Intro till federerad autentisering med Apple School Manager
Med federerad autentisering kan du länka Apple School Manager till din instans av Microsoft Azure Active Directory (Azure AD). Då kan dina användare använda sina användarnamn (Användarhuvudnamn) och lösenord för Azure AD som hanterade Apple-ID. De kan använda sina inloggningsuppgifter för Azure AD för att logga in på sina tilldelade iPad- eller Mac-enheter, och till och med iCloud på webben. Studerande kan även använda dem för att logga in på Delade iPad-enheter.
Om du försöker federera en domän som du redan har verifierat och om en annan organisation redan har federerat samma domän, måste du kontakta organisationen för att fastställa vem som har rätt att federera domänen. Se Om domänkonflikter.
Viktigt: För federerad autentisering måste en användares huvudnamn matcha användarens e-postadress. Alias för användarens huvudnamn och alternativa ID:n stöds inte.
För att kunna använda federerad autentisering med Apple School Manager måste dina Apple-enheter uppfylla följande krav:
iOS 11.3 eller senare
iPadOS 13.1 eller senare
macOS 10.13.4 eller senare
Azure AD är den identitetsleverantör (IdP) som autentiserar användaren för Apple School Manager och som utfärdar autentiseringstoken. Eftersom Apple School Manager har stöd för Azure AD fungerar även andra identitetsleverantörer som ansluts till Azure AD, som AD FS (Active Directory Federation Services), med Apple School Manager. Federerad autentisering använder SAML (Security Assertion Markup Language) för att ansluta Apple School Manager till Azure AD.
Obs! Användare kan inte logga in på iCloud.com utan att först logga in med sitt hanterade Apple-ID på en annan Apple-enhet.
Federerad autentisering och SCIM (System for Cross-domain Identity Management)
För att lägga till Apple School Manager Azure AD-appen med Microsoft-klienter måste klienternas administratör gå igenom inställningsprocessen för federerad autentisering, inklusive testautentisering. När det lyckas fylls Apple School Manager Azure AD-appen i i klienten och administratören kan federera domäner och konfigurera Apple School Manager för att använda SCIM. Se Granska SCIM-krav.
Det finns tre situationer då du kan använda federerad autentisering:
Endast federerad autentisering
När du länkar till Azure AD skapas hanterade Apple-ID:n för användare när de loggar in med de användarnamn och lösenord som de använder med Azure AD-tjänster. Om en användare tas bort från Azure AD kan användaren också tas bort från Apple School Manager.
Federerad autentisering och Delad iPad
När du använder federerad autentisering med Delad iPad är inloggningsprocessen annorlunda beroende på om användaren redan finns i Apple School Manager eller inte. Du kan se scenarier över inloggning med Delad iPad och Apple School Manager på Delad iPad i översikt.
Standardpolicyn för lösenkod är Standard (8 eller fler bokstäver och siffror) och kan ändras. Se Scenarier för lösenordspolicy.
Glömmer användaren sin lösenkod måste du återställa användarens lösenkod för Delad iPad.
Federerad autentisering med användare från andra källor
När du länkar till Azure AD skapas automatiskt hanterade Apple-ID:n för användare och de kan logga in med sina befintliga e‑postadresser som sina hanterade Apple-ID:n.
Du kopplar sedan till ditt SIS eller överför filer med SFTP. All information, såsom klasser och deltagarlistor, jämförs med användarna i din Azure AD-tjänst. Om en användare tas bort från Azure AD måste användaren avaktiveras i Apple School Manager av ett konto som har behörighet att ändra användares status.
Viktigt: Om du ansluter till ett SIS (Student Information System) eller importerar användare med SFTP (Secure File Transfer Protocol) och använder federerad autentisering måste användarens e‑postadress i SIS matcha användarnamnet som han eller hon använder för att logga in i Azure AD.