Azure AD-synkroniseringsbehörigheter med Apple School Manager
Du kan använda SCIM (System for Cross-domain Identity Management) för att importera användare i Apple School Manager. Använd det här systemet för att slå samman Apple School Manager-egenskaper (som till exempel betygsnivå och roller) med användarkontodata importerade från Microsoft Azure Active Directory (Azure AD). Om du använder SCIM för att importera användare läggs kontoinformationen till i skrivskyddat läge tills du kopplar bort från SCIM. Då blir kontona manuella konton och attribut i dessa konton kan då redigeras. Den första synkroniseringen tar längre tid att utföra än kommande cykler, vilka inträffar ungefär en gång var fyrtionde minut så länge som Azure AD-etableringstjänsten körs. Se Etableringstips på Microsoft Azures dokumentationssida.
Azure AD-behörigheter
Följande roller i Azure AD kan använda SCIM för att synkronisera konton till Apple School Manager:
Programadministratör
Molnprogramadministratör
Programägare
Global administratör
Se Inbyggda roller i Azure AD på Microsoft Azure AD-webbplatsen.
Azure AD-klienter
Om du vill använda SCIM med Apple School Manager får din organisation inte ha samma Azure AD-klient som någon annan Apple School Manager-organisation. Om du vill använda SCIM för din organisation kontaktar du Azure AD-administratören för att se till att ingen annan organisation använder din Azure AD-klient för SCIM.
Azure AD-grupper
I Azure AD använder båda synkroniseringsmetoderna ordet grupper, men endast användarkonton synkroniseras. Du kan lägga till Azure AD-grupper till Apple School Manager Azure AD-appen. Om du till exempel har grupper i Azure AD som heter Personal, Lärare och Studerande kan du lägga till dessa grupper till Apple School Manager Azure AD-appen. När du ansluter med SCIM synkroniseras endast konton i dessa grupper till Apple School Manager.
Obs! Undergrupper stöds inte i Apple School Manager Azure AD-appen.
Omfattning av etablering
Det finns två metoder för att synkronisera konton från Azure AD till Apple School Manager.
Synkronisera endast tilldelade användare och grupper: Det här alternativet synkroniserar endast kontona som visas i Apple School Manager Azure AD-appen till Apple School Manager. När du använder den här metoden för att synkronisera, måste Azure AD-konton ha rollen Användare för att synkronisera till Apple School Manager.
Synkronisera alla användare och grupper: Det här alternativet synkroniserar alla konton (synkronisering av grupper stöds inte) som visas på Azure AD-användarfliken för Apple School Manager och skapar Hanterade Apple-ID:n för alla federerade Azure AD-konton, även om du endast avser använda ett visst antal konton.
Se Microsoft-supportartiklarna Vad är automatiserad SaaS-app användaretablering i Azure AD? och Attributbaserad programetablering med omfångsfilter.
Etableringsnotiser
När du konfigurerar provisionering bör du använda e-postadressen till en användare som har rollen som administratör, platsansvarig eller personansvarig så att de kan ta emot meddelanden från Azure AD.
SCIM och federerad autentisering
Om federering redan är aktiverat när Azure AD-konton skickas till Apple School Manager kommer ingen aktivitet att visas men kontona kommer ändå att synkroniseras från den federerade domänen.
Azure AD är den identitetsleverantör (IdP) som autentiserar användaren för Apple School Manager och som utfärdar autentiseringstoken. Eftersom Apple School Manager har stöd för Azure AD kommer andra identitetsleverantörer som ansluter till Azure AD som Active Directory Federated Services (ADFS) också att fungera. Federerad autentisering använder SAML (Security Assertion Markup Language) för att ansluta Apple School Manager till Azure AD.
Azure AD-användarkonton med roller för Apple School Manager
När en användare kopieras från Azure AD med SCIM till Apple School Manager är standardrollen Studerande. När synkroniseringen har slutförts kan följande användarattribut redigeras:
Roller
Årskurs
Användarnamn för Student Information System (SIS)
Dessa attribut lagras med användarkontot i Apple School Manager och skrivs inte tillbaka till Azure AD.
Attributmappning av SCIM-användare
När ett konto kopieras från Azure AD med SCIM till Apple School Manager sparas följande attribut skrivskyddat. Tabellen visar även om användarattribut krävs.
Viktigt: Att lägga till attribut som inte anges i tabellen bryter SCIM-anslutningen.
Azure AD-användarattribut | Apple School Manager användarattribut | Krävs |
---|---|---|
Förnamn | Förnamn | |
Efternamn | Efternamn | |
Användarhuvudnamn (UPN - User Principal Name) | Hanterat Apple-ID och e-postadress | |
Objekt-ID | (Visas inte i Apple School Manager. Det här attributet används för att identifiera konton med konflikter.) | |
Avdelning | Avdelning | |
Anställnings-ID | personligt nummer | |
Anpassat attribut (måste skapas i Apple School Manager Azure AD-appen) | Kostnadsställe | |
Anpassat attribut (måste skapas i Apple School Manager Azure AD-appen) | Division |
Användarhuvudnamn (UPN - User Principal Name)
Om en användare har ett användarhuvudnamn (UPN – User Principal Name) som är exakt samma som en befintlig Apple School Manager-användare med rollen administratör, platsansvarig eller personansvarig, så utförs ingen synkronisering och källfältet förblir oförändrat. Detta sker oavsett vilken synkroniseringsmetod som ursprungligen användes (SIS eller SFTP).
Person-ID
När en Azure AD-användare synkroniseras till Apple School Manager skapas ett Person-ID för Apple School Manager-användarkontot. Person-ID och Objekt-ID används för att identifiera konton med konflikter. Person-ID:t genereras dessutom automatiskt för användare som importeras via SCIM eller SIS-integration, men genereras inte automatiskt från användare som importerats med SFTP.
Om SCIM kopplas bort och SFTP används för att överföra användare igen skapas nya användare såvida inte Person-ID i SFTP-överföringsfilen motsvarar det Person-ID som tilldelats av SCIM. Se Importera konton med SFTP.
Viktigt att tänka på om du ändrar Person‑ID:
Om du ändrar Person-ID för ett konto som tidigare har importerats från SCIM kommer det kontot inte längre att parkopplas med Azure AD.
Om du ändrar Person‑ID för ett konto som tidigare har importerats från SCIM och vill återansluta kontot, se Lösa konflikter för SCIM-användarkonton.
Rekommendationer
Du ska endast använda Apple School Manager Azure AD-appen när du ansluter med SCIM.
Om du har en verifierad domän men inte har aktiverat federerad autentisering ska du vänta med att aktivera federering tills efter att du har verifierat att Azure AD-användare har skickats till Apple School Manager. Det gör du genom att titta på Azure AD-etableringsloggarna. När du har verifierat att Azure AD-användarna har skickats, när du aktiverar federation, meddelas du av en aktivitet när Azure AD-användare tillhandahålls. Om federering redan är aktiverat när Azure AD-användare skickas kommer ingen aktivitet att visas men användarna kommer ändå att synkronisera.
Om du har en grupp konfigurerad i Azure AD kan du lägga till den gruppen till Apple School Manager Azure AD-appen istället för att lägga till varje användare.
Viktigt: Undvik att återanvända ett användarnamn under 120 dagar i Apple School Manager Azure AD-appen.
Innan du börjar
Innan du börjar måste du göra följande:
Koppla från ditt studentinformationssystem (SIS) eller stoppa överföringar med SFTP.
Konfigurera och verifiera domänen du vill använda. Se Länk till nya domäner.
Konfigurera (men aktivera inte) federerad autentisering. Se Konfigurera den federerade autentiseringen.
Obs! Om federerad autentisering redan är aktiverat kan du fortfarande gå vidare. Se rekommendationerna i föregående avsnitt.
Avgör typen av synkronisering i Azure AD och skapa vid behov grupper för att synkronisera endast tilldelade konton till Apple School Manager Azure AD-appen:
Synkronisera endast tilldelade användare.
Synkronisera alla användare.
Ring en Azure AD-administratör som har behörighet att redigera företagsprogram. När ni båda är redo, se Använd SCIM för att importera användare.