Úvod do synchronizace adresáře v Apple School Manageru
Synchronizací adresářů zajistíte, aby poskytovatel identit udržoval data v Apple School Manageru aktuální. Na základě synchronizace adresářů je Apple School Manager automaticky informován poskytovatelem identit a může aktualizovat vlastní informace v těchto případech:
Vytvoří se nový uživatelský účet
Informace o uživatelském účtu se změnily
Uživatelský účet byl smazán
Přes OpenID Connect (OIDC) můžete v Apple School Manageru synchronizovat uživatelské účty z následujících služeb (ale pouze po jednom):
Google Workspace
Microsoft Entra ID
Váš poskytovatel identit
Někteří poskytovatelé identit umožňují používat taky SCIM (System for Cross-domain Identity Management)
Než začnete
Než začnete používat synchronizaci s Google Workspace, Microsoft Entra ID nebo svým poskytovatelem identit (IdP), počítejte s následujícím:
Synchronizace skupin uživatelů není podporovaná.
Prvotní synchronizace trvá déle než následné cykly. Informace o tom, jak často se uživatelé synchronizují, najdete v dokumentaci k používanému IdP.
Požadavky
V případě potřeby ručně ověřte doménu. Víc se dočtete v části Přidání a ověření domény.
Musíte zapnout federované ověřování. Podrobné informace naleznete v části Úvod do ověření federované totožnosti.
Buďte ve spojení se správcem, který má oprávnění měnit nastavení Google Workspace, Microsoft Entra ID nebo jiného poskytovatele identit.
Odpojit se od studentského informačního systému (SIS) nebo ukončit nahrávání přes SFTP.
Apple School Manager vyžaduje, aby atribut použitý pro spravovaný účet Apple byl jedinečný. Obvykle se jedná o e-mailovou adresu uživatele. Pokud se atribut uživatele přesně shoduje s existujícím uživatelem v Apple School Manageru, který má funkci administrátora, synchronizace neproběhne a zdrojové pole se nezmění.
Při konfiguraci prvotního připojení musíte použít e‑mailovou adresu uživatele, který má funkci administrátora, správce instituce nebo správce osob, aby mu mohla chodit oznámení z Google Workspace, Microsoft Entra ID nebo jiného poskytovatele identit, se kterým synchronizujete.
Požadavky jednotlivých IdP
Při propojení s Microsoft Entra ID:
Abyste mohli v aplikaci Apple School Manager používat OIDC, nesmí vaše organizace používat stejného tenanta Microsoft Entra ID jako jiná organizace v aplikaci Apple School Manager. Pokud chcete ve své organizaci používat OIDC, kontaktujte svého globálního administrátora Microsoft Entra ID a ujistěte se, že stejný tenant Microsoft Entra ID jako vy nepoužívá pro OIDC žádná jiná organizace.
Pokud se hlavní název uživatele (UPN) shoduje s nějakým existujícím uživatelským účtem, který má funkci administrátora, správce instituce nebo správce osob, synchronizace neproběhne a zdrojové pole se nezmění. K tomuto dojde bez ohledu na původně použitou metodu synchronizace (SIS nebo SFTP).
Při propojení s jiným IdP než Google Workspace nebo Microsoft Entra ID musíte mít následující informace:
Pole jedinečného identifikátoru uživatele: Hodnotou tohoto atributu je obvykle e-mailová adresa uživatele. Používá se k vytvoření uživatelova spravovaného účtu Apple. Může to být například userName.
Způsob ověřování: SAML 2.0.
Režim ověřování: OAuth 2.
URL jednotného přihlašování: Viz dokumentace k vašemu IdP.
URL zpětného volání pro autorizaci: Viz dokumentace k vašemu IdP.
Automatické změny
Vytvoření účtu
Po nakonfigurování synchronizace adresářů se uživatelské účty synchronizují do Apple School Manageru a je jim přiřazena funkce studenta. Synchronizované informace o účtu jsou přidány jen pro čtení, ale atributy uživatelského jména Funkce, Studijní ročník a Studijní informační systém (SIS) u uživatelského účtu lze upravovat. Tyto atributy se uloží u uživatelského účtu v Apple School Manageru a nezapíšou se zpátky do Google Workspace, Microsoft Entra ID nebo vašeho IdP.
Poznámka: Nahrávání souborů do Apple School Manageru přes SFTP nepodporuje automatickou synchronizaci.
Pokud je ověření federované totožnosti vypnuté, z účtů se stanou ručně spravované účty a bude možné upravovat jejich atributy (například uživatelská jména).
Úprava účtu
Synchronizace adresářů sleduje změny synchronizovaných atributů a automaticky je aktualizuje v Apple School Manageru. Interval, ve kterém se tyto změny synchronizují, závisí na poskytovateli identit.
Smazání účtu
Když v Google Workspace, Microsoft Entra ID nebo poskytovateli identit dojde ke smazání uživatelského účtu, bude odpovídající účet deaktivován a označen ke smazání v Apple School Manageru. Deaktivovaný účet bude odhlášen ze zařízení a nebude možné se k němu znovu přihlásit. Pokud účet nebude znovu synchronizován během následujících 120 dnů, bude automaticky smazán.
O ID osoby
Za účelem identifikace konfliktních účtů při prvotní synchronizaci uživatelského účtu přes OIDC nebo SIS s Apple School Managerem se pro uživatelský účet automaticky generuje ID osoby.
Důležité: ID osoby se automaticky negeneruje pro uživatelské účty importované pomocí SFTP, protože tato ID už jsou vytvořená v souborech .csv nahrávaných do aplikace Apple School Manager. Když Google Workspace, Microsoft Entra ID nebo vašeho IdP odpojíte a znovu uživatele nahrajete přes SFTP, vytvoří se noví uživatelé, s výjimkou případů, kdy se ID osoby v souborech .csv shoduje s ID osoby, které už předtím bylo přiřazeno prvotní synchronizací adresáře. Víc se dočtete v části Nahrání dat ze studijního informačního systému (SIS).
Když u některého dříve synchronizovaného uživatelského účtu v aplikaci Apple School Manager upravíte ID osoby, nebude už tento účet spárovaný s Google Workspace, Microsoft Entra ID nebo vaším IdP. Pokud budete chtít tento uživatelský účet znovu připojit, musíte vyřešit konflikt ID osoby.