć, są porównywane z użytkownikami z Google Workspace, Microsoft Entra ID lub dostawcy tożsamości. Jeśli konto użytkownika zostanie usunięte z usługi Google Workspace, Microsoft Entra ID lub dostawcy tożsamości, musi zostać dezaktywowane w usłudze Apple School Manager przez konto z uprawnieniami do zmiany statusu użytkowników.
Ważne: Jeśli integrujesz się z systemem informacji o studentach (SIS) lub importujesz konta użytkowników przy użyciu protokołu bezpiecznego transferu plików (SFTP) oraz korzystasz z uwierzytelniania federacyjnego, adres email użytkownika w systemie SIS musi być zgodny z nazwą użytkownika Google Workspace, Microsoft Entra ID lub dostawcy tożsamości, której już używa do logowania.
Uwierzytelnianie federacyjne ze Wspólnym iPadem
Podczas korzystania z uwierzytelniania federacyjnego w połączeniu ze Wspólnym iPadem proces logowania różni się w zależności od tego, czy konto użytkownika istnieje już w usłudze Apple School Manager, czy nie. Aby zapoznać się ze scenariuszami logowania, zobacz Logowanie się do Wspólnego iPada.
Domyślnie stosowane są standardowe zasady kodów (co najmniej 8 liter i cyfr) i można je zmienić. Zobacz Scenariusze dotyczące zasad haseł.
Jeśli użytkownik nie pamięta swojego kodu, musisz wyzerować jego kod Wspólnego iPada.
Przed rozpoczęciem
Przed użyciem uwierzytelniania federacyjnego z usługą Google Workspace, usługą Microsoft Entra ID lub dostawcą tożsamości rozważ następujące kwestie:
Wymagania
Urządzenia Apple muszą spełniać następujące minimalne wymagania dotyczące systemu operacyjnego:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Musisz rozłączyć się z systemem informacji o studentach (SIS) lub zatrzymać przesyłanie przy użyciu protokołu SFTP.
Należy zablokować domenę i włączyć proces przejmowania domeny. Zobacz Blokowanie domeny.
Nie występują żadne konflikty zarządzanego konta Apple. Zobacz Konflikty zarządzanych kont Apple.
Konta użytkowników z rolą administratora, menedżera placówki lub menedżera użytkowników nie mogą logować się za pomocą uwierzytelniania federacyjnego; mogą jedynie zarządzać procesem federowania.
W przypadku korzystania z uwierzytelniania federacyjnego ustawienie Domyślny format zarządzanego konta Apple nie ma zastosowania.
Wymagania specyficzne dla dostawcy tożsamości
W przypadku łączenia z Google Workspace:
W przypadku uwierzytelniania federacyjnego jako nazwy użytkownika należy używać adresu email użytkownika. Aliasy nie są obsługiwane.
W przypadku łączenia z Microsoft Entra ID:
Aby wykonać poniższe zadanie Zatwierdzenie uwierzytelniania federacyjnego, należy użyć użytkownika z rolą Administrator globalny Entra ID. Po pomyślnym nawiązaniu połączenia można zmienić rolę użytkownika z administratora globalnego na inną rolę z wymaganymi uprawnieniami w celu utrzymania połączenia. Aby uzyskać więcej informacji, zobacz Domyślne role Microsoft obsługujące domeny, synchronizację katalogów i odczyt domeny.
Uwierzytelnianie federacyjne z Microsoft Entra ID wymaga, aby nazwa userPrincipalName (UPN) użytkownika odpowiadała jego adresowi email. Aliasy userPrincipalName i alternatywne identyfikatory nie są obsługiwane.
W przypadku łączenia z dostawcą tożsamości musisz mieć następujące informacje:
Zweryfikowana domena, której chcesz użyć. Zobacz Dodawanie i weryfikowanie domeny.
Metoda logowania: protokół Open ID Connect (OIDC).
Zakres dostępu: dostęp należy przyznać do
ssf.manageissf.read.Adres URL konfiguracji Shared Signals Framework (SSF): należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Adres URL konfiguracji OpenID: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Automatyczne zmiany
W przypadku istniejących użytkowników usługi Apple School Manager z adresem email w domenie sfederowanej ich zarządzane konto Apple jest automatycznie zmieniane, aby pasowało do tego adresu email.