Cerințele de sincronizare pentru Azure AD cu Apple School Manager
Puteți utiliza Sistemul pentru gestionarea identității între domenii (SCIM) pentru a importa utilizatori în Apple School Manager. Utilizând acest sistem, combinați proprietățile Apple School Manager (precum nivelul clasei și rolurile) cu datele contului de utilizator importat din Microsoft Azure Active Directory (Azure AD). Când utilizați SCIM pentru a importa utilizatorii, informațiile contului sunt adăugate ca needitabile până când vă deconectați de la SCIM. Atunci conturile devin conturi manuale, iar atributele din aceste conturi pot fi apoi editate. Sincronizarea inițială necesită mai mult timp decât ciclurile ulterioare, care se efectuează la aproximativ fiecare 40 de minute atât timp cât se execută serviciul de asigurare a accesului la Azure AD. Consultați Sfaturi privind asigurarea accesului pe site-ul web care conține documentația pentru Microsoft Azure.
Privilegii Azure AD
Următoarele roluri în Azure AD pot utiliza SCIM pentru a sincroniza conturile cu Apple School Manager:
Administrator de aplicații
Administrator de aplicații Cloud
Titular de aplicație
Administrator global
Consultați Roluri integrate în Azure AD pe site-ul web Microsoft Azure AD.
Entități găzduite Azure AD
Pentru a utiliza SCIM cu Apple School Manager, organizația dvs. nu trebuie să aibă aceeași entitate găzduită Azure AD ca orice altă organizație Apple School Manager. Dacă doriți să utilizați SCIM pentru organizația dvs., contactați administratorul Azure AD pentru a vă asigura că nicio altă organizație nu utilizează entitatea dvs. găzduită Azure AD atunci când utilizați SCIM.
Grupuri Azure AD
În Azure AD, ambele metode de sincronizare utilizează cuvântul Grupuri, dar sunt sincronizare numai conturile de utilizatori. Puteți să adăugați grupuri Azure AD la aplicația Apple School Manager Azure AD. De exemplu, dacă aveți grupuri în Azure AD denumite Membri de personal, Instructori și Studenți, puteți să adăugați aceste trei grupuri la aplicația Apple School Manager Azure AD. Atunci când vă conectați folosind SCIM, numai conturile din aceste grupuri vor fi sincronizate în Apple School Manager.
Notă: Subgrupurile nu sunt acceptate în aplicația Apple School Manager Azure AD.
Domeniul de aplicare al asigurării accesului
Există două moduri prin care puteți să sincronizați conturile dvs. din Azure AD la Apple School Manager.
Sincronizarea a atribuit doar utilizatori și grupuri.Această opțiune sincronizează în Apple School Manager doar conturile care apar în aplicația Apple School Manager Azure AD. Când utilizați această metodă pentru sincronizare, conturile Azure AD trebuie să aibă rolul de utilizator pentru a le sincroniza cu Apple School Manager.
Sincronizarea tuturor utilizatorilor și grupurilor: Această opțiune sincronizează în Apple School Manager toate conturile (sincronizarea grupurilor nu este acceptată) care apar în fila Utilizator Azure AD și creează ID-uri Apple gestionate pentru toate conturile Azure AD asociate, chiar dacă intenționați să utilizați doar un anumit număr de conturi.
Consultați articolele Asistență Microsoft Ce este asigurarea automată a accesului pentru utilizatorii aplicației SaaS în Azure AD? și Asigurarea accesului la aplicație în funcție de atribut cu filtre pentru domeniul de aplicare.
Notificări privind asigurarea accesului
Când configurați asigurarea accesului, trebuie să utilizați adresa de e-mail a unui utilizator care are rol de administrator, coordonator de centru sau coordonator de persoane, pentru a putea primi notificări de la Azure AD.
SCIM și autentificarea federativă
Dacă asocierea este deja activată atunci când conturile Azure AD sunt trimise către Apple School Manager, nu veți vedea o activitate, dar conturile se vor sincroniza totuși din domeniul federativ.
Azure AD este furnizorul de identități (IdP) care autentifică utilizatorul pentru Apple School Manager și emite identificatori de autentificare. Deoarece Apple School Manager acceptă Azure AD, vor funcționa și alți IdP-uri care efectuează conectarea la Azure AD, precum Active Directory Federated Services (ADFS). Autentificarea federativă utilizează Security Assertion Markup Language (SAML) pentru a conecta Apple School Manager la Azure AD.
Conturile de utilizatori pentru Azure AD și Apple School Manager
Atunci când un utilizator este copiat din Azure AD folosind SCIM în Apple School Manager, rolul implicit este cel de student. După finalizarea sincronizării, pot fi editate următoarele atribute ale utilizatorului:
Roluri
Nivelul clasei
Numele de utilizator din Sistemul de informații despre studenți (SIS)
Aceste atribute sunt stocate împreună cu contul de utilizator în Apple School Manager și nu sunt scrise în Azure AD.
Maparea atributelor utilizatorului SCIM
Atunci când un cont este copiat în Apple School Manager din Azure AD folosind SCMI, următoarele atribute ale utilizatorului sunt stocate ca needitabile. Tabelul indică, de asemenea, dacă este necesar atributul utilizatorului.
Important: Adăugarea de atribute care nu sunt indicate în tabel întrerupe conexiunea SCIM.
Atributul utilizatorului Azure AD | Atribut utilizator Apple School Manager | Obligatoriu |
---|---|---|
Prenume | Prenume | |
Nume | Nume | |
Numele principal al utilizatorului | ID Apple gestionat și adrese de e-mail | |
ID obiect | (Nu se afișează în Apple School Manager. Acest atribut este utilizat pentru a identifica conturile aflate în conflict.) | |
Departament | Departament | |
ID angajat | Număr personal | |
Atribut personalizat (trebuie creat în aplicația Apple School Manager Azure AD) | Centru de costuri | |
Atribut personalizat (trebuie creat în aplicația Apple School Manager Azure AD) | Divizie |
Numele principal al utilizatorului
Dacă un utilizator are un Nume principal al utilizatorului (UPN) identic cu un utilizator Apple School Manager existent care are rolul de administrator, coordonator de centru sau coordonator de persoane, nu este realizată nicio sincronizare, iar câmpul sursă rămâne neschimbat. Acest lucru are loc indiferent de metoda de sincronizare utilizată inițial (SIS sau SFTP).
ID persoană
Când un utilizator Azure AD este sincronizat la Apple School Manager, se creează un ID personal pentru contul de utilizator Apple School Manager. ID-ul personal și ID-ul de obiect sunt utilizate pentru a identifica conturile de utilizator aflate în conflict. De asemenea, ID-ul personal este generat automat pentru utilizatorii importați folosind SCIM sau integrarea SIS, dar nu este generat automat pentru utilizatorii importați folosind SFTP.
Dacă SCIM este deconectat și se utilizează SFTP pentru a încărca din nou utilizatori, se creează noi utilizatori, cu excepția cazului în care ID-ul personal din fișierul de încărcare SFTP corespunde cu ID-ul personal atribuit de SCIM. Consultați Importarea conturilor prin SFTP.
Considerații importante dacă modificați ID-ul personal:
Dacă modificați ID-ul personal pentru un cont importat anterior din SCIM, contul respectiv nu va mai fi asociat cu Azure AD.
Dacă modificați ID-ul personal pentru un cont importat anterior din SCIM și doriți să reconectați contul, consultați Rezolvarea conflictelor legate de conturi de utilizator SCIM.
Recomandări
Atunci când vă conectați cu SCIM, trebuie să folosiți doar aplicația Apple School Manager Azure AD.
Dacă aveți un domeniu verificat, dar nu ați activat autentificarea federativă, trebuie să așteptați să activați asocierea până când ați verificat că utilizatorii Azure AD au fost trimise către Apple School Manager. Puteți efectua verificarea vizualizând jurnalele de asigurare a accesului Azure AD. După ce ați verificat dacă utilizatorii Azure AD au fost trimiși, când activați asocierea veți primi o notificare de o activitate când utilizatorii Azure AD vor avea asigurat accesul. Dacă asocierea este deja activată atunci când utilizatorii Azure AD sunt trimiși, nu veți vedea o activitate, dar utilizatorii vor fi totuși sincronizați.
Dacă aveți un grup configurat în Azure AD, puteți adăuga grupul respectiv în aplicația Apple School Manager Azure AD în loc să adăugați fiecare utilizator.
Important: Nu reutilizați un nume de utilizator timp de 120 de zile în aplicația Apple School Manager Azure AD.
Înainte de a începe
Înainte de a începe, trebuie să efectuați următoarele acțiuni:
Deconectați-vă de la Sistemul de informații despre studenți (SIS) sau opriți încărcările folosind SFTP.
Configurați și confirmați domeniul pe care doriți să îl utilizați. Consultați Asocierea cu domenii noi.
Configurați (dar nu activați) autentificarea federativă. Consultați Configurarea procesului de autentificare federativă.
Notă: Dacă autentificarea federativă este deja activată, puteți totuși să continuați. Consultați recomandările din secțiunea anterioară.
Determinați tipul de sincronizare în Azure AD și dacă este necesar, creați grupuri pentru sincronizarea numai a conturilor atribuite aplicației Apple School Manager Azure AD:
Sincronizați numai utilizatorii atribuiți.
Sincronizați toți utilizatorii.
Asigurați-vă că aveți la dispoziție un administrator Azure AD cu permisiuni de editare a aplicațiilor pentru întreprinderi. Când sunteți amândoi pregătiți, consultați Utilizarea SCIM pentru importul utilizatorilor.