Introducción a la sincronización de directorios con Apple School Manager
La sincronización de directorios ayuda a mantener los datos en Apple School Manager actualizados con tu proveedor de identidad (IdP). Al utilizar la sincronización de directorios, Apple School Manager recibe información automática de tu proveedor de identidad y puede actualizar la información cuando ocurre lo siguiente:
Se crea una nueva cuenta de usuario
La información de la cuenta de usuario cambia
Se elimina una cuenta de usuario
Puedes usar OpenID Connect (OIDC) con Apple School Manager para sincronizar las cuentas de usuario con lo siguiente (pero solo una por vez):
Google Workspace
Microsoft Entra ID
Tu proveedor de identidad
Algunos PI también pueden usar el Sistema de administración de identidades entre dominios (System for Cross-domain Identity Management, SCIM).
Antes de empezar
Antes de sincronizar Google Workspace, Microsoft Entra ID o tu PI, considera lo siguiente:
No se admite la sincronización de grupos de usuarios.
La sincronización inicial tarda más en realizarse que los ciclos posteriores. Consulta la documentación de tu PI para obtener información sobre la frecuencia con la que sincronizan usuarios.
Requisitos
Si es necesario, verifica manualmente un dominio. Consulta Agrega y verifica un dominio.
Debes activar la autenticación vinculada. Consulta Introducción a la autenticación vinculada.
Ten a tu disposición un administrador con permisos para editar Google Workspace, Microsoft Entra ID u otra configuración de PI.
Desconéctate del Sistema de Información de Estudiantes (SIE) o deja de cargar archivos con SFTP.
Apple School Manager requiere que el atributo que se use para la cuenta administrada de Apple sea único. Este suele ser la dirección de correo electrónico del usuario. Si un usuario tiene un atributo que es exactamente el mismo que el de un usuario existente de Apple School Manager con la función de administrador, no se realiza ninguna sincronización, y el campo de origen permanece sin cambios.
Cuando configures la conexión inicial, debes usar la dirección de correo electrónico de un usuario con la función de Administrador, Gestor de sede o Gestor de personas para que pueda recibir notificaciones de Google Workspace, Microsoft Entra ID u otro proveedor de identidad con el que estés sincronizando.
Requisitos específicos de IdP
Cuando enlaces con Microsoft Entra ID:
Para usar OIDC con Apple School Manager, tu organización no debe tener el mismo inquilino de Microsoft Entra ID que ninguna otra organización de Apple School Manager. Si quieres usar OIDC para tu organización, ponte en contacto con el administrador global de Microsoft Entra ID para asegurarte de que ninguna otra organización esté usando tu inquilino de Entra ID para OIDC.
Si una cuenta de usuario tiene un nombre principal de usuario (UPN) que es exactamente igual que el de una cuenta de usuario existente que tiene la función de administrador, administrador del centro o administrador de personas, no se realiza ninguna sincronización y el campo de fuente permanece sin cambios. Esto se produce independientemente del método de sincronización que se utilizó originalmente (SIS o SFTP).
Cuando enlaces con un PI que no sea de Google Workspace ni de Microsoft Entra ID, debes tener la siguiente información:
Campo de identificador único para usuarios: el valor de este atributo normalmente es la dirección de correo electrónico del usuario. Esta se usa para crear la cuenta administrada de Apple del usuario. Por ejemplo, podría ser userName.
Método de autenticación: SAML 2.0.
Modo de autenticación: OAuth 2.
URL de inicio de sesión único: consulta la documentación de tu PI.
URL de retrollamada de autorización: consulta la documentación de tu PI.
Cambios automáticos
Creación de cuenta
Cuando se configura la sincronización de directorios, las cuentas de usuario se sincronizan con Apple School Manager y reciben la asignación de la función de Estudiante. La información de la cuenta sincronizada se agrega como de solo lectura, pero los atributos de nombre de usuario de Funciones, Nivel de grado y Sistema de información de estudiantes (SIS) de una cuenta de usuario se pueden editar. Estos atributos se almacenan con la cuenta de usuario en Apple School Manager y no se vuelven a escribir en Google Workspace, Microsoft Entra ID o tu PI.
Nota: Las cargas de archivos a Apple School Manager mediante SFTP no admiten la sincronización automática.
Cuando se desactiva la autenticación vinculada, las cuentas se convierten en cuentas manuales y los atributos de estas cuentas (como los nombres de usuario) se pueden editar.
Modificación de cuenta
La sincronización de directorios supervisa los cambios en los atributos sincronizados y los actualiza automáticamente en Apple School Manager. El intervalo en el que se sincronizan esos cambios depende del proveedor de identidad.
Eliminación de cuenta
Cuando se elimina una cuenta de usuario en Google Workspace, Microsoft Entra ID o tu proveedor de identidad, la cuenta correspondiente en Apple School Manager se desactiva y se marca para su eliminación. La sesión de una cuenta desactivada se cierra en los dispositivos y no se puede volver a iniciar. A menos que la cuenta se sincronice nuevamente dentro de los siguientes 120 días, se elimina automáticamente.
Acerca del ID personal
Para identificar cuentas en conflicto, cuando una cuenta de usuario se sincroniza por primera vez mediante OIDC o SIE en Apple School Manager, se genera un ID personal automáticamente para esa cuenta de usuario.
Importante: El ID personal no se genera automáticamente para las cuentas de usuario mediante SFTP porque aquellos ID se crean en los archivos .csv que se cargan en Apple School Manager. Si te desconectas de Google Workspace, Microsoft Entra ID o tu proveedor de identidad y cargas los usuarios otra vez, se crean usuarios nuevos, a menos que el ID personal en los archivos .csv coincida con el ID personal que se asignó inicialmente mediante la sincronización del directorio inicial. Consulta Cargar datos del sistema de información de estudiantes.
Si modificas el ID personal en Apple School Manager de una cuenta de usuario sincronizada anteriormente, esa cuenta de usuario ya no estará enlazada con Google Workspace, Microsoft Entra ID o tu proveedor de identidad. Si quieres volver a conectar la cuenta de usuario, debes resolver el conflicto del ID personal.