Вступ до розділу про об’єднану автентифікацію в Apple School Manager
Ви можете скористатися функцією обʼєднана автентифікація, щоб підключити Apple School Manager до:
Google Workspace
Microsoft Entra ID Open ID Connect (OIDC)
Будь-яким постачальником ідентифікаційних даних (IdP) за допомогою (OIDC) або системи керування міждоменною ідентифікацією (SCIM)
Примітка. Ви можете звʼязатися з Google Workspace, Microsoft Entra ID або своїм IdP, але лише по черзі.
Після цього користувачі можуть входити на призначені їм пристрої iPhone, iPad, Mac, Apple Vision Pro, а також на спільний iPad, вводячи своє ім’я користувача (як правило, адресу електронної пошти) і пароль. Після входу на одному з цих пристроїв вони можуть також увійти в iCloud через інтернет на комп’ютері Mac (iCloud для Windows не підтримує керовані облікові записи Apple).
Важливо! Коли строк дії звʼязку завершується, обʼєднання та синхронізація облікових записів користувачів призупиняється. Щоб продовжити використовувати об’єднану автентифікацію та синхронізацію, вам необхідно повторно підключитися.
Існують певні випадки, коли може використовуватись обʼєднана автентифікація.
Лише обʼєднана автентифікація
Під час підʼєднання Apple School Manager до Google Workspace, Microsoft Entra ID або IdP для користувачів автоматично створюються керовані облікові записи Apple. Після цього вони можуть входити зі своїм поточним іменем користувача (зазвичай це е‑адреса користувача) й паролем.
Перегляньте наведені нижче статті.
Синхронізація обʼєднаної автентифікації та каталогів
Також ви можете синхронізувати в Apple School Manager облікові записи користувачів із Google Workspace, Microsoft Entra ID або IdP. Налаштувавши з’єднання для синхронізації каталогів, ви можете обʼєднати ресурси Apple School Manager, як‑от рівень освіти й ролі, з даними облікового запису користувача, імпортованими з однієї із цих служб. Ці дані додаються як доступні лише для читання, доки ви не вимкнете синхронізацію. Після від’єднання облікові записи стають обліковими записами, створеними вручну, а їхні атрибути — доступними для редагування. Якщо обліковий запис користувача вилучено з однієї із цих служб, такий обліковий запис користувача можна вилучити з Apple School Manager. Перегляньте наведені нижче статті.
Обʼєднана автентифікація з користувачами із системи інформації про студентів (SIS) або за допомогою файлів .csv, завантажених через протокол SFTP
Якщо ви налаштовуєте інтеграцію із системою SIS або імпортуєте облікові записи за допомогою SFTP та плануєте використовувати об’єднану автентифікацію:
Спочатку ввімкніть і налаштуйте обʼєднану автентифікацію.
Е-адреса користувача в системі SIS повинна збігатися з іменем користувача Google Workspace, Microsoft Entra ID або IdP, яке вже використовується для входу.
Згодом ви можете інтегрувати систему SIS або передати файли .csv за допомогою протоколу безпечної передачі файлів (SFTP). Уся інформація, як-от класи та списки, зіставляється з користувачами з Google Workspace, Microsoft Entra ID або вашого IdP. Якщо обліковий запис користувача вилучено з Google Workspace, Microsoft Entra ID або IdP, тоді такий обліковий запис користувача необхідно деактивувати в Apple School Manager, використовуючи для цього обліковий запис із повноваженнями на зміну статусу користувачів.
Об’єднана автентифікація на спільному iPad
Коли ви використовуєте обʼєднану автентифікацію зі спільним iPad, процедура входу в систему відрізняється залежно від того, чи обліковий запис користувача вже зареєстровано в Apple School Manager. Сценарії входу наведено в розділі Вхід на спільному iPad.
Діє стандартний регламент кодів доступу (від 8 літер і цифр), який можна змінити. Дивіться розділ Сценарії регламенту паролів.
Вам необхідно скинути код допуску для спільного iPad, якщо користувач забув його.
Перш ніж почати
Перш ніж використовувати об'єднану автентифікацію з Google Workspace, Microsoft Entra ID або своїм IdP, врахуйте такі фактори:
Вимоги
Пристрої Apple повинні відповідати таким мінімальним вимогам до операційної системи:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Вам потрібно відʼєднатися від системи інформації про студентів (SIS) або зупинити передавання за допомогою SFTP.
Ви повинні заблокувати й увімкнути процес запису домену. Див. розділ Блокування доменів.
Немає суперечностей між керованими обліковими записами Apple. Див. розділ Конфлікти керованих облікових записів Apple.
Облікові записи користувачів із роллю адміністратора, керівника сайту або менеджера з персоналу не можуть входити, використовуючи обʼєднану автентифікацію, а лише керувати процесом обʼєднання.
Якщо використовується обʼєднана автентифікація, стандартне налаштування формату керованого облікового запису Apple не застосовується.
Особливі вимоги для IdP
При підключенні до Google Workspace:
Об’єднана автентифікація повинна використовувати е-адресу користувача як ім’я користувача. Псевдоніми не підтримуються.
При підключенні до Microsoft Entra ID:
Ви повинні вибрати користувача з роллю Глобального адміністратора Entra ID, щоб виконати завдання Схвалення об’єднаної автентифікації, наведене нижче. Після успішного з’єднання ви можете змінити роль користувача з Глобального адміністратора на іншу роль із необхідними повноваженнями для підтримки з’єднання. Докладніше дивіться в розділі Ролі Microsoft за умовчанням, які підтримують домени, синхронізацію каталогів і читання доменів.
Для об’єднаної автентифікації з Microsoft Entra ID необхідно, щоб ім’я userPrincipalName (UPN) користувача збігалося з його е‑адресою. Псевдоніми userPrincipalName і альтернативні ідентифікатори не підтримуються.
На момент підключення до IdP ви повинні володіти такою інформацією:
Підтверджений домен, який ви хочете використовувати. Див. розділ Додайте та підтвердьте домен.
Спосіб входу: виберіть Open ID Connect (OIDC).
Обсяг доступу: доступ необхідно надати до
ssf.manageіssf.read.URL-адреса конфігурації Shared Signals Framework (SSF): ознайомтеся з документацією свого IdP.
URL-адреса конфігурації OpenID: ознайомтеся з документацією свого IdP.
Автоматичні зміни
Для наявних користувачів Apple School Manager, які мають е‑адресу в об’єднаному домені, керований обліковий запис Apple автоматично змінюється відповідно до цієї адреси.