Introducere în autentificarea federativă cu Apple School Manager
Puteți să utilizați autentificare federativă pentru a asocia Apple School Manager la următoarele:
Google Workspace
Microsoft Entra ID
Furnizorul dvs. de identități (IdP)
Notă: Puteți să realizați asocierea cu Google Workspace, Entra ID sau IdP, dar nu simultan.
Ca urmare, utilizatorii se pot autentifica apoi pe dispozitivele lor atribuite iPhone, iPad, Mac, Apple Vision Pro și iPad partajat folosindu-și numele de utilizator existent (în general, adresa de e-mail) și parola. După ce s-au autentificat pe unul dintre aceste dispozitive, se pot conecta și la iCloud pe web de pe un Mac (iCloud pentru Windows nu acceptă conturi Apple gestionate).
Important: Când conexiunea a expirat, asocierea și sincronizarea conturilor de utilizator încetează. Pentru a continua să utilizați autentificarea federativă și sincronizarea, trebuie să vă reconectați.
Există situații specifice în care este posibil să utilizați autentificarea federativă:
Numai autentificarea federativă
Când Apple School Manager și Google Workspace, Microsoft Entra ID sau IdP-ul dvs. sunt asociate, conturile Apple gestionate sunt create automat pentru utilizatori. Aceștia pot apoi să se autentifice folosind numele de utilizator existent (în general, adresa de e‑mail) și parola respectivă.
Consultați următoarele articole:
Autentificarea federativă cu sincronizarea directorului
De asemenea, puteți sincroniza conturile de utilizator din Google Workspace, Microsoft Entra ID sau din IdP‑ul dvs. cu Apple School Manager. Când configurați o conexiune de sincronizare a directorului, puteți adăuga proprietăți ale Apple School Manager (cum ar fi nivelul clasei și rolurile) cu datele contului de utilizator importate din unul dintre servicii respective. Informațiile contului de utilizator cu privire la servicii sunt adăugate ca needitabile până când dezactivați sincronizarea. Atunci conturile devin conturi manuale, iar atributele din aceste conturi pot fi apoi editate. Dacă un cont de utilizator este eliminat din unul dintre respectivele servicii, acest cont de utilizator poate fi eliminat și din Apple School Manager. Consultați următoarele articole:
Autentificarea federativă cu utilizatori dintr-un sistem de informații despre studenți (SIS) sau cu fișiere încărcate prin SFTP
Dacă intenționați să utilizați autentificarea federativă împreună cu sistemul SIS sau fișierele CSV, ar trebui să configurați și să activați mai întâi autentificarea federativă.
Când doriți să vă conectați la Google Workspace, Microsoft Entra ID sau la furnizorul dvs. de identități (IdP) și să vă conectați la sistemul SIS sau să încărcați fișiere folosind SFTP, trebuie să urmați pașii de mai jos:
Puteți să integrați SIS sau încărcați fișiere cu SFTP. Toate informațiile, cum ar fi clasele și listele de componență sunt comparate cu utilizatorii din Google Workspace, Microsoft Entra ID sau IdP. Dacă un cont de utilizator este eliminat din Google Workspace, Microsoft Entra ID sau IdP, acesta trebuie dezactivat în Apple School Manager de către un cont cu privilegii de modificare a stării utilizatorilor.
Important: Dacă efectuați integrarea cu un Sistem de informații despre studenți (SIS) sau importați conturi de utilizatori prin Secure File Transfer Protocol (SFTP) și utilizând autentificarea federativă, adresa de e‑mail a utilizatorului în SIS trebuie să corespundă numelui de utilizator Google Workspace, Microsoft Entra ID sau IdP pe care îl utilizează deja pentru a se autentifica.
Autentificareafederativă cu iPad partajat
Atunci când utilizați autentificarea federativă pe un iPad partajat, procesul de autentificare variază în funcție de prezența sau absența contului de utilizator în/din Apple School Manager. Pentru a vizualiza scenariile de autentificare, consultați Autentificarea pe un iPad partajat.
Politica implicită pentru codurile de acces este cea standard (minimum 8 litere și cifre), însă poate fi modificată. Consultați Scenarii referitoare la politicile pentru parole.
Dacă utilizatorul uită codul de acces, trebuie să îi Resetați codul de acces pentru dispozitivul iPad partajat.
Înainte de a începe
Înainte de a utiliza autentificarea federativă cu Google Workspace, Microsoft Entra ID sau furnizorul dvs. de identități (IdP), luați în considerare următoarele:
Cerințe
Dispozitivele Apple trebuie să îndeplinească următoarele cerințe minime de sistem de operare:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Trebuie să vă deconectați de la Sistemul de informații despre studenți (SIS) sau opriți încărcările folosind SFTP.
Trebuie să blocați și să activați procesul de capturare a domeniului. Consultați Blocarea unui domeniu.
Nu există conflicte cu contul Apple gestionat. Consultați Conflicte de cont Apple gestionat
Conturile de utilizatori cu rol de administrator, coordonator de centru sau coordonator de persoane nu se pot autentifica folosind autentificarea federativă; pot doar gestiona procesul de asociere.
Când utilizați autentificarea federativă, setarea pentru formatul implicit al contului Apple gestionat nu se aplică.
Cerințe specifice IdP
Când asociați cu Google Workspace:
Autentificarea federativă ar trebui să folosească adresa de e‑mail a utilizatorului ca nume de utilizator. Aliasurile nu sunt acceptate.
Când asociați cu Microsoft Entra ID:
Trebuie să folosiți un utilizator cu rolul de administrator global Entra ID pentru a finaliza sarcina Aprobați autentificarea federativă mai jos. După ce conexiunea este stabilită cu succes, puteți să modificați rolul utilizatorului din administrator global într-un alt rol cu privilegii necesare pentru menținerea conexiunii. Pentru informații suplimentare, consultați Rolurile implicite Microsoft care acceptă domenii, sincronizarea directorului și citirea domeniilor.
Autentificarea federativă cu Microsoft Entra ID necesită un Nume principal utilizator (UPN) identic cu adresa de e-mail a utilizatorului. Aliasurile Nume principal utilizator și ID-urile alternative nu sunt acceptate.
Când asociați cu un IdP, trebuie să aveți următoarele informații:
Un domeniu confirmat pe care doriți să-l utilizați. Consultați Adăugați și verificați un domeniu.
Metoda de autentificare: Utilizați Open ID Connect (OIDC).
Accesul în domeniul de aplicare: trebuie să se acorde acces pentru
ssf.manageșissf.read.Adresa URL de configurare Shared Signals Framework (SSF): consultați documentația IdP-ului dvs.
Adresa URL de configurare OpenID: consultați documentația IdP-ului dvs.
Modificări automate
Pentru utilizatorii Apple School Manager existenți cu o adresă de email în domeniul asociat, conturile Apple gestionate sunt automat modificate pentru a se potrivi cu adresa de e-mail respectivă.