Introducción a la autenticación vinculada con Apple School Manager
Puedes utilizar la autenticación vinculada para enlazar Apple School Manager con lo siguiente:
Google Workspace
Microsoft Entra ID
Tu proveedor de identidad (IdP)
Nota: Puedes enlazar Google Workspace, Microsoft Entra ID o tu proveedor de identidad, pero solo uno de ellos a la vez.
Esto permite que los usuarios inicien sesión en su iPhone, iPad, Mac o Apple Vision Pro asignado, y en iPad compartido, con su nombre de usuario (normalmente, su dirección de correo) y contraseña existentes. Después de iniciar sesión en alguno de estos dispositivos, podrán iniciar sesión también en iCloud en la web desde un Mac (iCloud para Windows no admite el uso de Cuentas de Apple gestionadas).
Importante: Cuando la conexión caduca, la vinculación y la sincronización de cuentas de usuarios se detienen. Tendrás que volver a conectarte mediante la autenticación vinculada y la sincronización.
Hay situaciones específicas en las que podría interesarte usar la autenticación vinculada:
Solo autenticación vinculada
Cuando Apple School Manager y Google Workspace, Microsoft Entra ID o tu proveedor de identidad están vinculados, se crean automáticamente las Cuentas de Apple gestionadas para los usuarios. Dichos usuarios pueden iniciar sesión con su nombre de usuario (normalmente es su dirección de correo electrónico) y contraseña actuales.
Consulta el siguiente artículo:
Autenticación vinculada con sincronización de directorios
También puedes sincronizar cuentas de usuario desde Google Workspace, Microsoft Entra ID o tu IdP con Apple School Manager. Si configuras una conexión de sincronización de directorio, puedes añadir propiedades de Apple School Manager (como el curso y las funciones) a los datos de la cuenta del usuario importados desde uno de esos servicios. La información de la cuenta del usuario de los servicios se añade como de solo lectura hasta que desactivas la sincronización. En ese momento, las cuentas pasarán a ser manuales y sus atributos se podrán editar. Si se elimina la cuenta de un usuario de uno de los servicios, esa cuenta puede eliminarse también de Apple School Manager. Consulta el siguiente artículo:
Autenticación vinculada con usuarios de un Sistema de Información de Estudiantes (SIE) o mediante archivos cargados con SFTP
Si tienes pensado utilizar la autenticación vinculada con tu SIE o archivos CSV, tendrás que configurar y activar primero la autenticación vinculada.
Si quieres conectar tu cuenta de Google Workspace, Microsoft Entra ID o tu proveedor de identidad, y conectarte a tu SIE o cargar archivos mediante SFTP, tienes que hacer lo siguiente:
Luego, podrás integrar tu SIE o cargar archivos con el SFTP. Toda la información, como las clases y listas de clase, se compara con los usuarios de Google Workspace, Microsoft Entra ID o el proveedor de identidad. Si se elimina una cuenta de usuario de Google Workspace, Microsoft Entra ID o el proveedor de identidad, una cuenta con privilegios para cambiar el estado de los usuarios debe desactivarla en Apple School Manager.
Importante: Si realizas una integración con un Sistema de Información de Estudiantes (SIE) o importas cuentas de usuarios con el protocolo de transferencia segura de archivos (SFTP) y utilizas la autenticación vinculada, la dirección de correo electrónico de usuario en el SIE debe coincidir con el nombre de usuario de Google Workspace, Microsoft Entra ID o tu proveedor de identidad (IdP) que ya utiliza para iniciar sesión.
Autenticación vinculada con iPad compartido
Si utilizas la autenticación vinculada con un iPad compartido, el proceso de inicio de sesión es diferente, dependiendo de si la cuenta de usuario ya existe en Apple School Manager. Para ver los casos de inicio de sesión, consulta Iniciar sesión en iPad compartido.
La política de código de seguridad predeterminada es estándar (8 o más letras y números) y puede cambiarse. Consulta Diferencias en las políticas de contraseña.
Si el usuario olvida su código, debes restablecer el código de iPad compartido.
Antes de empezar
Para poder usar la autenticación vinculada con Google Workspace, Microsoft Entra ID o tu proveedor de identidad, ten en cuenta lo siguiente:
Requisitos
Los dispositivos Apple deben cumplir los siguientes requisitos mínimos del sistema operativo:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Debes desconectarte de tu Sistema de Información de Estudiantes (SIE) o detener las cargas que usen SFTP.
Debes bloquear y activar el proceso de captura de dominios. Consulta Bloquear un dominio.
No existen conflictos con Cuentas de Apple gestionadas. Consulta Conflictos con Cuentas de Apple gestionadas.
Las cuentas de usuario de administrador, gestor de sede o gestor de personas no pueden iniciar sesión con la autenticación vinculada; solo pueden gestionar el proceso de vinculación.
Si utilizas la autenticación vinculada, no se aplica el ajuste predeterminado para el formato de la Cuenta de Apple gestionada.
Requisitos específicos del proveedor de identidad
Si conectas tu cuenta de Google Workspace:
La autenticación vinculada debe usar la dirección de correo electrónico del usuario a modo de nombre de usuario. No se admiten alias.
Si conectas tu cuenta de Microsoft Entra ID:
Debes utilizar un usuario con la función de administrador global de Entra ID para completar la tarea Aprobar autenticación vinculada que se indica a continuación. Después de que la conexión se realice correctamente, puedes cambiar la función del usuario de administrador global a otra función con los privilegios necesarios para mantener la conexión. Para obtener más información, consulta Reglas predeterminadas de Microsoft que admiten dominios, la sincronización de directorios y la lectura de dominios.
La autenticación vinculada con Microsoft Entra ID requiere que el atributo userPrincipalName (UPN) del usuario coincida con su dirección de correo electrónico. No se admiten alias de userPrincipalName ni ID alternativos.
Si conectas tu cuenta de un proveedor de identidad, debes contar con la siguiente información:
Un dominio verificado que quieras usar. Consulta Añadir y verificar un dominio.
Método de inicio de sesión: utiliza Open ID Connect (OIDC).
Acceso de alcance: debes conceder acceso a
ssf.manageyssf.readal final de una matriz.URL de configuración de Shared Signals Framework (SSF): consulta la documentación del proveedor de identidad.
URL de configuración de OpenID: consulta la documentación del proveedor de identidad.
Cambios automáticos
En el caso de los usuarios existentes de Apple School Manager que tienen una dirección de correo electrónico en un dominio vinculado, su Cuenta de Apple gestionada cambia automáticamente para coincidir con la dirección de correo electrónico.