Einführung in die Verzeichnissynchronisierung mit Apple School Manager
Du kannst OpenID Connect (OIDC) mit Apple School Manager verwenden, um Benutzeraccounts aus Folgendem zu synchronisieren:
Google Workspace
Microsoft Entra ID
Dein Identitätsprovider (IdP)
Einige IdPs können auch das System für Domain-übergreifendes Identitätsmanagement (SCIM) verwenden
Hinweis: Du kannst mit Google Workspace, Microsoft Entra ID oder deinem IdP synchronisieren, aber immer jeweils nur mit einem davon.
Erste Schritte
Bevor du mit Google Workspace, Microsoft Entra ID oder deinem IdP synchronisierst, solltest du Folgendes beachten:
Die Synchronisierung von Benutzergruppen wird nicht unterstützt.
Voraussetzungen
Falls erforderlich, bestätige eine Domain manuell. Siehe Eine Domain hinzufügen und bestätigen.
Du musst die verknüpfte Authentifizierung aktivieren. Siehe Einführung in die verknüpfte Authentifizierung.
Wende dich telefonisch an eine:n Administrator:in mit der Berechtigung, Einstellungen für Google Workspace, Microsoft Entra ID oder einen anderen IdP zu bearbeiten.
Trenne die Verbindung mit dem Studierendeninformationssystem (SIS) oder höre auf, SFTP für Uploads zu verwenden.
Apple School Manager erfordert, dass das Attribut für den verwalteten Apple Account eindeutig ist. Hierbei handelt es sich in der Regel um die E‑Mail-Adresse des:der Benutzer:in. Wenn ein:e Benutzer:in ein Attribut hat, das exakt mit dem eines:einer bestehenden Benutzer:in von Apple School Manager übereinstimmt, der:die die Funktion „Administrator:in“ hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert.
Bei der Konfiguration der ersten Verbindung solltest du die E-Mail-Adresse eines:r Benutzer:in mit der Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ verwenden, damit diese:r Benachrichtigungen von Google Workspace, Microsoft Entra ID oder einem anderen IdP erhalten kann, mit dem du synchronisierst.
IdP-spezifische Voraussetzungen
Bei der Verknüpfung mit Microsoft Entra ID:
Um OIDC mit Apple School Manager nutzen zu können, muss deine Organisation einen anderen Microsoft Entra ID-Mandanten haben als andere Apple School Manager-Organisationen. Wenn du OIDC in deiner Organisation verwenden möchtest, wende dich an deine:n globale:n Microsoft Entra ID-Administrator:in, um sicherzustellen, dass keine andere Organisation deinen Entra ID-Mandanten für OIDC nutzt.
Wenn ein Benutzeraccount einen Benutzerprinzipalnamen (UPN) hat, der exakt mit dem eines bestehenden Benutzeraccounts übereinstimmt, der:die die Funktion „Administrator:in“, „Standortmanager:in“ oder „Personenmanager:in“ inne hat, wird keine Synchronisierung vorgenommen und das Quellenfeld bleibt unverändert. Dies geschieht ungeachtet der ursprünglich verwendeten Synchronisierungsmethode (SIS oder SFTP).
Bei der Verknüpfung mi einem anderen IdP als Google Workspace oder Microsoft Entra ID musst du über die folgenden Informationen verfügen:
Eindeutiges ID-Feld für Benutzer:innen: Der Wert für dieses Attribut ist in der Regel die E‑Mail-Adresse der Benutzer:innen. Er wird verwendet, um den verwalteten Apple Account des:der Benutzer:in zu erstellen. Er kann beispielsweise userName lauten.
Authentifizierungsmethode: SAML 2.0
Authentifizierungsmodus: OAuth 2
URL für Single Sign-On: Beziehe dich auf die Dokumentation deines IdP.
Rückruf-URL für die Autorisierung: Beziehe dich auf die Dokumentation deines IdP.
Automatische Änderungen
Überwacht Änderungen von Benutzeraccounts und synchronisiert diese automatisch mit Apple School Manager.
Hinweis: Beim Hochladen von Dateien zu Apple School Manager mittels SFTP wird die automatische Synchronisierung nicht unterstützt.
Entfernt automatisch verwaltete Apple Accounts, wenn die entsprechenden Benutzeraccounts in Google Workspace, Microsoft Entra ID oder deinem IdP gelöscht werden.
Wenn ein Benutzeraccount mit Apple School Manager synchronisiert wird, hat dieser standardmäßig die Funktion „Schüler:in/Studierende:r“. Nach der Synchronisierung können die folgenden Benutzeraccountattribute bearbeitet werden:
Funktionen
Klassenstufe
Benutzername im Studierendeninformationssystem (SIS)
Diese Attribute werden im Benutzeraccount in Apple School Manager gespeichert und nicht in Google Workspace, Microsoft Entra ID oder deinen IdP zurückgeschrieben.
Die synchronisierten Account-Informationen werden schreibgeschützt hinzugefügt, bis du die Synchronisierung deaktivierst. Die Accounts werden dann zu manuellen Accounts, und Attribute darin (wie Benutzernamen) können bearbeitet werden.
Hinweis: Die erste Synchronisierung dauert länger als nachfolgende Zyklen. Sieh in der Dokumentation deines IdPs nach, um zu erfahren, wie oft Benutzer:innen synchronisiert werden.
Mehr zum Thema Personen-ID
Um in Konflikt stehende Accounts zu erkennen, wird bei der ersten Synchronisierung eines Benutzeraccounts mittels OIDC oder SIS mit Apple School Manager automatisch eine Personen-ID für diesen Benutzeraccount erstellt.
Wichtig: Die Personen-ID wird nicht automatisch für Benutzeraccounts generiert, die mittels SFTP importiert wurden, da diese IDs in den Dateien erstellt werden, die zu Apple School Manager hochgeladen werden. Wenn du die Verbindung zu Google Workspace, Microsoft Entra ID oder deinem IdP trennst und erneut Benutzer:innen hochlädst, werden neue Benutzer:innen erstellt, es sei denn, die Personen-ID in den SFTP-Upload-Dateien entspricht der Personen-ID, die bei der ersten Verzeichnissynchronisierung zugewiesen wurde. Siehe Daten des Studierendeninformationssystems hochladen
Wenn du die Personen-ID in Apple School Manager für einen Benutzeraccount änderst, der zuvor synchronisiert wurde, wird dieser Benutzeraccount nicht mehr mit Google Workspace, Microsoft Entra ID oder deinem IdP gekoppelt. Wenn du diesen Benutzeraccount wieder verbinden möchtest, musst du den Konflikt bei der Personen-ID lösen.