Introdução à autenticação federada com o Apple School Manager
Você pode usar autenticação federada para vincular o Apple School Manager ao seguinte:
Google Workspace
Microsoft Entra ID
Seu provedor de identidade (IdP)
Nota: Você pode vincular ao Google Workspace, Microsoft Entra ID ou IdP, mas somente um por vez.
Consequentemente, usuários podem então iniciar sessão em seu iPhone, iPad, Mac, Apple Vision Pro e iPad Compartilhado atribuído usando seu nome de usuário existente (geralmente, seu endereço de e-mail) e senha. Depois de iniciarem sessão em um desses dispositivos, eles poderão então iniciar sessão no iCloud na web em um Mac (o iCloud para Windows não aceita Contas Apple Gerenciadas).
Importante: Quando a conexão do tiver expirado, a federação e a sincronização de contas de usuário serão interrompidas. Você deve reconectar para continuar usando autenticação federada e sincronização.
Existem casos específicos em que você pode usar a autenticação federada:
Apenas autenticação federada
Quando o Apple School Manager e o Google Workspace, Microsoft Entra ID ou seu IdP são vinculados, as Contas Apple gerenciadas são criadas automaticamente para os usuários. Eles podem iniciar sessão com o nome de usuário existente deles (em geral o endereço de e-mail) e a senha.
Consulte:
Autenticação federada com sincronização de diretório
Você também pode sincronizar contas de usuário do Google Workspace, Microsoft Entra ID ou seu IdP para o Apple School Manager. Ao configurar uma conexão de sincronização de diretório, você poderá adicionar as propriedades do Apple School Manager (como nível de escolaridade e funções) com dados de contas de usuário importados de um desses serviços. As informações da conta de usuário são adicionadas como somente leitura até que você desative a sincronização. Nesse momento, as contas se tornam contas manuais e os atributos nessas contas podem então ser editados. Se uma conta de usuário for removida de um desses serviços, essa conta de usuário poderá ser removida do Apple School Manager. Confira:
Autenticação federada com usuários de um Sistema de informações do aluno (SIS) ou com arquivos carregados usando SFTP
Se você pretende usar autenticação federada com seus arquivos CSV ou SIS, você deve primeiro configurar e ativar a autenticação federada.
Quando você quiser vincular ao Google Workspace, Microsoft Entra ID ou seu IdP, bem como vincular seu SIS ou carregar arquivos usando SFTP, você deve fazer o seguinte:
Você pode então integrar seu SIS ou carregar os arquivos com SFTP. Todas as informações, como turmas e listas, são comparadas com os usuários do Google Workspace, Microsoft Entra ID ou IdP. Se uma conta de usuário for removida do Google Workspace, Microsoft Entra ID ou IdP, essa conta deverá ser desativada no Apple School Manager por uma conta com privilégios para alterar o status de usuários.
Importante: Se você estiver fazendo a integração com um Sistema de informações do aluno (SIS) ou importando contas de usuário com o Protocolo de transferência de segurança (SFTP) e usando a autenticação federada, o endereço de e-mail do usuário no SIS deve corresponder ao seu nome de usuário do Google Workspace, Microsoft Entra ID ou IdP que eles já usam para iniciar sessão.
Autenticação federada com iPad Compartilhado
Quando você usa autenticação federada com o iPad compartilhado, o processo de início de sessão varia dependendo se a conta de usuário já existe no Apple School Manager. Para visualizar os cenários de início de sessão, consulte Inicie sessão em iPad Compartilhado.
A política de códigos predefinida usa formato padrão (8 ou mais letras e números) e pode ser alterada. Confira Cenários da política de senha.
Se o usuário esquecer a senha, você deve redefinir a senha do iPad compartilhado.
Antes de começar
Antes de usar autenticação federada com Google Workspace, Microsoft Entra ID ou seu IdP, considere o seguinte:
Requisitos
Dispositivos Apple devem atender aos seguintes requisitos mínimos de sistema operacional:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Você precisa desconectar do Sistema de informações do estudante (SIS) ou parar de fazer upload usando SFTP.
Você deve bloquear e ativar o processo de captura de domínio. Consulte Bloquear um domínio.
Não há conflitos de Conta Apple Gerenciada. Consulte Gerenciar conflitos de Conta Apple Gerenciada.
As contas de usuário com a função de Administrador, Gerenciador de sites e Gerente de pessoas não podem iniciar sessão usando autenticação federada; eles apenas podem gerenciar somente o processo de federação.
Ao usar autenticação federada, o ajuste Formato padrão da Conta Apple Gerenciada não se aplicará.
Requisitos específicos de IdP
Ao vincular ao Google Workspace:
A autenticação federada deverá utilizar o endereço de e-mail do usuário como o nome de usuário. Aliases não são compatíveis.
Ao vincular ao Microsoft Entra ID:
Você deve utilizar um usuário com a função de Administrador global do Entra ID para concluir a tarefa Aprovar autenticação federada abaixo. Depois que a conexão for estabelecida, você poderá alterar a função de Administrador global para outra função com privilégios necessários para manter a conexão. Para mais informações, consulte Funções padrão da Microsoft compatíveis com domínios, sincronização de diretório e leitura de domínio.
A autenticação federada com Microsoft Entra ID exige que o userPrincipalName (UPN) de um usuário corresponda ao endereço de e-mail. aliases de userPrincipalName e identidades alternativas não são compatíveis.
Ao vincular a um IdP, você deve ter as seguintes informações:
Um domínio verificado que você deseja usar. Consulte Adicione e verifique um domínio.
Método de início de sessão: use o Open ID Connect (OIDC).
Cobertura de acesso: é necessário conceder acesso para
ssf.manageessf.read.Configuração do URL de Shared Signals Framework (SSF): consulte a documentação de seu IdP.
URL de configuração do OpenID: consulte a documentação de seu IdP.
Alterações automáticas
Para usuários existentes do Apple School Manager com um endereço de e-mail no domínio federado, a Conta Apple Gerenciada deles será alterada automaticamente para corresponder àquele endereço de e-mail.