Apple School Manager 的 Azure AD 同步要求
你可以使用跨網域身份管理系統 (SCIM) 將用户輸入至 Apple School Manager。使用此系統時,你會將 Apple School Manager 屬性(例如年級和職務)合併至從 Microsoft Azure Active Directory (Azure AD) 輸入的用户帳户資料。當你使用 SCIM 輸入用户時,系統會以唯讀形式新增帳户資訊,直到與 SCIM 中斷連線為止。屆時,這些帳户會變成手動帳户,而且就可以編輯這些帳户中的屬性。執行初始同步需要比隨後週期更長 MDM 的時間,只要正在執行 Azure AD 建置服務,大約每隔 40 分鐘便會發生一次。請參閱 Microsoft Azure 文件網站上的布建秘訣。
Azure AD 權限
以下 Azure AD 的職務可以使用 SCIM 將帳户同步至 Apple School Manager:
Application Administrator
Cloud Application Administrator
Application Owner
Global Administrator
請參閱 Microsoft Azure AD 網站上的Azure AD 內置職務。
Azure AD 租用户
要透過 Apple School Manager 使用 SCIM,你的機構不能擁有與其他 Apple School Manager 機構相同的 Azure AD 租用户。如果你想為你的機構使用 SCIM,請與 Azure AD 管理員聯絡,以確保沒有其他機構將你的 Azure AD 租用户用於 SCIM。
Azure AD 群組
在 Azure AD,兩個同步方法均使用群組一詞,但是只會同步用户帳户。你可以將 Azure AD 群組加至 Apple School Manager Azure AD App。例如,如果你在 Azure AD 有名為職員、教師和學生的群組,你可以將這三個群組加至 Apple School Manager Azure AD App。使用 SCIM 連線時,只有這些群組的帳户會同步至 Apple School Manager。
附註:Apple School Manager Azure AD App 不支援子群組。
建置範圍
你可以透過兩種方式將帳户從 Azure AD 同步至 Apple School Manager。
只同步獲分派的用户和群組:此選項只會將 Apple School Manager Azure AD App 顯示的帳户同步至 Apple School Manager。使用此方法同步時,Azure AD 帳户必須獲派用户職務,才能同步至 Apple School Manager。
同步所有用户和群組:此選項會將所有在「Azure AD 用户」分頁顯示的帳户同步(不支援群組的同步)至 Apple School Manager,並會為所有使用聯合認證的 Azure AD 帳户建立管理式 Apple ID,即使你只打算使用指定數量的帳户也不例外。
請參閱 Microsoft 支援服務文章:甚麼是在 Azure AD 中自動佈建 SaaS 應用程式使用者?和含範圍篩選器的屬性型應用程式佈建。
建置通知
設定建置時,你應使用職務為管理員、網站管理員或成員經理的用户之電郵地址,這樣他們就能收到來自 Azure AD 的通知。
SCIM 和聯合認證
如果 Azure AD 帳户傳送至 Apple School Manager 時已開啟聯合功能,你就不會看到動作,但帳户仍會從聯合網域進行同步。
Azure AD 是身份識別提供者 (IdP),可為用户進行 Apple School Manager 認證,並發出認證代號。由於 Apple School Manager 支援 Azure AD,因此連結 Azure AD 的其他 IdP(例如 Active Directory Federated Services (ADFS))也適用。聯合認證採用 Security Assertion Markup Language (SAML),將 Apple School Manager 連結 Azure AD。
Azure AD 用户帳户和 Apple School Manager
使用 SCIM 將用户從 Azure AD 複製到 Apple School Manager 時,預設職務為「學生」。完成同步後,就能編輯以下用户屬性:
職務
年級
學生資訊系統 (SIS) 用户名稱
這些屬性會隨 Apple School Manager 的用户一起儲存,而不會寫回 Azure AD。
SCIM 用户屬性對應
使用 SCIM 將帳户從 Azure AD 複製到 Apple School Manager 時,便會以唯讀方式儲存以下用户屬性。此表格也會表示是否需要用户屬性。
重要事項:新增未列於表格中的屬性,會導致 SCIM 連線中斷。
Azure AD 用户屬性 | Apple School Manager 用户屬性 | 必須 |
---|---|---|
名字 | 名字 | |
姓氏 | 姓氏 | |
用户主要名稱 | 管理式 Apple ID 和電郵地址 | |
物件 ID | (未顯示在 Apple School Manager,此屬性可用於識別衝突的帳户。) | |
部門 | 部門 | |
員工 ID | 成員編號 | |
自訂屬性(必須建立於 Apple School Manager Azure AD App) | 成本中心 | |
自訂屬性(必須建立於 Apple School Manager Azure AD App) | 分部 |
用户主要名稱
如果用户具有與具備管理員、機構經理或成員經理職務之現有 Apple School Manager 帳户相同的用户主體名稱 (UPN),則不會執行同步,來源欄位會保持不變。無論最初使用哪種同步方法 (SIS 或 SFTP),都會發生這種情況。
人員 ID
Azure AD 用户同步至 Apple School Manager 時,會為 Apple School Manager 用户帳户建立成員 ID。成員 ID 和物件 ID 可用於識別衝突的用户帳户。
成員 ID 為使用 SCIM 或 SIS 整合輸入的用户自動產生,但使用 SFTP 上載的用户,則不會自動產生此 ID。
如果 SCIM 中斷連線,而 SFTP 用於重新上載用户,除非 SFTP 上載檔案的成員 ID 符合 SCIM 分派的成員 ID,否則將會建立新的用户。請參閱使用 SFTP 輸入帳户。
如果你對先前從 SCIM 輸入的帳户修改成員 ID,該帳户將無法再與 Azure AD 配對。如果你對早前從 SCIM 輸入的帳户修改了成員 ID,並想將帳户重新連線至 SCIM,請參閱解決 SCIM 用户帳户衝突。
建議事項
與 SCIM 連線時,你應只使用 Apple School Manager Azure AD App。
如果你已驗證網域,但尚未開啟聯合驗證,則應等到你已確認 Azure AD 用户已傳送至 Apple School Manager 之後,再開啟聯合驗證。若要執行此動作,請檢視 Azure AD 建置記錄檔。確認 Azure AD 用户已傳送之後,當你開啟聯合認證,只要建置 Azure AD 用户,便會收到動作的通知。如果 Azure AD 用户傳送時已開啟聯合功能,你就不會看到動作,但用户仍會同步。
如果你已在 Azure AD 設定群組,便可以將該群組加至 Apple School Manager Azure AD App,而不必逐一加入每名用户。
重要事項:在 Apple School Manager Azure AD App 中,請勿在 120 日內重複使用同一個用户名稱。
事前須知
在開始之前,你必須執行以下操作:
中斷與學生資訊系統 (SIS) 的連線,或停止使用 SFTP 上載。
設定並驗證你要使用的網域。請參閱連結至新網域。
設定(但不要開啟)聯合認證。請參閱啟用並測試聯合認證。
附註:如果已開啟聯合認證,你仍可繼續作業。請參閱早前章節的建議事項。
決定 Azure AD 的同步類型,亦可按需要建立群組,只將已獲分派的帳户同步至 Apple School Manager Azure AD App:
只同步已獲分派的用户
同步所有用户
聯絡好具備編輯企業應用程式權限的 Azure AD 管理員。當你們都準備好時,請參閱使用 SCIM 輸入用户。