Use a autenticação federada com o Microsoft Azure AD no Apple School Manager
No Apple School Manager, você pode vincular ao Microsoft Azure Active Directory (Azure AD) para permitir que os usuários iniciem com o nome de usuário e a senha do Azure AD.
Azure AD é o fornecedor de identidade (IdP), que autentica o usuário para o Apple School Manager e emite tokens de autenticação. Esta autenticação é compatível com a autenticação de certificado e a autenticação de dois fatores (2FA). Como o Apple School Manager é compatível com o Azure AD, outros IdPs que se conectam ao Azure AD — como Active Directory Federated Federation (AD FS) — também funcionarão com o Apple School Manager.
Importante: a autenticação federada exige que o Nome Principal do Usuário (UPN) de um usuário corresponda ao endereço de e-mail. Aliases do Nome Principal do Usuário e IDs alternativos não são aceitos.
Autenticação federada e sincronização de diretório com locatários da Microsoft
Para adicionar o app Apple School Manager Azure AD com locatários da Microsoft, o administrador dos locatários deve passar pelo processo de configuração de autenticação federada, incluindo autenticação de teste. Quando a autenticação for bem-sucedida, o app Azure AD do Apple School Manager será preenchido no locatário e o administrador poderá federar domínios e configurar o Apple School Manager para usar o System for Cross-domain Identity Management (SCIM) para sincronização de diretório. Confira Analisar requisitos de SCIM.
Antes de começar
Há um processo de três etapas para vincular o Apple School Manager ao Azure AD e usar a autenticação federada:
Adicione e verifique um domínio. Confira Vincule a novos domínios.
Vários domínios podem ser federados, mas eles devem ser do mesmo locatário público individual. Se estiver tentando federar um domínio que já verificou, mas outra empresa já federou o domínio idêntico, você deve entrar em contato com essa empresa para determinar quem tem autoridade para federar o domínio. Confira: Sobre conflitos de domínio.
Importante: o teste da autenticação federada também altera seu formato de ID Apple gerenciado padrão. Novas contas criadas em seu Sistema de informações do aluno (SIS) ou carregadas usando o Protocolo de transferência de segurança (SFTP) usam o novo formato de ID Apple gerenciado.
Configure o processo da autenticação federada.
Teste a autenticação com uma única conta de domínio do Azure AD.
Configure o processo da autenticação federada
Esta tarefa permite que o Azure AD confie no Apple School Manager.
No Apple School Manager , inicie sessão com uma conta que tenha a função de Administrador, Gerente de site ou Gerente de pessoas.
Selecione seu nome na parte inferior da barra lateral, selecione Preferências e depois Contas .
Ao lado de Autenticação Federada, selecione Editar e depois Conectar.
Selecione “Iniciar sessão com a Microsoft”, insira uma conta de Administrador global do Microsoft Azure AD, Administrador de apps ou Administrador de apps na nuvem e selecione Seguinte.
Insira a senha da conta e selecione Iniciar sessão.
Leia atentamente o contrato de inscrição e selecione Aceitar.
Você está consentindo que a Microsoft conceda à Apple acesso às informações que estão no Azure AD.
Selecione Concluído.
Nota: após concluir este passo, os usuários não poderão criar novos IDs Apple pessoais no domínio que você configurar. Isso pode afetar outros serviços da Apple que você usa. Confira Transfira serviços da Apple ao federar.
Em alguns casos, é possível que você não consiga adicionar seu domínio. As razões comuns são:
A conta do Administrador global, do Administrador de apps ou do Administrador de apps de nuvem do Azure AD usada não tem permissão para adicionar domínios no Microsoft Azure AD.
O nome de usuário ou senha da conta na etapa 4 estão incorretos.
Teste a autenticação com uma única conta do Azure AD
Esta tarefa permite que o Apple School Manager confie no Azure AD. Depois de verificar a propriedade do seu domínio e testar com êxito a autenticação com uma única conta do Azure AD, você pode criar contas adicionais e continuar federando seu domínio.
Selecione Federar ao lado do domínio que você deseja federar.
Selecione “Iniciar sessão no Portal do Microsoft Azure” e insira seu nome de usuário e senha.
Insira uma conta de Administrador global, Administrador de aplicativos ou Administrador de aplicativos de nuvem do Microsoft Azure AD que exista no domínio e depois selecione Seguinte.
Insira a senha da conta, selecione Iniciar sessão, selecione Concluído e, em seguida selecione Concluído novamente.
Em alguns casos, talvez você não consiga iniciar sessão no seu domínio. Aqui estão alguns motivos comuns:
O nome de usuário ou a senha do domínio que você escolheu para federar estão incorretos.
A conta não está no domínio que você escolheu para federar.
Após o início de sessão ser feito com sucesso, o Apple School Manager verifica se há conflitos de nome de usuário com este domínio. A verificação de conflitos de nome de usuário deve ser concluída antes que você possa usar a autenticação federada com este domínio.
Nota: após vincular o Apple School Manager ao Azure AD, será possível alterar a função de uma conta para outra função. Por exemplo, você talvez queira alterar a função de uma conta para uma função de Instrutor.
Ative a autenticação federada
Antes de ativar a autenticação federada, confirme se você está vinculado a um novo domínio e o confirmou.
Nota: se você estiver planejando uma conexão com o Azure AD usando SCIM, você deve aguardar para ativar a autenticação federada depois que a conexão SCIM tiver sido concluída.
No Apple School Manager , inicie sessão com uma conta que tenha a função de Administrador, Gerente de site ou Gerente de pessoas.
Selecione seu nome na parte inferior da barra lateral, selecione Preferências e depois Contas .
Selecione Editar na seção Domínios e ative a Autenticação federada nos domínios que foram adicionados com sucesso ao Apple School Manager.
Pode demorar um pouco para atualizar todas as contas.
Teste a autenticação federada
Você pode testar a conexão de autenticação federada depois de realizar as seguintes tarefas:
Você concluiu com sucesso uma conexão e verificação em seu domínio.
A verificação de conflitos de nome de usuário está concluída.
O formato padrão do ID Apple gerenciado está atualizado.
Nota: os usuários com a função de administrador, gerenciador de sites e gerente de pessoas não podem iniciar sessão usando autenticação federada; eles apenas podem gerenciar o processo de federação.
No Apple School Manager , inicie sessão com um usuário que não tenha uma função de Administrador, Equipe ou Aluno.
Se o nome de usuário com o qual você iniciou sessão for encontrado, uma nova tela indicará que você está iniciando sessão com um usuário em seu domínio.
Selecione Continuar, insira a senha do usuário e selecione Iniciar sessão.
Finalizar sessão no Apple School Manager.
Nota: os usuários não podem iniciar sessão no iCloud.com, a menos que iniciem sessão previamente com seu ID Apple gerenciado em outro dispositivo Apple.