Giới thiệu về tính năng xác thực có liên kết bằng Apple School Manager
Bạn có thể sử dụng xác thực có liên kết để liên kết Apple School Manager với những dịch vụ sau:
Google Workspace
Microsoft Entra ID
Nhà cung cấp nhận dạng (IdP)
Ghi chú: Bạn có thể liên kết với Google Workspace, Microsoft Entra ID hoặc IdP, nhưng cần tiến hành lần lượt từng cái một.
Do đó, người dùng có thể đăng nhập vào iPhone, iPad, máy Mac, Apple Vision Pro được chỉ định, cũng như vào iPad dùng chung bằng tên người dùng hiện có (thường là địa chỉ email) và mật khẩu. Sau khi đăng nhập vào một trong những thiết bị trên, người dùng cũng có thể đăng nhập vào iCloud trên web trên máy Mac (iCloud dành cho Windows không hỗ trợ Tài khoản Apple được quản lý).
Quan trọng: Khi kết nối hết hạn, quá trình liên kết và đồng bộ hóa tài khoản người dùng sẽ dừng lại. Bạn phải kết nối lại để tiếp tục sử dụng xác thực có liên kết và đồng bộ hóa.
Bạn có thể sử dụng xác thực có liên kết trong những trường hợp cụ thể sau:
Chỉ xác thực có liên kết
Khi Apple School Manager liên kết với Google Workspace, Microsoft Entra ID hoặc IdP của bạn, Tài khoản Apple được quản lý sẽ tự động được tạo cho người dùng. Khi đó, người dùng có thể đăng nhập bằng tên người dùng hiện có (thường là địa chỉ email) và mật khẩu của họ.
Hãy xem những bài viết sau:
Xác thực có liên kết với đồng bộ hóa danh mục
Bạn cũng có thể đồng bộ hóa tài khoản người dùng từ Google Workspace, Microsoft Entra ID hoặc IdP với Apple School Manager. Khi thiết lập kết nối đồng bộ hóa danh mục, bạn có thể thêm các thuộc tính Apple School Manager (chẳng hạn như khối lớp và vai trò) với dữ liệu tài khoản người dùng được nhập từ một trong những dịch vụ đó. Thông tin tài khoản người dùng dịch vụ sẽ được thêm vào dưới dạng chỉ đọc cho đến khi bạn tắt tính năng đồng bộ hóa. Tại thời điểm đó, các tài khoản này sẽ trở thành tài khoản thủ công và khi đó, bạn có thể sửa thuộc tính trong những tài khoản này. Nếu tài khoản người dùng bị gỡ bỏ khỏi một trong những dịch vụ đó, bạn có thể gỡ bỏ tài khoản người dùng trong Apple School Manager. Hãy xem những bài viết sau:
Xác thực có liên kết với người dùng từ Hệ thống thông tin học sinh/sinh viên (SIS) hoặc với các tệp được tải lên bằng SFTP
Nếu bạn dự định sử dụng tính năng xác thực có liên kết với các tệp SIS hoặc CSV, trước tiên bạn cần định cấu hình và bật tính năng xác thực có liên kết.
Nếu bạn muốn liên kết với Google Workspace, Microsoft Entra ID hoặc IdP và liên kết với SIS hoặc tải tệp lên bằng SFTP, bạn phải thực hiện như sau:
Sau đó, bạn có thể tích hợp SIS hoặc tải tệp lên bằng SFTP. Toàn bộ thông tin, chẳng hạn như lớp học và bảng phân công, sẽ được khớp với người dùng trên Google Workspace, Microsoft Entra ID hoặc IdP của bạn. Nếu một tài khoản người dùng bị gỡ bỏ trong Google Workspace, Microsoft Entra ID hoặc IdP thì phải dùng một tài khoản có đặc quyền thay đổi trạng thái của người dùng để hủy kích hoạt tài khoản người dùng trong Apple School Manager.
Quan trọng: Nếu bạn chuẩn bị tích hợp với Hệ thống thông tin học sinh/sinh viên (SIS) hoặc nhập tài khoản người dùng bằng Giao thức truyền tệp an toàn (SFTP) và sử dụng tính năng xác thực có liên kết thì địa chỉ email của người dùng trong SIS phải khớp với tên người dùng Google Workspace, Microsoft Entra ID hoặc IdP mà họ đã sử dụng để đăng nhập.
Xác thực có liên kết qua iPad dùng chung
Khi bạn sử dụng tính năng xác thực có liên kết với iPad dùng chung, quy trình đăng nhập sẽ thay đổi tùy vào việc tài khoản người dùng đã có trong Apple School Manager hay chưa. Để xem các tình huống đăng nhập, hãy xem Đăng nhập vào iPad dùng chung.
Chính sách mật mã mặc định là tiêu chuẩn (8 chữ cái và chữ số trở lên) và có thể thay đổi được. Hãy xem Các tình huống về chính sách mật khẩu.
Nếu người dùng quên mật mã, bạn phải đặt lại mật mã iPad dùng chung.
Trước khi bạn bắt đầu
Trước khi sử dụng xác thực có liên kết với Google Workspace, Microsoft Entra ID hoặc IdP của bạn, hãy cân nhắc những điều sau:
Yêu cầu
Thiết bị Apple phải đáp ứng các yêu cầu tối thiểu về hệ điều hành sau đây:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Bạn phải ngắt kết nối khỏi Hệ thống thông tin học sinh/sinh viên (SIS) hoặc dừng quá trình tải lên bằng SFTP.
Bạn phải khóa và bật quy trình ghi lại tên miền. Xem Khóa tên miền.
Không có xung đột Tài khoản Apple được quản lý nào. Hãy xem Xung đột Tài khoản Apple được quản lý.
Tài khoản người dùng có vai trò Quản trị viên, Người quản lý tổ chức hoặc Quản lý người dùng không thể đăng nhập bằng tính năng xác thực có liên kết; họ chỉ có thể quản lý quá trình liên kết.
Khi sử dụng xác thực có liên kết, cài đặt Định dạng Tài khoản Apple được quản lý mặc định không áp dụng.
Yêu cầu đặc thù của IdP
Khi liên kết tới Google Workspace:
Tính năng xác thực có liên kết hỗ trợ sử dụng địa chỉ email làm tên người dùng. Không được dùng bí danh.
Khi liên kết tới Microsoft Entra ID:
Bạn phải sử dụng người dùng giữ vai trò Quản trị viên toàn cầu Entra ID để hoàn tất tác vụ Phê duyệt xác thực có liên kết bên dưới. Sau khi kết nối thành công, bạn có thể thay đổi vai trò của người dùng từ Quản trị viên toàn cầu sang vai trò khác có các đặc quyền cần thiết để duy trì kết nối. Để biết thêm thông tin, hãy xem Các vai trò mặc định của Microsoft hỗ trợ tên miền, đồng bộ hóa danh mục và đọc tên miền.
Xác thực có liên kết với Microsoft Entra ID yêu cầu userPrincipalName (UPN) của người dùng phải khớp với địa chỉ email của họ. Không được dùng bí danh userPrincipalName và ID thay thế.
Khi liên kết với IdP, bạn phải có những thông tin sau:
Tên miền đã xác minh mà bạn muốn sử dụng. Xem Thêm và xác minh tên miền.
Phương thức đăng nhập: Sử dụng Open ID Connect (OIDC).
Quyền truy cập có phạm vi: Phải cấp quyền truy cập cho
ssf.managevàssf.read.URL cấu hình Khung tín hiệu dùng chung (SSF): Tham khảo tài liệu của IdP.
URL cấu hình OpenID: Tham khảo tài liệu của IdP.
Thay đổi tự động
Đối với những người dùng Apple School Manager hiện tại có địa chỉ email trong tên miền được liên kết, Tài khoản Apple được quản lý của họ sẽ tự động thay đổi để khớp với địa chỉ email đó.