Introducción a la sincronización de directorios con Apple School Manager
Puedes usar OpenID Connect (OIDC) con Apple School Manager para sincronizar cuentas de usuarios de los siguientes proveedores:
Google Workspace
Microsoft Entra ID
Tu proveedor de identidad (IdP)
Algunos proveedores de identidad también pueden usar SCIM (Sistema para la gestión de identidades entre dominios)
Nota: Puedes sincronizar Google Workspace, Microsoft Entra ID o tu proveedor de identidad, pero solo uno de ellos a la vez.
Antes de empezar
Para poder sincronizar con Google Workspace, Microsoft Entra ID o tu proveedor de identidad, ten en cuenta lo siguiente:
No se pueden sincronizar grupos de usuarios.
Requisitos
Si es necesario, verifica manualmente un dominio. Consulta Añadir y verificar un dominio.
Debes activar la autenticación vinculada. Consulta Introducción a la autenticación vinculada.
Avisa a un administrador que tenga permisos para editar los ajustes de Google Workspace, Microsoft Entra ID u otro proveedor de identidad.
Desconéctate de tu Sistema de Información de Estudiantes (SIE) o detén las cargas que usen SFTP.
Apple School Manager exige que el atributo utilizado para la Cuenta de Apple gestionada sea único. Suele ser la dirección de correo electrónico del usuario. Si un usuario tiene un atributo exactamente igual que un usuario existente de Apple School Manager con la función de administrador, no se completa la sincronización y el campo de origen no se modifica.
Cuando configures la conexión inicial, utiliza la dirección de correo electrónico de un usuario que tenga la función de Administrador, Gestor de sede o Gestor de personas para que pueda recibir notificaciones de Google Workspace, Microsoft Entra ID u otro proveedor de identidad con el que uses la sincronización.
Requisitos específicos del proveedor de identidad
Si conectas tu cuenta de Microsoft Entra ID:
Para usar OIDC con Apple School Manager, tu organización no puede tener el mismo inquilino de Microsoft Entra ID que otra organización de Apple School Manager. Si quieres usar OIDC en la organización, ponte en contacto con tu administrador global de Microsoft Entra ID para asegurarte de que ninguna otra organización esté usando tu inquilino de Entra ID para OIDC.
Si una cuenta de usuario tiene un nombre principal de usuario (UPN) que coincide exactamente con una cuenta de usuario existente que tiene la función de administrador, gestor de sede o gestor de personas, no se lleva a cabo la sincronización y se conserva el campo de origen. No importa el método de sincronización que se utilizara originalmente (SIE o SFTP).
Si vas a enlazar un proveedor de identidad que no sea Google Workspace o Microsoft Entra ID, ten a mano la siguiente información:
Campo de identificador único para los usuarios: el valor de este atributo suele ser la dirección de correo electrónico del usuario. Se utiliza para crear la Cuenta de Apple gestionada del usuario. Por ejemplo, NombreUsuario.
Método de autenticación: SAML 2.0.
Modo de autenticación: OAuth 2.
URL de inicio de sesión único: consulta la documentación del proveedor de identidad.
URL de devolución de llamada de autorización: consulta la documentación del proveedor de identidad.
Cambios automáticos
Supervisa los cambios en cuentas de usuarios y los sincroniza automáticamente con Apple School Manager.
Nota: Para las cargas de archivos en Apple School Manager mediante SFTP no se admite la sincronización automática.
Elimina automáticamente las Cuentas de Apple gestionadas cuando se eliminan las cuentas de usuario correspondientes en Google Workspace, Microsoft Entra ID o tu proveedor de identidad.
Cuando se sincroniza una cuenta de usuario en Apple School Manager, la función por defecto es Estudiante. Una vez que la sincronización ha finalizado, se pueden editar estos atributos de cuenta de usuario:
Funciones
Curso
Nombre de usuario del Sistema de Información de Estudiantes (SIE)
Estos atributos se almacenan con la cuenta de usuario en Apple School Manager y no se copian otra vez en Google Workspace, Microsoft Entra ID o tu proveedor de identidad.
La información de la cuenta sincronizada se añade como de solo lectura hasta que desactivas la sincronización. En ese momento, las cuentas pasarán a ser manuales, y sus atributos, como los nombres de usuario, se podrán editar.
Nota: La primera sincronización tarda más tiempo en completarse que las siguientes. Consulta la documentación de tu proveedor de identidad para saber con cuánta frecuencia se sincronizan los usuarios.
Acerca del ID personal
A fin de identificar cuentas en conflicto, cuando una cuenta de usuario se sincroniza por primera vez mediante OIDC o un SIE en Apple School Manager, se genera automáticamente un ID personal para esa cuenta de usuario.
Importante: El ID personal no se genera automáticamente para las cuentas de usuarios importadas mediante SFTP. Esto se debe a que esos ID se crean en archivos que se cargan en Apple School Manager. Si te desconectas de Google Workspace, Microsoft Entra ID o tu proveedor de identidad, y vuelves a cargar usuarios, se crearán usuarios nuevos a menos que el ID personal de los archivos cargados mediante SFTP coincida con el ID personal que se asignó al principio durante la sincronización inicial de directorios. Consulta Subir datos del Sistema de Información de Estudiantes.
Si modificas el ID personal en Apple School Manager para una cuenta de usuario ya sincronizada, la cuenta de usuario dejará de estar enlazada a Google Workspace, Microsoft Entra ID o el proveedor de identidad. Si quieres volver a conectar la cuenta de usuario, tendrás que resolver el conflicto con el ID personal.