Introducción a la sincronización del directorio en Apple School Manager
Puedes usar OpenID Connect (OIDC) con Apple School Manager para sincronizar las cuentas de usuario con lo siguiente:
Google Workspace
Microsoft Entra ID
Tu proveedor de identidad (PI)
Algunos PI también pueden usar el Sistema de administración de identidades entre dominios (System for Cross-domain Identity Management, SCIM).
Nota: Puedes sincronizar con Google Workspace, Microsoft Entra ID o tu PI, pero solo uno a la vez.
Antes de empezar
Antes de sincronizar Google Workspace, Microsoft Entra ID o tu PI, considera lo siguiente:
No se admite la sincronización de grupos de usuarios.
Requisitos
Si es necesario, verifica manualmente un dominio. Consulta Agrega y verifica un dominio.
Debes activar la autenticación vinculada. Consulta Introducción a la autenticación vinculada.
Ten a tu disposición un administrador con permisos para editar Google Workspace, Microsoft Entra ID u otra configuración de PI.
Desconéctate del Sistema de Información de Estudiantes (SIE) o deja de cargar archivos con SFTP.
Apple School Manager requiere que el atributo que se use para la cuenta administrada de Apple sea único. Este suele ser la dirección de correo electrónico del usuario. Si un usuario tiene un atributo que es exactamente el mismo que el de un usuario existente de Apple School Manager con la función de administrador, no se realiza ninguna sincronización, y el campo de origen permanece sin cambios.
Cuando configures la conexión inicial, debes usar la dirección de correo electrónico de un usuario con la función de administrador, administrador del centro o administración de personas para que pueda recibir notificaciones de Google Workspace, Microsoft Entra ID u otro PI con el que estés sincronizando.
Requisitos específicos de IdP
Cuando enlaces con Microsoft Entra ID:
Para usar OIDC con Apple School Manager, tu organización no debe tener el mismo inquilino de Microsoft Entra ID que ninguna otra organización de Apple School Manager. Si quieres usar OIDC para tu organización, ponte en contacto con el administrador global de Microsoft Entra ID para asegurarte de que ninguna otra organización esté usando tu inquilino de Entra ID para OIDC.
Si una cuenta de usuario tiene un nombre principal de usuario (UPN) que es exactamente igual que el de una cuenta de usuario existente que tiene la función de administrador, administrador del centro o administrador de personas, no se realiza ninguna sincronización y el campo de fuente permanece sin cambios. Esto se produce independientemente del método de sincronización que se utilizó originalmente (SIS o SFTP).
Cuando enlaces con un PI que no sea de Google Workspace ni de Microsoft Entra ID, debes tener la siguiente información:
Campo de identificador único para usuarios: el valor de este atributo normalmente es la dirección de correo electrónico del usuario. Esta se usa para crear la cuenta administrada de Apple del usuario. Por ejemplo, podría ser userName.
Método de autenticación: SAML 2.0.
Modo de autenticación: OAuth 2.
URL de inicio de sesión único: consulta la documentación de tu PI.
URL de retrollamada de autorización: consulta la documentación de tu PI.
Cambios automáticos
Controla los cambios de cuenta de usuario y sincroniza automáticamente estos cambios con Apple School Manager.
Nota: Las cargas de archivos a Apple School Manager mediante SFTP no admiten la sincronización automática.
Elimina automáticamente las cuentas administradas de Apple cuando las cuentas de usuario correspondientes se eliminan en Google Workspace, Microsoft Entra ID o tu PI.
Cuando se sincroniza una cuenta de usuario con Apple School Manager, la función predeterminada es de Estudiante. Una vez finalizada la sincronización, se pueden editar los siguientes atributos de una cuenta de usuario:
Funciones
Nivel de educación
Nombre de usuario para el Sistema de Información de Estudiantes (SIE)
Estos atributos se almacenan con la cuenta de usuario en Apple School Manager y no se vuelven a escribir en Google Workspace, Microsoft Entra ID o tu PI.
La información de cuenta sincronizada se agrega como de solo lectura hasta que desactives la sincronización. En ese momento, las cuentas se vuelven cuentas manuales y se pueden editar sus atributos (como los nombres de usuario).
Nota: La sincronización inicial tarda más en realizarse que los ciclos posteriores. Consulta la documentación de tu PI para obtener información sobre la frecuencia con la que sincronizan usuarios.
Acerca del ID personal
Para identificar cuentas en conflicto, cuando una cuenta de usuario se sincroniza por primera vez mediante OIDC o SIE en Apple School Manager, se genera un ID personal automáticamente para esa cuenta de usuario.
Importante: El ID personal no se genera automáticamente para las cuentas de usuario mediante SFTP porque aquellos ID se crean en los archivos que se cargan en Apple School Manager. Si te desconectas de Google Workspace, Microsoft Entra ID o tu PI y cargas los usuarios otra vez, se crean usuarios nuevos a menos que el ID personal en los archivos de carga SFTP coincida con el ID personal que se asignó inicialmente mediante la sincronización del directorio inicial. Consulta Cargar datos de sistema de información de estudiantes.
Si modificas el ID personal en Apple School Manager de una cuenta de usuario sincronizada anteriormente, esa cuenta de usuario ya no estará enlazada con Google Workspace, Microsoft Entra ID o tu PI. Si quieres volver a conectar la cuenta de usuario, debes resolver el conflicto del ID personal.