Apple School Manager 聯合認證簡介
你可以使用聯合認證,將 Apple School Manager 連結至以下各項:
Google Workspace
Microsoft Entra ID
你的身份識別提供者 (IdP)
附註:你可以連結 Google Workspace、Microsoft Entra ID 或你的 IdP,但一次只能連結一項。
因此,用户可以使用現有的用户名稱(通常是電郵地址)和密碼,登入獲分派的 iPhone、iPad、Mac、Apple Vision Pro 以及共用 iPad。在這些裝置上登入後,用户也可以在 Mac 上登入網頁版 iCloud(Windows 版 iCloud 不支援管理式 Apple 帳户)。
重要事項:當連線到期,聯合認證及同步用户帳户的操作會停止。你必須重新連線,才能繼續使用聯合認證和同步功能。
以下是你可能會使用聯合認證的具體情況:
只使用聯合認證
Apple School Manager 和 Google Workspace、Microsoft Entra ID 或你的 IdP 連結後,系統會為用户自動建立管理式 Apple 帳户。隨後,用户便可使用現有用户名稱(通常為自己的電郵地址)和密碼登入。
請參閱以下內容:
使用目錄同步進行聯合認證
你也可以將用户帳户從 Google Workspace、Microsoft Entra ID 或你的 IdP 同步至 Apple School Manager。設定目錄同步連線後,你可以將 Apple School Manager 屬性 (例如年級和職務) 加入從其中一項服務中輸入的用户帳户資料。服務的用户帳户資料會以唯讀方式加入,直至你關閉同步。屆時,這些帳户會變成手動帳户,而且就可以編輯這些帳户中的屬性。已從其中一項服務移除的用户帳户亦可從 Apple School Manager 中移除。請參閱以下內容:
與學生資訊系統(SIS)中的用户或使用 SFTP 上載的檔案進行聯合認證
如果你打算透過 SIS 或 CSV 檔案使用聯合認證,則應先設定並開啟聯合認證。
當你想連結 Google Workspace、Microsoft Entra ID 或你的 IdP,並連結你的 SIS 或使用 SFTP 上載檔案時,必須執行下列動作:
然後,你可以整合 SIS 或使用 SFTP 上載檔案。所有資料(例如班級和名單)都與 Google Workspace、Microsoft Entra ID 或你的 IdP 用户對應。從 Google Workspace、Microsoft Entra ID 或你的 IdP 移除的用户帳户,必須在 Apple School Manager 由有權更改用户狀態的帳户停用。
重要事項:如果要與學生資訊系統 (SIS) 整合或透過安全檔案傳輸通訊協定 (SFTP) 輸入用户帳户,並使用聯合認證,用户在 SIS 的電郵地址便必須與已經登入的 Google Workspace、Microsoft Entra ID 或你 IdP 的用户名稱一致。
使用共用 iPad 進行聯合認證
透過共用 iPad 使用聯合認證時,登入程序視乎用户帳户在 Apple School Manager 是否存在而異。如要檢視登入情況,請參閱登入共用 iPad。
預設密碼類型為「標準」(8 個或以上字母和數字),可以更改。請參閱:密碼類型例子。
如果用户忘記密碼,你必須重設共用 iPad 密碼。
事前須知
以 Google Workspace、Microsoft Entra ID 或你的 IdP 使用聯合認證之前,請考慮以下事項:
運作要求
Apple 裝置必須符合下列最低作業系統要求:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
你必須中斷與學生資訊系統(SIS)的連線,或停止使用 SFTP 上載內容。
你必須鎖定並開啟網域擷取程序。請參閱鎖定網域。
沒有管理式 Apple 帳户衝突。請參閱:管理式 Apple 帳户衝突。
職務為管理員、機構經理或成員經理的用户帳户只能管理聯合認證程序,但無法透過聯合認證登入。
使用聯合認證時,預設的管理式 Apple 帳户格式設定將不適用。
IdP 特定要求
連結 Google Workspace 時:
聯合認證應使用用户的電郵地址作為用户名稱,不支援替身。
連結 Microsoft Entra ID 時:
你必須使用職務為 Entra ID 全域管理員的用户,才能在下方完成「批准聯合認證」任務。連結成功後,即可將用户的職務從全域管理員更改為其他擁有維持連結之必要權限的職務。詳情請參閱支援網域、目錄同步和網域讀取的 Microsoft 預設職務。
以 Microsoft Entra ID 進行聯合認證要求用户的 userPrincipalName(UPN)與電郵地址相符。不支援 userPrincipalName 替身和替用 ID。
連結 IdP 時,你必須具備下列資料:
你要使用的已驗證網域。請參閱新增並驗證網域。
登入方式:使用 Open ID Connect (OIDC)。
存取範圍:存取權限必須授予
ssf.manage和ssf.read:共用訊號架構 (SSF) 配置 URL:請參閱 IdP 文件。
OpenID 配置 URL:請參閱 IdP 文件。
自動更改
如果現有 Apple School Manager 用户在聯合網域中擁有電郵地址,其管理式 Apple 帳户會自動更改為與該電郵地址相符。