ข้อกำหนดในการซิงค์ Microsoft Azure AD กับ Apple School Manager
คุณสามารถใช้ "ระบบสำหรับการจัดการข้อมูลประจำตัวข้ามโดเมน" (SCIM) นำเข้าผู้ใช้สู่ Apple School Manager ได้ เมื่อใช้ระบบนี้ คุณจะผสานคุณสมบัติของ Apple School Manager (เช่น ระดับชั้นและบทบาท) เข้ากับข้อมูลบัญชีผู้ใช้ที่นำเข้าจาก Microsoft Azure Active Directory (Azure AD) เมื่อคุณใช้ SCIM ในการนำเข้าผู้ใช้ ข้อมูลบัญชีจะถูกเพิ่มเป็นแบบอ่านอย่างเดียวจนกว่าคุณจะยกเลิกการเชื่อมต่อจาก SCIM ในเวลานั้น บัญชีดังกล่าวจะกลายเป็นบัญชีแบบดำเนินการด้วยตนเองและจะสามารถแก้ไขคุณลักษณะในบัญชีเหล่านี้ได้ การซิงค์ครั้งแรกจะใช้เวลาดำเนินการนานกว่ารอบต่อๆ ไปซึ่งจะเกิดขึ้นทุกๆ 40 นาทีโดยประมาณ ตราบเท่าที่บริการการจัดสรร Azure AD กำลังทำงานอยู่ โปรดดู เคล็ดลับการจัดสรร ที่เว็บไซต์เอกสารประกอบ Microsoft Azure
สิทธิ์ของ Azure AD
บทบาทดังต่อไปนี้ใน Azure AD สามารถใช้ SCIM ในการซิงค์บัญชีไปยัง Apple School Manager ได้:
ผู้ดูแลระบบแอปพลิเคชัน
ผู้ดูแลระบบแอปพลิเคชันคลาวด์
เจ้าของแอปพลิเคชัน
ผู้ดูแลระบบส่วนกลาง
โปรดดู บทบาทในตัวของ Azure AD ที่เว็บไซต์ Microsoft Azure AD
ผู้เช่า Azure AD
หากต้องการใช้ SCIM กับ Apple School Manager องค์กรของคุณต้องไม่มีผู้เช่า Azure AD เดียวกันกับองค์กร Apple School Manager อื่นๆ หากคุณต้องการใช้ SCIM สำหรับองค์กรของคุณ ให้ติดต่อผู้ดูแลระบบ Azure AD ของคุณเพื่อให้แน่ใจว่าไม่มีองค์กรอื่นกำลังใช้ผู้เช่า Azure AD ของคุณสำหรับ SCIM อยู่
กลุ่ม Azure AD
ใน Azure AD การซิงค์ทั้งสองวิธีใช้คำว่ากลุ่ม แต่จะมีการซิงค์เฉพาะบัญชีผู้ใช้เท่านั้น คุณสามารถเพิ่มกลุ่ม Azure AD ไปยังแอป Apple School Manager Azure AD ได้ ตัวอย่างเช่น หากคุณมีกลุ่มใน Azure AD ที่ชื่อว่าเจ้าหน้าที่ ผู้สอน และนักเรียน คุณสามารถเพิ่มสามกลุ่มนี้ในแอป Apple School Manager Azure AD ได้ เมื่อคุณเชื่อมต่อโดยใช้ SCIM เฉพาะบัญชีในกลุ่มเหล่านี้เท่านั้นที่จะซิงค์ไปยัง Apple School Manager
หมายเหตุ: แอป Apple School Manager Azure AD ไม่รองรับกลุ่มย่อย
ขอบเขตการจัดสรร
คุณสามารถซิงค์บัญชีจาก Azure AD ไปยัง Apple School Manager ได้สองวิธี
ซิงค์เฉพาะผู้ใช้และกลุ่มที่ได้รับมอบหมายเท่านั้น: ตัวเลือกนี้จะซิงค์เฉพาะบัญชีที่ปรากฏอยู่ในแอป Apple School Manager Azure AD ไปยัง Apple School Manager เมื่อใช้วิธีนี้ในการซิงค์ บัญชี Azure AD จะต้องมีบทบาทเป็นผู้ใช้เพื่อซิงค์ไปยัง Apple School Manager
ซิงค์ผู้ใช้และกลุ่มทั้งหมด: ตัวเลือกนี้จะซิงค์บัญชีทั้งหมด (ไม่รองรับการซิงค์กลุ่ม) ที่ปรากฏในแท็บ "ผู้ใช้ Azure AD" ไปยัง Apple School Manager และสร้าง Apple ID ที่ได้รับการจัดการสำหรับบัญชี Azure AD แบบรวมศูนย์ทั้งหมด แม้ว่าคุณตั้งใจจะใช้งานบัญชีเพียงจำนวนหนึ่งเท่านั้น
ดูบทความการบริการช่วยเหลือของ Microsoft การจัดสรรผู้ใช้แอป SaaS โดยอัตโนมัติใน Azure AD คืออะไร? และ การจัดสรรแอปพลิเคชันตามคุณลักษณะด้วยตัวกรองการกำหนดขอบเขต
การแจ้งเตือนการจัดสรร
เมื่อคุณกำหนดค่าการจัดสรร คุณควรใช้ที่อยู่อีเมลของผู้ใช้ที่มีบทบาทเป็นผู้ดูแลระบบ ผู้จัดการไซต์ หรือผู้จัดการบุคคล เพื่อให้พวกเขาสามารถรับการแจ้งเตือนจาก Azure AD ได้
SCIM และการรับรองความถูกต้องแบบรวมศูนย์
หากการทำระบบแบบรวมศูนย์เปิดใช้อยู่แล้วในขณะที่ส่งบัญชี Azure AD ไปยัง Apple School Manager คุณจะไม่เห็นกิจกรรม แต่บัญชีจะยังคงซิงค์จากโดเมนแบบรวมศูนย์อยู่
Azure AD เป็นผู้ให้บริการข้อมูลประจำตัว (IdP) ซึ่งรับรองความถูกต้องของผู้ใช้สำหรับ Apple School Manager และออกโทเค็นการรับรองความถูกต้อง เนื่องจาก Apple School Manager รองรับ Azure AD ดังนั้น IdP อื่นๆ ที่เชื่อมต่อกับ Azure AD เช่น Active Directory Federated Services (ADFS) จึงสามารถทำงานได้เช่นกัน การรับรองความถูกต้องแบบรวมศูนย์ใช้ Security Assertion Markup Language (SAML) เพื่อเชื่อมต่อ Apple School Manager กับ Azure AD
บัญชีผู้ใช้ Azure AD และ Apple School Manager
เมื่อมีการคัดลอกผู้ใช้จาก Azure AD ไปยัง Apple School Manager โดยใช้ SCIM บทบาทตามค่าเริ่มต้นจะเป็นนักเรียน หลังจากการซิงค์เสร็จสิ้น คุณจะสามารถแก้ไขคุณลักษณะผู้ใช้ต่อไปนี้:
บทบาท
ระดับชั้นเรียน
ชื่อผู้ใช้ของระบบข้อมูลนักเรียน (SIS)
คุณลักษณะเหล่านี้จะจัดเก็บอยู่กับบัญชีผู้ใช้ใน Apple School Manager และจะไม่เขียนกลับไปยัง Azure AD
การแมปคุณลักษณะผู้ใช้ SCIM
เมื่อใช้ SCIM คัดลอกบัญชีจาก Azure AD ไปยัง Apple School Manager คุณลักษณะผู้ใช้ต่อไปนี้จะถูกจัดเก็บเป็นแบบอ่านอย่างเดียว ตารางนี้ยังระบุด้วยว่าจำเป็นต้องมีคุณลักษณะผู้ใช้หรือไม่
สิ่งสำคัญ: การเพิ่มคุณลักษณะที่ไม่ได้แสดงอยู่ในตารางจะทำให้การเชื่อมต่อ SCIM ถูกยกเลิก
คุณลักษณะผู้ใช้ Azure AD | คุณลักษณะผู้ใช้ Apple School Manager | บังคับ |
---|---|---|
ชื่อ | ชื่อ | |
นามสกุล | นามสกุล | |
ชื่อหลักของผู้ใช้ | Apple ID ที่ได้รับการจัดการ และที่อยู่อีเมล | |
ID วัตถุ | (ไม่แสดงใน Apple School Manager คุณลักษณะนี้ใช้เพื่อระบุบัญชีที่ขัดแย้งกัน) | |
แผนก | แผนก | |
ID พนักงาน | หมายเลขบุคคล | |
คุณลักษณะที่กำหนดเอง (ต้องสร้างในแอป Apple School Manager Azure AD) | ศูนย์ต้นทุน | |
คุณลักษณะที่กำหนดเอง (ต้องสร้างในแอป Apple School Manager Azure AD) | ฝ่าย |
ชื่อหลักของผู้ใช้
หากผู้ใช้มีชื่อหลักของผู้ใช้ (UPN) ที่เหมือนกันทุกประการกับผู้ใช้ Apple School Manager ที่มีอยู่ ซึ่งมีบทบาทเป็นผู้ดูแลระบบ ผู้จัดการไซต์ หรือผู้จัดการบุคคล ระบบจะไม่ซิงค์ข้อมูล และช่องแหล่งที่มาจะไม่มีการเปลี่ยนแปลง โดยจะเป็นเช่นนี้เสมอ ไม่ว่าเดิมจะใช้วิธีซิงค์ใด (SIS หรือ SFTP)
ID บุคคล
เมื่อผู้ใช้ Azure AD ซิงค์กับ Apple School Manager ระบบจะสร้าง ID บุคคลสำหรับบัญชีผู้ใช้ Apple School Manager จะมีการใช้ ID บุคคลและ ID วัตถุเพื่อระบุบัญชีผู้ใช้ที่ขัดแย้งกัน นอกจากนี้ ID บุคคลจะถูกสร้างขึ้นโดยอัตโนมัติสำหรับผู้ใช้ที่นำเข้าโดยใช้ SCIM หรือใช้การผสานรวม SIS แต่ ID บุคคลจะไม่สร้างขึ้นโดยอัตโนมัติสำหรับผู้ใช้ที่นำเข้าโดยใช้ SFTP
หาก SCIM ถูกยกเลิกการเชื่อมต่อ และมีการใช้ SFTP เพื่ออัปโหลดผู้ใช้อีกครั้ง ระบบจะสร้างผู้ใช้ใหม่ขึ้นมา นอกจากว่า ID บุคคลในไฟล์ SFTP ที่อัปโหลดตรงกับ ID บุคคลที่ SCIM มอบหมาย โปรดดู นำเข้าบัญชีโดยใช้ SFTP
ข้อควรพิจารณาที่สำคัญหากคุณแก้ไข ID บุคคลมีดังนี้:
หากคุณแก้ไข ID บุคคลสำหรับบัญชีที่นำเข้าจาก SCIM ก่อนหน้านี้ บัญชีดังกล่าวจะไม่จับคู่กับ Azure AD อีกต่อไป
หากคุณแก้ไข ID บุคคลสำหรับบัญชีที่นำเข้าจาก SCIM ก่อนหน้านี้และต้องการเชื่อมต่อบัญชีอีกครั้ง โปรดดูหัวข้อแก้ไขข้อขัดแย้งของบัญชีผู้ใช้ SCIM
ข้อแนะนำ
คุณควรใช้เพียงแอป Apple School Manager Azure AD เท่านั้นเมื่อทำการเชื่อมต่อด้วย SCIM
หากคุณมีโดเมนที่ได้รับการตรวจสอบยืนยันแล้ว แต่ยังไม่ได้เปิดการรับรองความถูกต้องแบบรวมศูนย์ คุณควรรอเปิดการทำระบบแบบรวมศูนย์หลังจากที่คุณได้ตรวจสอบว่ามีการส่งผู้ใช้ Azure AD ไปยัง Apple School Manager แล้ว ซึ่งทำได้โดยการดูบันทึกการจัดสรร Azure AD หลังจากตรวจสอบว่ามีการส่งผู้ใช้ Azure AD เรียบร้อยแล้ว เมื่อคุณเปิดการทำระบบแบบรวมศูนย์ คุณจะได้รับแจ้งด้วยกิจกรรมเมื่อมีการจัดสรรผู้ใช้ Azure AD หากการทำระบบแบบรวมศูนย์เปิดอยู่แล้วตอนที่มีการส่งผู้ใช้ Azure AD คุณจะไม่เห็นกิจกรรม แต่จะยังคงมีการซิงค์ผู้ใช้อยู่
หากคุณมีกลุ่มที่กำหนดค่าใน Azure AD คุณจะสามารถเพิ่มกลุ่มดังกล่าวไปยังแอป Apple School Manager Azure AD แทนการเพิ่มผู้ใช้แต่ละรายได้
สิ่งสำคัญ: อย่าใช้ชื่อผู้ใช้ซ้ำเป็นเวลา 120 วันในแอป Apple School Manager Azure AD
ก่อนที่คุณจะเริ่ม
ก่อนที่คุณจะเริ่ม คุณต้องดำเนินการดังต่อไปนี้:
ยกเลิกการเชื่อมต่อจากระบบข้อมูลนักเรียน (SIS) ของคุณ หรือหยุดการอัปโหลดที่ใช้ SFTP
กำหนดค่าและยืนยันโดเมนที่คุณต้องการใช้งาน โปรดดู เชื่อมโยงไปยังโดเมนใหม่
กำหนดค่า (แต่อย่าเปิด) การรับรองความถูกต้องแบบรวมศูนย์ โปรดดู กำหนดค่ากระบวนการรับรองความถูกต้องแบบรวมศูนย์
หมายเหตุ: หากการรับรองความถูกต้องแบบรวมศูนย์เปิดอยู่แล้ว คุณยังสามารถดำเนินการต่อได้ โปรดดูข้อแนะนำในส่วนก่อนหน้า
กำหนดประเภทของการซิงค์ใน Azure AD และหากจำเป็น ให้สร้างกลุ่มสำหรับการซิงค์เฉพาะบัญชีที่ได้รับมอบหมายไปยังแอป Apple School Manager Azure AD ดังนี้:
ซิงค์เฉพาะผู้ใช้ที่ได้รับมอบหมาย
ซิงค์ผู้ใช้ทั้งหมด
มีผู้ดูแลระบบ Azure AD ที่มีสิทธิ์แก้ไขแอปพลิเคชันสำหรับองค์กรที่เตรียมพร้อมอยู่ เมื่อทั้งสองฝ่ายพร้อมแล้ว โปรดดู ใช้ SCIM นำเข้าผู้ใช้