Använda federerad autentisering med Microsoft Azure AD i Apple School Manager
I Apple School Manager kan du länka till Microsoft Azure Active Directory (Azure AD) för att tillåta användare att logga in med sitt Azure AD-användarnamn och lösenord.
Azure AD är den identitetsleverantör (IdP) som autentiserar användaren för Apple School Manager och som utfärdar autentiseringstoken. Denna autentisering stöder certifikatautentisering och tvåfaktorsautentisering (2FA). Eftersom Apple School Manager har stöd för Azure AD fungerar även andra identitetsleverantörer som ansluts till Azure AD, som till exempel AD FS (Active Directory Federation Services), med Apple School Manager.
Viktigt: För federerad autentisering måste en användares huvudnamn matcha användarens e-postadress. Alias för användarens huvudnamn och alternativa ID:n stöds inte.
Federerad autentisering och katalogsynkronisering med Microsoft-klienter
För att lägga till Apple School Manager Azure AD-appen med Microsoft-klienter måste klienternas administratör gå igenom inställningsprocessen för federerad autentisering, inklusive testautentisering. När autentiseringen har lyckats fylls Apple School Manager Azure AD-appen med data i klienten och administratören kan federera domäner och konfigurera Apple School Manager för att använda SCIM (System för ID-hantering mellan domäner) till Mappsynkronisering. Se Granska SCIM-krav.
Innan du börjar
Det finns en trestegsprocess för att länka Apple School Manager till Azure AD och använda federerad autentisering:
Lägg till och verifiera en domän. Se Länk till nya domäner.
Det går att federera flera domäner men de måste komma från samma enskilda publika klient. Om du försöker federera en domän som du redan har verifierat och om en annan organisation redan har federerat samma domän, måste du kontakta organisationen för att fastställa vem som har rätt att federera domänen. Se Om domänkonflikter.
Viktigt: Testet av federerad autentisering ändrar även ditt standardformat för hanterade Apple‑ID. Nya konton som skapas i ditt SIS (Student Information System) eller överförs med SFTP (Secure File Transfer Protocol) använder det nya formatet för hanterade Apple‑ID.
Konfigurera den federerade autentiseringen.
Testa autentisering med ett enskilt Azure AD-domänkonto.
Konfigurera den federerade autentiseringen
Detta gör så att Azure AD litar på Apple School Manager.
Logga in på Apple School Manager med ett konto som har rollen som administratör, platsansvarig eller personansvarig.
Välj ditt namn längst ned i sidofältet, välj Inställningar och välj sedan Konton .
Välj Redigera bredvid Federerad autentisering, välj Redigera och välj sedan Anslut.
Välj Logga in med Microsoft, ange ett konto för en global administratör, programadministratör eller molnprogramadministratör i Microsoft Azure AD och välj Nästa.
Ange kontots lösenord och välj Logga in.
Läs programavtalet noga och välj Godkänn.
Du godkänner att Microsoft ger Apple åtkomst till informationen i Azure AD.
Välj Klar.
Obs! När du har slutfört det här steget kan användare inte skapa nya personliga Apple-ID:n på domänen du har konfigurerat. Detta kan påverka andra Apple-tjänster du använder. Se Överföra Apple-tjänster vid federering.
I vissa fall kan du kanske inte lägga till din domän. Det här är några vanliga orsaker:
Kontot för global administratör, programadministratör eller molnprogramadministratör i Azure AD som används har inte behörighet att lägga till domäner i Microsoft Azure AD.
Användarnamnet eller lösenordet från kontot i steg 4 stämmer inte.
Testa autentisering med ett enskilt Azure AD-konto
Detta leder till att Apple School Manager litar på Azure AD. När du har verifierat att du äger din domän och har testat autentisering med ett enskilt Azure AD-konto kan du sedan skapa ytterligare konton och fortsätta att federera din domän.
Välj Federera bredvid den domän som du vill federera.
Välj Logga in på Microsoft Azure Portal och ange användarnamn och lösenord.
Ange ett konto för en global administratör, programadministratör eller molnprogramadministratör i Microsoft Azure AD som finns i domänen och välj Nästa.
Ange kontots lösenord och välj Logga in, Klar och sedan Klar igen.
I vissa fall kan du kanske inte logga in på din domän. Här är några vanliga orsaker:
Användarnamnet eller lösenordet är felaktigt för domänen som du valde att federera.
Kontot existerar inte i domänen som du valde att federera.
Efter inloggningen lyckas kontrollerar Apple School Manager om det finns några användarnamnskonflikter med domänen. Kontrollen av användarnamnskonflikter måste slutföras innan du kan använda federerad autentisering med domänen.
Obs! När du har länkat Apple School Manager till Azure AD kan du ändra rollen för konton. Du kan till exempel ändra ett kontos roll till Lärare.
Aktivera federerad autentisering
Innan du aktiverar federerad autentisering ska du se till att du har länkat till en ny domän och verifierat den.
Obs! Om du planerar att ansluta till Azure AD med SCIM ska du vänta med att aktivera federerad autentisering tills efter att SCIM-anslutningen har upprättats.
Logga in på Apple School Manager med ett konto som har rollen som administratör, platsansvarig eller personansvarig.
Välj ditt namn längst ned i sidofältet, välj Inställningar och välj sedan Konton .
Välj Redigera i avsnittet Domäner och aktivera federerad autentisering för domänerna som du har lagt till i Apple School Manager.
Det kan ta ett tag att uppdatera alla konton.
Testa federerad autentisering
Du kan testa anslutningen med federerad autentisering när du har utfört följande uppgifter:
Du har anslutit och verifierat din domän.
Kontrollen av användarnamnskonflikter är slutförd.
Standardformatet för hanterade Apple‑ID har uppdaterats.
Obs! Användare med rollen administratör, platsansvarig eller personansvarig kan inte logga in med federerad autentisering utan kan bara hantera federationsprocessen.
I Apple School Manager kan du logga in med en användare som inte har rollen Administratör, Personal eller Studerande.
Om användarnamnet som du loggade in med hittas visar en ny skärm att du loggar in med en användare i din domän.
Välj Fortsätt, ange användarens lösenord och välj Logga in.
Logga ut från Apple School Manager.
Obs! Användare kan inte logga in på iCloud.com utan att först logga in med sitt hanterade Apple‑ID på en annan Apple-enhet.