Inleiding tot gefedereerde authenticatie met Apple School Manager
Je kunt gefedereerde authenticatie gebruiken om Apple School Manager te koppelen aan het volgende:
Google Workspace
Microsoft Entra ID
Je identiteitsprovider (IdP)
Het resultaat is dat je gebruikers hun gebruikersnaam (normaal gesproken hun e-mailadres) en wachtwoord voor Google Workspace, Microsoft Entra ID of IdP kunnen gebruiken als Beheerde Apple Accounts. Ze kunnen deze inloggegevens gebruiken om in te loggen op hun toegewezen iPhone, iPad of Mac, Apple Vision Pro en bij Gedeelde iPad. Nadat ze hebben ingelogd bij een van die apparaten, kunnen ze ook inloggen bij iCloud op internet.
Opmerking: Je kunt koppelen met Google Workspace, Microsoft Entra ID of je IdP, maar slechts met één tegelijk.
Om gefedereerde authenticatie en synchronisatie te gebruiken, moeten je Apple apparaten aan de volgende minimale vereisten voor het besturingssysteem voldoen:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Er zijn bepaalde scenario’s waarin je gefedereerde authenticatie kunt gebruiken:
Uitsluitend gefedereerde authenticatie
Opmerking: Je moet 'Domein vastleggen' vergrendelen en inschakelen voordat je kunt federeren. Zie Een domein vergrendelen.
Wanneer Apple School Manager en Google Workspace, Microsoft Entra ID of je IdP zijn gekoppeld, worden automatisch beheerde Apple Accounts aangemaakt voor gebruikers. Ze kunnen vervolgens inloggen met hun bestaande gebruikersnaam (over het algemeen hun e-mailadres) en wachtwoord.
Gefedereerde authenticatie en directory-synchronisatie
Je kunt ook gebruikersaccounts van Google Workspace, Microsoft Entra ID of je IdP synchroniseren met Apple School Manager. Als je een verbinding voor directory-synchronisatie instelt, kun je Apple School Manager-eigenschappen (zoals niveau en rollen) toevoegen aan met gebruikersaccountgegevens die zijn geïmporteerd uit een van die services. De gebruikersaccountgegevens van de service worden toegevoegd als alleen-lezen totdat je synchroniseren uitschakelt. Op dat moment worden de accounts handmatige accounts. Vervolgens kunnen kenmerken in deze accounts worden bewerkt. Als een gebruikersaccount wordt verwijderd uit een van die services, kan die gebruikersaccount ook worden verwijderd uit Apple School Manager. Bekijk de volgende mogelijkheden:
Gefedereerde authenticatie met gebruikers van een Studenteninformatiesysteem (SIS) of bestanden gebruiken die zijn geüpload met SFTP
Wanneer je een koppeling maakt met Google Workspace, Microsoft Entra ID of je IdP, loggen gebruikers gewoon in met hun huidige e-mailadres. Er worden dan automatisch beheerde Apple Accounts gemaakt.
Vervolgens integreer je je SIS of upload je bestanden met SFTP. Alle informatie, zoals klassen en roosters, wordt gematcht met de gebruikers uit je systeem voor Google Workspace, Microsoft Entra ID of je IdP. Als een gebruikersaccount is verwijderd uit Google Workspace, Microsoft Entra ID of je IdP, moet die gebruikersaccount worden gedeactiveerd in Apple School Manager. Dit kan alleen door een account die bevoegdheden heeft om de status van gebruikers te wijzigen.
Belangrijk: Als je integreert met een studenteninformatiesysteem (SIS) of gebruikersaccounts importeert met Secure File Transfer Protocol (SFTP), en je gebruikt gefedereerde authenticatie, dan moet het e-mailadres van de gebruiker in SIS overeenkomen met de gebruikersnaam voor Google Workspace, Microsoft Entra ID of je IdP waarmee deze al inlogt.
Gefedereerde authenticatie en Gedeelde iPad
Als je gefedereerde authenticatie gebruikt met Gedeelde iPad gaat het inlogproces anders als de gebruikersaccount al bestaat in Apple School Manager. Om de loginscenario’s voor Gedeelde iPad te bekijken, raadpleeg je Inloggen op Gedeelde iPad.
Het standaardwachtwoordbeleid is Standaard (8 of meer letters en cijfers) en kan worden gewijzigd. Raadpleeg Scenario’s wachtwoordbeleid.
Als gebruikers hun toegangscode vergeten, moet je de toegangscode voor de Gedeelde iPad opnieuw instellen.