Einführung in die Verzeichnissynchronisierung mit Apple School Manager
Die Verzeichnissynchronisierung sorgt dafür, dass die Daten in Apple School Manager und die Daten bei deinem Identitätsprovider (IdP) immer synchron gehalten werden. Über die Verzeichnissynchronisierung wird Apple School Manager automatisch von deinem IdP informiert und kann seine Informationen aktualisieren, wann immer Folgendes geschieht:
Ein neuer Benutzer-Account wird erstellt.
Die Informationen in einem Benutzer-Account werden geändert.
Ein Benutzer-Account wird gelöscht.
Du kannst OpenID Connect (OIDC) mit Apple School Manager verwenden, um Benutzer-Accounts aus folgenden Lösungen zu synchronisieren (jeweils immer nur einen Account gleichzeitig):
Google Workspace
Microsoft Entra ID
Deinem IdP
Einige IdPs können auch das System für Domain-übergreifendes Identitätsmanagement (SCIM) verwenden
Erste Schritte
Bevor du mit Google Workspace, Microsoft Entra ID oder deinem IdP synchronisierst, solltest du Folgendes beachten:
Die Synchronisierung von Benutzergruppen wird nicht unterstützt.
Die erste Synchronisierung dauert länger als nachfolgende Zyklen. Sieh in der Dokumentation deines IdPs nach, um zu erfahren, wie oft Benutzer:innen synchronisiert werden.
Voraussetzungen
Falls erforderlich, bestätige eine Domain manuell. Siehe Eine Domain hinzufügen und bestätigen.
Du musst die verknüpfte Authentifizierung aktivieren. Siehe Einführung in die verknüpfte Authentifizierung.
Wende dich telefonisch an eine:n Administrator:in mit der Berechtigung, Einstellungen für Google Workspace, Microsoft Entra ID oder einen anderen IdP zu bearbeiten.
Trenne die Verbindung mit dem Studierendeninformationssystem (SIS) oder höre auf, SFTP für Uploads zu verwenden.
Apple School Manager erfordert, dass das Attribut für den verwalteten Apple Account eindeutig ist. Hierbei handelt es sich in der Regel um die E‑Mail-Adresse des:der Benutzer:in. Wenn ein:e Benutzer:in ein Attribut hat, das exakt mit dem eines:einer bestehenden Benutzer:in von Apple School Manager übereinstimmt, der:die die Funktion „Administrator:in“ hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert.
Bei der Konfiguration der ersten Verbindung musst du die E-Mail-Adresse eines:einer Benutzer:in mit der Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ verwenden, damit diese:r Benachrichtigungen von Google Workspace, Microsoft Entra ID oder einem anderen IdP erhalten kann, mit dem du synchronisierst.
IdP-spezifische Voraussetzungen
Bei der Verknüpfung mit Microsoft Entra ID:
Um OIDC mit Apple School Manager nutzen zu können, muss deine Organisation einen anderen Microsoft Entra ID-Mandanten haben als andere Apple School Manager-Organisationen. Wenn du OIDC in deiner Organisation verwenden möchtest, wende dich an deine:n globale:n Microsoft Entra ID-Administrator:in, um sicherzustellen, dass keine andere Organisation deinen Entra ID-Mandanten für OIDC nutzt.
Wenn ein Benutzeraccount einen Benutzerprinzipalnamen (UPN) hat, der exakt mit dem eines bestehenden Benutzeraccounts übereinstimmt, der:die die Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ inne hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert. Dies geschieht ungeachtet der ursprünglich verwendeten Synchronisierungsmethode (SIS oder SFTP).
Bei der Verknüpfung mi einem anderen IdP als Google Workspace oder Microsoft Entra ID musst du über die folgenden Informationen verfügen:
Eindeutiges ID-Feld für Benutzer:innen: Der Wert für dieses Attribut ist in der Regel die E‑Mail-Adresse der Benutzer:innen. Er wird verwendet, um den verwalteten Apple Account des:der Benutzer:in zu erstellen. Er kann beispielsweise userName lauten.
Authentifizierungsmethode: SAML 2.0
Authentifizierungsmodus: OAuth 2.
URL für Single Sign-On: Beziehe dich auf die Dokumentation deines IdP.
Rückruf-URL für die Autorisierung: Beziehe dich auf die Dokumentation deines IdP.
Automatische Änderungen
Account-Erstellung
Sobald die Verzeichnissynchronisierung konfiguriert ist, werden Benutzer-Accounts mit Apple School Manager synchronisiert und ihnen wird die Funktion „Schüler:in/Studierende:r“ zugewiesen. Die synchronisierten Account-Informationen werden schreibgeschützt hinzugefügt, die Funktionen, die Klassenstufe und der SIS-Benutzername (Studierendeninformationssystem) des Benutzer-Accounts können jedoch bearbeitet werden. Diese Attribute werden im Benutzer-Account in Apple School Manager gespeichert und nicht an Google Workspace, Microsoft Entra ID oder deinen IdP zurückgesendet.
Hinweis: Beim Hochladen von Dateien zu Apple School Manager mittels SFTP wird die automatische Synchronisierung nicht unterstützt.
Sobald die verknüpfte Authentifizierung deaktiviert wird, werden Accounts zu manuellen Accounts. Attribute in diesen Accounts (etwa Benutzernamen) können dann bearbeitet werden.
Account-Änderung
Die Verzeichnissynchronisierung überwacht auf Änderungen an den synchronisierten Attributen und aktualisiert geänderte Attribute automatisch in Apple School Manager. Das Intervall für die Synchronisierung der Änderungen hängt vom IdP ab.
Account-Entfernung
Sobald ein Benutzer-Account in Google Workspace, Microsoft Entra ID oder deinem IdP entfernt wird, wird der entsprechende Account in Apple School Manager deaktiviert und zur Löschung markiert. Ein deaktivierter Account wird von allen Geräten abgemeldet und kann nicht wieder angemeldet werden. Wenn der Account nicht innerhalb der nächsten 120 Tage erneut synchronisiert wird, wird er automatisch entfernt.
Mehr zum Thema Personen-ID
Um in Konflikt stehende Accounts zu erkennen, wird bei der ersten Synchronisierung eines Benutzeraccounts mittels OIDC oder SIS mit Apple School Manager automatisch eine Personen-ID für diesen Benutzeraccount erstellt.
Wichtig: Die Personen-ID wird nicht automatisch für Benutzeraccounts generiert, die mittels SFTP importiert wurden, da diese IDs in den .csv-Dateien erstellt werden, die zu Apple School Manager hochgeladen werden. Wenn du die Verbindung zu Google Workspace, Microsoft Entra ID oder deinem IdP trennst und erneut Benutzer:innen hochlädst, werden neue Benutzer:innen erstellt, es sei denn, die Personen-ID in den .csv-Dateien entspricht der Personen-ID, die bei der ersten Verzeichnissynchronisierung zugewiesen wurde. Siehe Daten des Studierendeninformationssystems hochladen.
Wenn du die Personen-ID in Apple School Manager für einen Benutzeraccount änderst, der zuvor synchronisiert wurde, wird dieser Benutzeraccount nicht mehr mit Google Workspace, Microsoft Entra ID oder deinem IdP gekoppelt. Wenn du diesen Benutzeraccount wieder verbinden möchtest, musst du den Konflikt bei der Personen-ID lösen.