Вступ до обʼєднаної автентифікації в Apple School Manager
Ви можете скористатися функцією обʼєднана автентифікація, щоб підключити Apple School Manager до:
Google Workspace
Microsoft Entra ID
Ваш постачальник ідентифікаційних даних (IdP)
Примітка. Ви можете звʼязатися з Google Workspace, Microsoft Entra ID або своїм IdP, але лише по черзі.
Після цього користувачі можуть входити на призначені їм пристрої iPhone, iPad, Mac, Apple Vision Pro, а також на спільний iPad, вводячи своє ім’я користувача (як правило, адресу електронної пошти) і пароль. Після входу на одному з цих пристроїв вони можуть також увійти в iCloud через Інтернет на комп’ютері Mac (iCloud для Windows не підтримує керовані облікові записи Apple).
Важливо! Коли термін дії звʼязку завершується, обʼєднання й синхронізація облікових записів користувачів призупиняється. Щоб продовжити використовувати об’єднану автентифікацію та синхронізацію, вам потрібно повторно підключитися.
Існують певні випадки, коли може використовуватись обʼєднана автентифікація.
Лише обʼєднана автентифікація
Під час підʼєднання Apple School Manager до Google Workspace, Microsoft Entra ID або IdP для користувачів автоматично створюються керовані облікові записи Apple. Після цього вони можуть входити зі своїм поточним іменем користувача (зазвичай це е‑адреса користувача) й паролем.
Перегляньте наведені нижче статті.
Синхронізація обʼєднаної автентифікації та каталогів
Також ви можете синхронізувати в Apple School Manager облікові записи користувачів із Google Workspace, Microsoft Entra ID або IdP. Налаштувавши з’єднання для синхронізації каталогів, ви можете обʼєднати ресурси Apple School Manager, як‑от рівень освіти й ролі, з даними облікового запису користувача, імпортованими з однієї із цих служб. Ці дані додаються як доступні лише для читання, доки ви не вимкнете синхронізацію. Після від’єднання облікові записи стають обліковими записами, створеними вручну, а їхні атрибути — доступними для редагування. Якщо обліковий запис користувача вилучено з однієї із цих служб, такий обліковий запис користувача можна вилучити з Apple School Manager. Перегляньте наведені нижче статті.
Обʼєднана автентифікація з користувачами із системи інформації про студентів (SIS) або за допомогою файлів, завантажених через протокол SFTP
Якщо ви плануєте використовувати об’єднану автентифікацію з файлами SIS або CSV, вам слід спочатку налаштувати й увімкнути об’єднану автентифікацію.
Якщо ви хочете підключитися до Google Workspace, Microsoft Entra ID або вашого IdP, а також підключити SIS або завантажити файли за допомогою протоколу SFTP, вам потрібно зробити наступне:
Згодом ви можете інтегрувати систему SIS або завантажити файли за допомогою протоколу SFTP. Уся інформація, як‑от класи та списки, зіставляється з користувачами з Google Workspace, Microsoft Entra ID або вашого IdP. Якщо обліковий запис користувача вилучено з Google Workspace, Microsoft Entra ID або IdP, тоді такий обліковий запис користувача потрібно деактивувати в Apple School Manager, використовуючи для цього обліковий запис із повноваженнями на зміну статусу користувачів.
Важливо! Якщо ви інтегруєтесь із системою інформації про студентів (SIS) або імпортуєте облікові записи користувачів за допомогою протоколу SFTP, і, використовуючи обʼєднану автентифікацію, е‑адреса користувача в SIS має збігатися з іменем користувача в Google Workspace, Microsoft Entra ID або IdP, яке такий користувач уже використовує для входу.
Об’єднана автентифікація на спільному iPad
Коли ви використовуєте обʼєднану автентифікацію зі спільним iPad, процедура входу в систему відрізняється залежно від того, чи обліковий запис користувача вже зареєстровано в Apple School Manager. Сценарії входу наведено в розділі Вхід на спільному iPad.
Діє стандартний регламент кодів доступу (від 8 літер і цифр), який можна змінити. Дивіться розділ Сценарії регламенту паролів.
Вам потрібно скинути код допуску для спільного iPad, якщо користувач забув його.
Перш ніж почати
Перш ніж використовувати об'єднану автентифікацію з Google Workspace, Microsoft Entra ID або своїм IdP, врахуйте такі фактори:
Вимоги
Пристрої Apple мають відповідати наступним мінімальним вимогам до операційної системи:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Вам слід відʼєднатися від системи інформації про студентів (SIS) або зупинити закачування за допомогою SFTP.
Ви маєте заблокувати й увімкнути процес запису домену. Див. розділ Блокування доменів.
Немає суперечностей між керованими обліковими записами Apple. Див. розділ Конфлікти керованих облікових записів Apple.
Облікові записи користувачів із роллю адміністратора, керівника сайту або менеджера з персоналу не можуть входити, використовуючи обʼєднану автентифікацію, а лише керувати процесом обʼєднання.
Якщо використовується обʼєднана автентифікація, стандартне налаштування формату керованого облікового запису Apple не застосовується.
Особливі вимоги для IdP
При підключенні до Google Workspace:
Об’єднана автентифікація має використовувати е‑адресу користувача як ім’я користувача. Псевдоніми не підтримуються.
При підключенні до Microsoft Entra ID:
Ви маєте вибрати користувача з роллю Глобального адміністратора Entra ID, щоб виконати завдання Схвалення об’єднаної автентифікації, наведене нижче. Після успішного з’єднання ви можете змінити роль користувача з Глобального адміністратора на іншу роль із необхідними привілеями для підтримки з’єднання. Детальніше дивіться в розділі Ролі Microsoft за умовчанням, які підтримують домени, синхронізацію каталогів і читання доменів.
Для об’єднаної автентифікації з Microsoft Entra ID необхідно, щоб ім’я userPrincipalName (UPN) користувача збігалося з його е‑адресою. Псевдоніми userPrincipalName і альтернативні ідентифікатори не підтримуються.
При підключенні до IdP ви маєте володіти наступною інформацією:
Підтверджений домен, який ви хочете використовувати. Див. розділ Додайте та підтвердьте домен.
Спосіб входу: виберіть Open ID Connect (OIDC).
Обсяг доступу: доступ необхідно надати до
ssf.manageіssf.read.URL-адреса конфігурації Shared Signals Framework (SSF): ознайомтеся з документацією свого IdP.
URL-адреса конфігурації OpenID: ознайомтеся з документацією свого IdP.
Автоматичні зміни
Для наявних користувачів Apple School Manager, які мають е‑адресу в об’єднаному домені, керований обліковий запис Apple автоматично змінюється відповідно до цієї адреси.