Використання обʼєднаної автентифікації за допомогою Microsoft Azure AD в Apple School Manager
В Apple School Manager ви можете підʼєднатися до Microsoft Azure Active Directory (Azure AD), щоб дозволити користувачам входити під імʼям користувача Azure AD і відповідним паролем.
Azure AD — це постачальник ідентифікаційних даних (IdP), що автентифікує користувачів в Apple School Manager та видає токени автентифікації. Такий тип автентифікації підтримує автентифікацію за допомогою сертифіката та двофакторну автентифікацію (2FA). Оскільки Apple School Manager підтримує Azure AD, інші постачальники ідентифікаційних даних, які підʼєднуються до Azure AD, як‑от Active Directory Federation Services (AD FS), також працюватимуть з Apple School Manager.
Важливо! Для обʼєднаної автентифікації необхідно, щоб імʼя користувача User Principal Name (UPN) збігалося з його електронною адресою. Псевдоніми User Principal Name і альтернативні ідентифікатори не підтримуються.
Обʼєднана автентифікація та синхронізація каталогів із клієнтами Microsoft
Щоб додати програму Apple School Manager Azure AD за допомогою клієнтів Microsoft, адміністратор клієнтів має виконати процедуру налаштування обʼєднаної автентифікації, зокрема перевірку автентифікації. У разі успішної автентифікації програма Apple School Manager Azure AD заповнюється на боці клієнта, і адміністратор може обʼєднати домени та сконфігурувати Apple School Manager для використання SCIM (System for Cross-domain Identity Management) для синхронізації каталогів. Дивіться розділ Перегляд вимог SCIM.
Перш ніж почати
Для підʼєднання Apple School Manager до Azure AD та використання обʼєднаної автентифікації потрібно виконати три основні кроки:
Додайте та підтвердьте домен. Дивіться розділ Підʼєднання до нових доменів.
Можна обʼєднати кілька доменів, але вони мають бути від того самого публічного клієнта. Якщо ви намагаєтесь обʼєднати домен, для якого ви вже підтвердили право власності, але інша установа вже обʼєднала ідентичний домен, вам потрібно звʼязатися із цією установою, щоб зʼясувати, хто має право обʼєднувати домен. Дивіться розділ Про конфлікти доменів.
Важливо! Перевірка обʼєднаної автентифікації також змінить стандартний формат керованих Apple ID. Нові облікові записи, створені в системі інформації про студентів (SIS) або закачані за допомогою протоколу SFTP, використовуватимуть новий формат керованих Apple ID.
Сконфігуруйте процес обʼєднаної автентифікації.
Перевірте автентифікацію за допомогою одного облікового запису домену Azure AD.
Конфігурація процесу обʼєднаної автентифікації
Це завдання дозволяє Azure AD довіряти Apple School Manager.
В Apple School Manager увійдіть в обліковий запис користувача, що має роль адміністратора, керівника сайту або менеджера з персоналу.
Виберіть своє імʼя в нижній частині бічної панелі, натисніть «Уподобання» , а потім — «Облікові записи» .
Поруч з опцією «Обʼєднана автентифікація» натисніть «Редагувати», а потім — «Підʼєднатися».
Виберіть «Увійти за допомогою Microsoft», введіть дані облікового запису глобального адміністратора Microsoft Azure AD, адміністратора програми або адміністратора хмарної програми, а потім натисніть «Далі».
Введіть пароль для облікового запису, а потім натисніть «Увійти».
Уважно прочитайте умови програми, а потім натисніть «Прийняти».
Ви погоджуєтеся з тим, що корпорація Microsoft надаватиме Apple доступ до інформації, знайденої в Azure AD.
Натисніть «Готово».
Примітка. Після виконання цього кроку користувачі не зможуть створювати особисті Apple ID в сконфігурованому вами домені. Це може вплинути на інші сервіси Apple, які ви використовуєте. Дивіться розділ Перенесення сервісів Apple під час обʼєднання.
У деяких випадках вам може не вдаватись додати свій домен. Серед поширених причин такі:
Обліковий запис глобального адміністратора Azure AD, адміністратора програми або адміністратора хмарної програми, який ви використовуєте, не має дозволу на додання доменів у Microsoft Azure AD.
Неправильне імʼя користувача або пароль з облікового запису, указаного в кроці 4.
Перевірка автентифікації за допомогою одного облікового запису Azure AD
Це завдання дозволяє Apple School Manager довіряти Azure AD. Після підтвердження права власності на домен і успішної перевірки автентифікації за допомогою одного облікового запису Azure AD можна створювати додаткові облікові записи та продовжити обʼєднання домену.
Поруч із доменом, який потрібно обʼєднати, натисніть «Обʼєднати».
Виберіть «Увійти на порталі Microsoft Azure», а потім введіть імʼя користувача та пароль.
Введіть дані облікового запису глобального адміністратора Microsoft Azure AD, адміністратора програми або адміністратора хмарної програми, що існує в домені, а потім натисніть «Далі».
Введіть пароль для облікового запису, натисніть «Увійти», потім — «Готово», а тоді ще раз «Готово».
У деяких випадках вам може не вдаватись увійти у свій домен. Ось деякі поширені причини:
Неправильне імʼя користувача або пароль з домену, який ви обрали для обʼєднання.
Обліковий запис не знаходиться в домені, який ви вирішили обʼєднати.
Після успішного входу Apple School Manager перевірить імʼя користувача на наявність конфліктів із цим доменом. Перевірку імені користувача на наявність конфліктів потрібно виконати до того, як ви зможете використовувати обʼєднану автентифікацію з цим доменом.
Примітка. Після успішного підʼєднання Apple School Manager до Azure AD ви можете змінити роль облікового запису на іншу роль. Наприклад, можливо, ви захочете змінити роль облікового запису на роль «Викладач».
Увімкнення обʼєднаної автентифікації
Перш ніж увімкнути обʼєднану автентифікацію, переконайтеся, що ви підʼєдналися до нового домену та перевірили його.
Примітка. Якщо ви плануєте підʼєднуватися до Azure AD за допомогою SCIM, не вмикайте обʼєднану автентифікацію, поки не підʼєднаєтеся до SCIM.
В Apple School Manager увійдіть в обліковий запис користувача, що має роль адміністратора, керівника сайту або менеджера з персоналу.
Виберіть своє імʼя в нижній частині бічної панелі, натисніть «Уподобання» , а потім — «Облікові записи» .
Виберіть «Редагувати» в розділі «Домени», а потім увімкніть обʼєднану автентифікацію для доменів, що було додано в Apple School Manager.
Для оновлення всіх облікових записів може знадобитися деякий час.
Перевірка обʼєднаної автентифікації
Ви можете перевірити підключення обʼєднаної автентифікації після виконання таких завдань:
Ви підʼєдналися до свого домену й підтвердили його.
Перевірку на наявність конфліктів імен користувачів завершено.
Оновлено стандартний формат керованих Apple ID.
Примітка. Користувачі з роллю адміністратора, керівника сайту або менеджера з персоналу не можуть входити, використовуючи обʼєднану автентифікацію, а лише керувати процесом обʼєднання.
В Apple School Manager увійдіть з обліковим записом користувача, якому не призначено роль «Адміністратор», «Персонал» або «Студент».
Якщо знайдено імʼя користувача, із яким ви ввійшли, відобразиться новий екран, указуючи, що ви входите під обліковим записом користувача у вашому домені.
Виберіть «Продовжити», введіть пароль для користувача, а потім натисніть «Увійти».
Вийдіть із Apple School Manager.
Примітка. Користувачі можуть увійти на вебсайті iCloud.com тільки за попереднього входу в обліковий запис за допомогою керованого ідентифікатора Apple ID на іншому пристрої Apple.