Introducción a la sincronización de directorios con Apple School Manager
La sincronización de directorios ayuda a mantener los datos de Apple School Manager actualizados con tu proveedor de identidad. Mediante esta sincronización, tu proveedor de identidad informa automáticamente a Apple School Manager y puede actualizar su información cuando se produce alguna de las siguientes situaciones:
Se crea una nueva cuenta de usuario.
Se modifica la información de una cuenta de usuario.
Se elimina una cuenta de usuario.
Puedes usar OpenID Connect (OIDC) con Apple School Manager para sincronizar cuentas de usuarios de los siguientes proveedores (pero solo uno a la vez):
Google Workspace
Microsoft Entra ID
Tu proveedor de identidad
Algunos proveedores de identidad también pueden usar SCIM (Sistema para la gestión de identidades entre dominios)
Antes de empezar
Para poder sincronizar con Google Workspace, Microsoft Entra ID o tu proveedor de identidad, ten en cuenta lo siguiente:
No se pueden sincronizar grupos de usuarios.
La primera sincronización tarda más tiempo en completarse que las siguientes. Consulta la documentación de tu proveedor de identidad para saber con cuánta frecuencia se sincronizan los usuarios.
Requisitos
Si es necesario, verifica manualmente un dominio. Consulta Añadir y verificar un dominio.
Debes activar la autenticación vinculada. Consulta Introducción a la autenticación vinculada.
Avisa a un administrador que tenga permisos para editar los ajustes de Google Workspace, Microsoft Entra ID u otro proveedor de identidad.
Desconéctate de tu Sistema de Información de Estudiantes (SIE) o detén las cargas que usen SFTP.
Apple School Manager exige que el atributo utilizado para la Cuenta de Apple gestionada sea único. Suele ser la dirección de correo electrónico del usuario. Si un usuario tiene un atributo exactamente igual que un usuario existente de Apple School Manager con la función de administrador, no se completa la sincronización y el campo de origen no se modifica.
Cuando configures la conexión inicial, utiliza la dirección de correo electrónico de un usuario con la función de administrador, gestor de sede o gestor de personas para que pueda recibir notificaciones de Google Workspace, Microsoft Entra ID u otro proveedor de identidad con el que uses la sincronización.
Requisitos específicos del proveedor de identidad
Si conectas tu cuenta de Microsoft Entra ID:
Para usar OIDC con Apple School Manager, tu organización no puede tener el mismo inquilino de Microsoft Entra ID que otra organización de Apple School Manager. Si quieres usar OIDC en la organización, ponte en contacto con tu administrador global de Microsoft Entra ID para asegurarte de que ninguna otra organización esté usando tu inquilino de Entra ID para OIDC.
Si una cuenta de usuario tiene un nombre principal de usuario (UPN) que coincide exactamente con una cuenta de usuario existente que tiene la función de administrador, gestor de sede o gestor de personas, no se lleva a cabo la sincronización y se conserva el campo de origen. No importa el método de sincronización que se utilizara originalmente (SIE o SFTP).
Si vas a enlazar un proveedor de identidad que no sea Google Workspace o Microsoft Entra ID, ten a mano la siguiente información:
Campo de identificador único para los usuarios: el valor de este atributo suele ser la dirección de correo electrónico del usuario. Se utiliza para crear la Cuenta de Apple gestionada del usuario. Por ejemplo, NombreUsuario.
Método de autenticación: SAML 2.0.
Modo de autenticación: OAuth 2.
URL de inicio de sesión único: consulta la documentación del proveedor de identidad.
URL de devolución de llamada de autorización: consulta la documentación del proveedor de identidad.
Cambios automáticos
Creación de una cuenta
Cuando se configura la sincronización de directorios, las cuentas de usuario se sincronizan con Apple School Manager y se les asigna la función de Estudiante. La información de la cuenta sincronizada se añade como de solo lectura, pero los atributos Funciones, Curso y Nombre de usuario del Sistema de Información de Estudiantes (SIE) de una cuenta de usuario se pueden editar. Estos atributos se almacenan con la cuenta de usuario en Apple School Manager y no se copian otra vez en Google Workspace, Microsoft Entra ID o tu proveedor de identidad.
Nota: Para las cargas de archivos en Apple School Manager mediante SFTP no se admite la sincronización automática.
Cuando la autenticación vinculada está desactivada, las cuentas se convierten en cuentas manuales y sus atributos (como los nombres de usuario) se pueden editar.
Modificación de la cuenta
La sincronización de directorios supervisa los cambios en los atributos sincronizados y los actualiza automáticamente en Apple School Manager. El intervalo en el que se sincronizan esos cambios depende del proveedor de identidad.
Eliminación de la cuenta
Cuando se elimina una cuenta de usuario en Google Workspace, Microsoft Entra ID o tu proveedor de identidad, la cuenta correspondiente en Apple School Manager se desactiva y se marca para su eliminación. Una cuenta desactivada se cierra en todos los dispositivos y no se puede volver a iniciar sesión. Esta cuenta se eliminará automáticamente, a menos que se sincronice nuevamente en los próximos 120 días.
Acerca del ID personal
A fin de identificar cuentas en conflicto, cuando una cuenta de usuario se sincroniza por primera vez mediante OIDC o un SIE en Apple School Manager, se genera automáticamente un ID personal para esa cuenta de usuario.
Importante: El ID personal no se genera automáticamente para las cuentas de usuarios importadas mediante SFTP. Esto se debe a que esos ID se crean en archivos .csv que se cargan en Apple School Manager. Si te desconectas de Google Workspace, Microsoft Entra ID o tu proveedor de identidad y vuelves a cargar usuarios, se crearán usuarios nuevos a menos que el ID personal de los archivos .csv coincida con el ID personal que se asignó al principio durante la sincronización inicial de directorios. Consulta Subir datos del Sistema de Información de Estudiantes.
Si modificas el ID personal en Apple School Manager para una cuenta de usuario ya sincronizada, la cuenta de usuario dejará de estar enlazada a Google Workspace, Microsoft Entra ID o el proveedor de identidad. Si quieres volver a conectar la cuenta de usuario, tendrás que resolver el conflicto con el ID personal.