Úvod do synchronizace adresáře v Apple School Manageru
Přes OpenID Connect (OIDC) můžete v Apple School Manageru synchronizovat uživatelské účty z následujících služeb:
Google Workspace
Microsoft Entra ID
Váš poskytovatel identit (IdP)
Někteří poskytovatelé identit umožňují používat taky SCIM (System for Cross-domain Identity Management)
Poznámka: Můžete nastavit synchronizaci s Google Workspace, Microsoft Entra ID nebo vaším poskytovatelem identit, ale vždy jen s jednou z těchto služeb.
Než začnete
Než začnete používat synchronizaci s Google Workspace, Microsoft Entra ID nebo svým poskytovatelem identit (IdP), počítejte s následujícím:
Synchronizace skupin uživatelů není podporovaná.
Požadavky
V případě potřeby ručně ověřte doménu. Víc se dočtete v části Přidání a ověření domény.
Musíte zapnout federované ověřování. Podrobné informace naleznete v části Úvod do ověření federované totožnosti.
Buďte ve spojení se správcem, který má oprávnění měnit nastavení Google Workspace, Microsoft Entra ID nebo jiného poskytovatele identit.
Odpojit se od studentského informačního systému (SIS) nebo ukončit nahrávání přes SFTP.
Apple School Manager vyžaduje, aby atribut použitý pro spravovaný účet Apple byl jedinečný. Obvykle se jedná o e-mailovou adresu uživatele. Pokud se atribut uživatele přesně shoduje s existujícím uživatelem v Apple School Manageru, který má funkci administrátora, synchronizace neproběhne a zdrojové pole se nezmění.
Při konfiguraci prvotního připojení byste měli použít e‑mailovou adresu uživatele, který má funkci administrátora, správce instituce nebo správce osob, aby mu mohla chodit oznámení z Google Workspace, Microsoft Entra ID nebo jiného poskytovatele identit, se kterým synchronizujete.
Požadavky jednotlivých IdP
Při propojení s Microsoft Entra ID:
Abyste mohli v Apple School Manageru používat OIDC, nesmí vaše organizace používat stejného tenanta Microsoft Entra ID jako jiná organizace v Apple School Manageru. Pokud chcete ve svojí organizaci používat OIDC, kontaktujte svého globálního administrátora Microsoft Entra ID a ujistěte se, že stejný tenant Microsoft Entra ID jako vy nepoužívá pro OIDC žádná jiná organizace.
Pokud se hlavní název uživatele (UPN) shoduje s nějakým existujícím uživatelským účtem, který má funkci administrátora, správce instituce nebo správce osob, synchronizace neproběhne a zdrojové pole se nezmění. K tomuto dojde bez ohledu na původně použitou metodu synchronizace (SIS nebo SFTP).
Při propojení s jiným IdP než Google Workspace nebo Microsoft Entra ID musíte mít následující informace:
Pole jedinečného identifikátoru uživatele: Hodnotou tohoto atributu je obvykle e-mailová adresa uživatele. Používá se k vytvoření uživatelova spravovaného účtu Apple. Může to být například userName.
Způsob ověřování: SAML 2.0.
Režim ověřování: OAuth 2.
URL jednotného přihlašování: Viz dokumentace k vašemu IdP.
URL zpětného volání pro autorizaci: Viz dokumentace k vašemu IdP.
Automatické změny
Sleduje změny uživatelských účtů a automaticky je synchronizuje do Apple School Manageru.
Poznámka: Nahrávání souborů do Apple School Manageru přes SFTP nepodporuje automatickou synchronizaci.
Automaticky maže spravované účty Apple při smazání odpovídajícího uživatelského účtu z Google Workspace, Microsoft Entra ID nebo poskytovatele identit.
Výchozí funkcí uživatelského účtu synchronizovaného do Apple School Manageru je student. Po dokončení synchronizace můžete u uživatelského účtu upravit následující atributy:
Funkce
Studijní ročník
Uživatelské jméno ve studentském informačním systému (SIS)
Tyto atributy se uloží u uživatelského účtu v Apple School Manageru a nezapíšou se zpátky do Google Workspace, Microsoft Entra ID nebo vašeho IdP.
Synchronizované informace o účtech se přidávají jen ke čtení, dokud synchronizaci nevypnete. V tu chvíli se z účtů stanou ručně spravované účty a vy budete moct upravovat jejich atributy (například uživatelská jména).
Poznámka: Prvotní synchronizace trvá déle než následné cykly. Informace o tom, jak často se uživatelé synchronizují, najdete v dokumentaci k používanému IdP.
O ID osoby
Za účelem identifikace konfliktních účtů při prvotní synchronizaci uživatelského účtu přes OIDC nebo SIS s Apple School Managerem se pro uživatelský účet automaticky generuje ID osoby.
Důležité: ID osoby se automaticky negeneruje pro uživatelské účty importované pomocí SFTP, protože tato ID už jsou vytvořená v souborech nahrávaných do Apple School Manageru. Když Google Workspace, Microsoft Entra ID nebo vašeho IdP odpojíte a znovu uživatele nahrajete přes SFTP, vytvoří se noví uživatelé – s výjimkou případů, kdy se ID osoby v souboru nahrávaném přes SFTP shoduje s ID osoby, které už předtím bylo přiřazeno prvotní synchronizací adresáře. Víc se dočtete v části Nahrání dat ze studijního informačního systému (SIS).
Když u některého dříve synchronizovaného uživatelského účtu v Apple School Manageru upravíte ID osoby, nebude už tento účet spárovaný s Google Workspace, Microsoft Entra ID nebo vaším IdP. Pokud budete chtít tento uživatelský účet znovu připojit, musíte vyřešit konflikt ID osoby.