Požiadavky na synchronizáciu so službou Azure AD v Apple School Manageri
Prostredníctvom systému SCIM (System for Cross-domain Identity Management) môžete do Apple School Managera importovať používateľov. Pri používaní tohto systému sa zlúčia vlastnosti z Apple School Managera (napríklad ročníky a pozície) s údajmi o používateľských účtoch importovanými zo služby Microsoft Azure Active Directory (Azure AD). Ak používateľov importujete prostredníctvom systému SCIM, informácie o účtoch sa pridajú v režime len na čítanie a zostanú tak, kým sa od systému SCIM neodpojíte. V danom momente sa z účtov stanú manuálne vytvorené účty a atribúty týchto účtov je možné upraviť. Úvodná synchronizácia trvá dlhšie ako neskoršie synchronizácie (tie sa opakujú približne každých 40 minút, kým je spustená služba poskytovania Azure AD). Ďalšie informácie nájdete v článku Provisioning tips (Tipy k poskytovaniu) na webovej stránke dokumentácie služby Microsoft Azure.
Oprávnenia v službe Azure AD
Synchronizovať účty cez systém SCIM do Apple School Managera môžu v službe Azure AD nasledujúce roly:
Správca aplikácie
Správca cloudovej aplikácie
Vlastník aplikácie
Globálny správca
Pozrite si článok Azure AD built-in roles (Vstavané pozície služby Azure AD) na webovej stránke služby Microsoft Azure AD.
Nájomcovia v službe Azure AD
Ak chcete v Apple School Manageri používať systém SCIM, vaša organizácia nesmie používať rovnakého nájomcu služby Azure AD ako iná organizácia v Apple School Manageri. Ak chcete vo svojej organizácii používať systém SCIM, kontaktujte administrátora služby Azure AD a uistite sa, že pre systém SCIM nepoužíva rovnakého nájomcu služby Azure AD žiadna iná organizácia.
Skupiny v službe Azure AD
V službe Azure AD sa pojem skupiny používa pri oboch spôsoboch synchronizácie, ale synchronizujú sa len používateľské účty. Skupiny zo služby Azure AD môžete pridať do aplikácie Apple School Manager v Azure AD. Ak máte napríklad v Azure AD skupiny s názvom Zamestnanci, Vyučujúci a Študenti, môžete ich všetky tri pridať do aplikácie Apple School Manager v Azure AD. Keď sa pripojíte pomocou systému SCIM, do Apple School Managera sa synchronizujú len účty z týchto skupín.
Poznámka: Aplikácia Apple School Manager v Azure AD nepodporuje podskupiny.
Rozsah poskytovania
Existujú dva spôsoby, ako synchronizovať účty zo služby Azure AD do Apple School Managera.
Synchronizovať len priradených používateľov a skupiny: Táto možnosť synchronizuje do Apple School Managera len účty, ktoré sa zobrazujú v aplikácii Apple School Manager v Azure AD. Pri používaní tohto spôsobu synchronizácie musia mať účty zo služby Azure AD priradenú pozíciu používateľa, aby sa mohli synchronizovať s Apple School Managerom.
Synchronizovať všetkých používateľov a skupiny: Táto možnosť synchronizuje do Apple School Managera všetky účty, ktoré sa zobrazujú v Azure AD na karte Používatelia (synchronizácia skupín nie je podporovaná), a pre všetky združené účty z Azure AD vytvorí spravované účty Apple ID, a to aj v prípade, že chcete používať len určitý počet účtov.
Prečítajte si články podpory spoločnosti Microsoft What is automated SaaS app user provisioning in Azure AD? (Čo je automatické poskytovanie aplikácií SaaS v službe Azure AD?) a Attribute-based application provisioning with scoping filters (Poskytovanie aplikácií na základe atribútov s filtrami rozsahu).
Upozornenia poskytovania
Pri konfigurácii poskytovania by ste mali použiť emailovú adresu používateľa s pozíciou administrátora, správcu inštitúcie alebo správcu osôb, aby daná osoba mohla dostávať upozornenia zo služby Azure AD.
Systém SCIM a overenie združenej identity
Ak už vo chvíli, keď sa do Apple School Managera odosielajú účty zo služby Azure AD, máte zapnuté združenie, neuvidíte žiadnu aktivitu, ale účty sa napriek tomu budú synchronizovať zo združenej domény.
Služba Azure AD je poskytovateľom identít (IdP), ktorý overuje používateľov Apple School Managera a vydáva im overovacie tokeny. Keďže Apple School Manager podporuje službu Azure AD, budú s ním fungovať aj iní poskytovatelia identít, ktorí sa pripájajú k službe Azure AD, ako je napríklad služba Active Directory Federated Services (ADFS). Funkcia Overenie združenej identity využíva na prepojenie Apple School Managera s Azure AD jazyk SAML (Security Assertion Markup Language).
Používateľské účty služby Azure AD a Apple School Manager
Keď pomocou systému SCIM skopírujete do Apple School Managera používateľa zo služby Azure AD, pridelí sa mu predvolená pozícia Žiak/študent. Po dokončení synchronizácie môžete upraviť nasledujúce atribúty používateľov:
Pozície
Ročník
Používateľské meno v študentskom informačnom systéme (SIS)
Tieto atribúty sa ukladajú s používateľským účtom v Apple School Manageri a nezapisujú sa späť do služby Azure AD.
Mapovanie atribútov používateľov zo systému SCIM
Keď pomocou systému SCIM skopírujete do Apple School Managera účet zo služby Azure AD, nasledujúce atribúty sa uložia v režime iba na čítanie. Táto tabuľka tiež určuje, či sa vyžaduje atribút používateľa.
Dôležité: Pridaním atribútov, ktoré v tabuľke vyššie nie sú uvedené, sa znefunkční prepojenie so systémom SCIM.
Atribút používateľa v službe Azure AD | Atribút používateľ v Apple School Manageri | Povinné |
---|---|---|
Meno | Meno | |
Priezvisko | Priezvisko | |
Hlavné meno používateľa | Spravované Apple ID a emailová adresa | |
ID objektu | (V Apple School Manageri sa nezobrazuje. Tento atribút sa používa len na rozpoznanie konfliktov účtov.) | |
Oddelenie | Oddelenie | |
ID zamestnanca | Číslo osoby | |
Vlastný atribút (musíte ho vytvoriť v aplikácii Apple School Manager v Azure AD) | Nákladové stredisko | |
Vlastný atribút (musíte ho vytvoriť v aplikácii Apple School Manager v Azure AD) | Divízia |
Hlavné meno používateľa
Ak sa hlavné meno používateľa (UPN) zhoduje s už vytvoreným používateľom Apple School Managera s pozíciou administrátora, správcu inštitúcie alebo správcu osôb, synchronizácia neprebehne a zdrojové pole sa nezmení. Dôjde k tomu bez ohľadu na pôvodne použitý spôsob synchronizácie (SIS alebo SFTP).
ID osoby
Keď s Apple School Managerom synchronizujete používateľa zo služby Azure AD, vytvorí sa pre daný používateľský účet v Apple School Manageri aj ID osoby. Pomocou ID osoby a ID objektu sa rozpoznávajú konflikty používateľských účtov.
ID osoby sa automaticky vygeneruje používateľom importovaným cez systém SCIM alebo v rámci integrácie so systémom SIS, ale nevygeneruje sa automaticky používateľom importovaným cez SFTP.
Ak je systém SCIM odpojený a na opätovné nahranie používateľov použijete SFTP, vytvoria sa noví používatelia – okrem prípadov, keď sa ID osoby v súbore nahrávanom cez SFTP zhoduje s ID osoby, ktoré už predtým bolo priradené prostredníctvom systému SCIM. Pozrite si tému Import účtov pomocou protokolu SFTP.
Ak pre niektorý účet importovaný pomocou systému SCIM upravíte ID osoby, daný účet už nebude spárovaný so službou Azure AD. Ak ste pre niektorý účet importovaný pomocou systému SCIM upravili ID osoby a teraz chcete účet znova pripojiť k systému SCIM, pozrite si tému Riešenie konfliktov používateľských účtov SCIM.
Odporúčania
Pri pripájaní prostredníctvom systému SCIM by ste mali používať len aplikáciu Apple School Manager v Azure AD.
Ak máte overenú doménu, ale ešte ste nezapli overenie združenej identity, mali by ste so zapnutím združenia počkať, až kým sa neuistíte, že používatelia zo služby Azure AD sa skutočne odoslali do Apple School Managera. To môžete urobiť kontrolou protokolov poskytovania služby Azure AD. Keď sa uistíte, že používatelia zo služby Azure AD sa skutočne odoslali, a potom zapnete združenie, dostanete upozornenie na aktivitu, keď budú používatelia zo služby Azure AD vytvorení. Ak už vo chvíli, keď sa odošlú používatelia zo služby Azure AD, máte zapnuté združenie, neuvidíte žiadnu aktivitu, ale používatelia sa napriek tomu synchronizujú.
Ak máte v službe Azure AD nakonfigurovanú nejakú skupinu, môžete ju pridať do aplikácie Apple School Manager v Azure AD bez toho, aby ste museli každého používateľa pridať zvlášť.
Dôležité: Nepoužívajte v aplikácii Apple School Manager v Azure AD to isté používateľské meno po dobu 120 dní.
Kým začnete
Kým začnete, musíte vykonať nasledujúce kroky:
Odpojiť sa od študentského informačného systému (SIS) alebo vypnúť nahrávanie cez SFTP.
Nakonfigurovať a overiť doménu, ktorú chcete používať. Pozrite si tému Prepojenie s novými doménami.
Nakonfigurovať (ale nezapínať) overenie združenej identity. Prečítajte si článok Zapnutie a otestovanie funkcie Overenie združenej identity.
Poznámka: Ak už overenie združenej identity máte zapnutie, môžete napriek tomu pokračovať. Prečítajte si odporúčania v predchádzajúcej časti.
Určiť typ synchronizácie v službe Azure AD a podľa potreby vytvoriť skupiny, pomocou ktorých sa do aplikácie Apple School Manager v Azure AD budú synchronizovať len priradené účty:
Synchronizovať len priradených používateľov.
Synchronizovať všetkých používateľov.
Mať k dispozícii pripraveného administrátora služby Azure AD, ktorý má oprávnenia na úpravu podnikových aplikácií. Keď budete obaja pripravení, pozrite si tému Import používateľov pomocou systému SCIM.