Вимоги для синхронізації за допомогою Azure AD в Apple School Manager
Ви можете скористатися системою керування міждоменною ідентифікацією (SCIM) для імпорту користувачів в Apple School Manager. За допомогою цієї системи можна об’єднати ресурси Apple School Manager (як-от рівень освіти та ролі) з даними облікового запису користувача, імпортованими з Microsoft Azure Active Directory (Azure AD). Коли ви імпортуєте користувачів за допомогою SCIM, інформація про обліковий запис додається у форматі лише для читання, поки ви не від’єднаєтеся від SCIM. Після від’єднання облікові записи стають обліковими записами, створеними вручну, а їхні атрибути — доступними для редагування. Початкова синхронізація займає більше часу, ніж наступні, які здійснюються приблизно кожні 40 хвилин, поки працює служба підготовки Azure AD. Дивіться Поради з підготовки на веб-сайті документації Microsoft Azure.
Повноваження Azure AD
Наведені нижче ролі в Azure AD можуть синхронізувати облікові записи в Apple School Manager за допомогою SCIM.
Адміністратор програми
Адміністратор хмарної програми
Власник програми
Глобальний адміністратор
Дивіться вбудовані ролі Azure AD на веб-сайті Microsoft Azure AD.
Клієнти Azure AD
Щоб використовувати SCIM з Apple School Manager, ваша установа не повинна мати такого ж клієнта Azure AD, як жодна інша установа з Apple School Manager. Якщо ви хочете використовувати SCIM для своєї установи, зверніться до адміністратора Azure AD, щоб переконатися, що вашого клієнта Azure AD для SCIM не використовує жодна інша установа з
Групи Azure AD
В Azure AD в обох методах синхронізації використовується слово Групи, але синхронізуються лише облікові записи користувачів. Групи Azure AD можна додати у програму Apple School Manager Azure AD. Наприклад, якщо в Azure AD є групи, що називаються Персонал, Викладачі та Студенти, ці три групи можна додати в програму Apple School Manager Azure AD. Під час підключення за допомогою SCIM з Apple School Manager синхронізуватимуться лише облікові записи у цих групах.
Примітка. Програма Apple School Manager Azure AD не підтримує підгрупи.
Область надання доступу
Синхронізувати облікові записи з Azure AD в Apple School Manager можна двома способами.
Синхронізувати лише призначених користувачів і групи: у цьому режимі з Apple School Manager синхронізуються лише облікові записи, що відображаються в програмі Apple School Manager Azure AD. Щоб використовувати цей спосіб синхронізації з Apple School Manager, обліковим записам Azure AD має бути призначено роль користувача.
Синхронізувати всіх користувачів і групи: у цьому режимі з Apple School Manager синхронізуються всі облікові записи, які відображаються на вкладці «Користувач» в Azure AD (синхронізація груп не підтримується), і для всіх об’єднаних облікових записів Azure AD створюються керовані Apple ID, навіть якщо ви плануєте використовувати лише деякі з них.
Перегляньте статті служби підтримки Microsoft Що таке автоматична підготовка користувачів для програм SaaS в Azure AD? та Підготовка програм на основі атрибутів із використанням фільтрів області.
Сповіщення про підготовку
Налаштовуючи підготовку, слід використовувати адресу електронної пошти користувача з роллю адміністратора, керівника сайту або менеджера з персоналу, щоб він міг отримувати сповіщення від Azure AD.
SCIM і об’єднана автентифікація
Якщо під час надсилання облікових записів Azure AD в Apple School Manager об’єднання вже ввімкнено, операція не відображатиметься, але облікові записи синхронізуватимуться з об’єднаними доменами.
Azure AD — це постачальник ідентифікаційних даних (IdP), що автентифікує користувачів в Apple School Manager і видає токени автентифікації. Оскільки Apple School Manager підтримує Azure AD, інші постачальники ідентифікаційних даних, які під’єднуються до Azure AD, як‑от Active Directory Federated Services (ADFS), також працюватимуть. Об’єднана автентифікація використовує стандарт SAML для під’єднання Apple School Manager до Azure AD.
Облікові записи користувачів Azure AD і Apple School Manager
Якщо обліковий запис користувача копіюється з Azure AD в Apple School Manager за допомогою SCIM, за замовчуванням йому призначається роль «Студент». Після завершення синхронізації можна змінити наведені нижче атрибути користувача.
Ролі
Рівень освіти
Ім’я користувача в системі інформації про студентів (SIS)
Ці атрибути зберігаються з обліковим записом користувача в Apple School Manager і не записуються назад в Azure AD.
Зіставлення атрибутів користувача SCIM
Коли обліковий запис копіюється з Azure AD в Apple School Manager за допомогою SCIM, наведені нижче атрибути користувача зберігаються лише для читання. У таблиці також зазначено, чи є атрибут користувача обов’язковим.
Важливо! Додавання атрибутів, що не вказані в таблиці, розриває з’єднання SCIM.
Атрибут користувача Azure AD | Атрибут користувача Apple School Manager | Обов’язково |
---|---|---|
Ім’я | Ім’я | |
Прізвище | Прізвище | |
User Principal Name | Керований Apple ID й адреса електронної пошти | |
Ідентифікатор об’єкта | (Не відображається в Apple School Manager. Цей атрибут використовується для виявлення конфліктуючих облікових записів.) | |
Відділ | Відділ | |
Ідентифікаційний номер працівника | Номер особи | |
Власний атрибут (потрібно створити в програмі Apple School Manager Azure AD) | Центр витрат | |
Власний атрибут (потрібно створити в програмі Apple School Manager Azure AD) | Підрозділ |
User Principal Name
Якщо ім’я User Principal Name (UPN) користувача повністю збігається з іменем наявного користувача Apple School Manager, якому присвоєно роль адміністратора, керівника сайту або менеджера з персоналу, синхронізація не здійснюватиметься, а поле джерела залишиться без змін. Це відбувається незалежно від способу синхронізації, що спочатку використовувався (SIS або SFTP).
ID користувача
Коли обліковий запис користувача Azure AD синхронізується з Apple School Manager, для облікового запису користувача Apple School Manager створюється ідентифікатор особи. Ідентифікатор особи й ідентифікатор об’єкта використовуються для виявлення конфліктуючих облікових записів користувачів.
Ідентифікатор особи автоматично створюється для користувачів, імпортованих за допомогою SCIM або інтеграції із SIS, але не для користувачів, імпортованих за допомогою SFTP.
Якщо SCIM від’єднано і SFTP використовується для повторного закачування користувачів, будуть створені нові користувачі, якщо ідентифікатор особи у файлі закачування SFTP не збігається з ідентифікатором особи, призначеним SCIM. Дивіться розділ Імпорт облікових записів за допомогою протоколу SFTP.
Якщо змінити ідентифікатор особи для облікового запису, який імпортовано з SCIM, він більше не буде пов’язаний з Azure AD. Якщо ви змінили ідентифікатор особи для облікового запису, який було імпортовано з SCIM, і хочете повторно прив’язати його до SCIM, перегляньте розділ Усунення конфліктів облікових записів користувачів SCIM.
Рекомендації
Під час підключення до SCIM слід використовувати лише програму Apple School Manager Azure AD.
Якщо ви підтвердили домен, але не ввімкнули об’єднану автентифікацію, не вмикайте об’єднання, поки не переконаєтеся, що облікові записи користувачів Azure AD надіслано в Apple School Manager. Для цього потрібно переглянути журнали підготовки Azure AD. Переконавшись, що облікові записи користувачів Azure AD надіслано, і ввімкнувши об’єднання, ви отримаєте сповіщення від операції про те, що облікові записи користувачів Azure AD створено. Якщо під час надсилання облікових записів користувачів Azure AD об’єднання вже ввімкнено, операція не відображатиметься, але облікові записи користувачів продовжуватимуть синхронізуватися.
Якщо ви налаштували групу в Azure AD, її можна додати в програму Apple School Manager Azure AD замість того, щоб додавати кожного користувача.
Важливо! Не використовуйте те саме ім’я користувача в програмі Apple School Manager Azure AD повторно протягом 120 днів.
Перш ніж почати
Перш ніж почати, потрібно виконати перелічені нижче дії.
Від’єднайтеся від системи інформації про студентів (SIS) або зупиніть закачування за допомогою SFTP.
Налаштуйте та підтвердьте потрібний домен. Дивіться розділ Під’єднання до нових доменів.
Налаштуйте (але не вмикайте) об’єднану автентифікацію. Дивіться розділ Увімкнення та перевірка об’єднаної автентифікації.
Примітка. Якщо об’єднану автентифікацію вже ввімкнено, можна продовжувати. Перегляньте рекомендації, наведені в попередньому розділі.
Визначте тип синхронізації в Azure AD і за потреби створіть групи для синхронізації лише призначених облікових записів у програмі Apple School Manager Azure AD:
синхронізувати лише призначених користувачів;
синхронізувати всіх користувачів.
Зателефонуйте адміністратору Azure AD з дозволами на редагування корпоративних програм. Коли ви з ним будете готові, перегляньте розділ Використання SCIM для імпорту користувачів.