Requisitos de sincronización de Azure AD en Apple School Manager
Puedes usar SCIM (Sistema de administración de identidades entre dominios) para importar usuarios en Apple School Manager. Con este sistema, puedes fusionar propiedades de Apple School Manager (como el nivel de grado y las funciones) con los datos de las cuentas de usuario importadas de Microsoft Azure Active Directory (Azure AD). Cuando utilizas SCIM para importar usuarios, la información de cuenta se agrega como de solo lectura hasta que te desconectas de SCIM. En ese momento, las cuentas se vuelven cuentas manuales y se pueden editar los atributos de estas. La sincronización inicial tarda más en realizarse que los ciclos posteriores, que se producen aproximadamente cada 40 minutos siempre que se esté ejecutando el servicio de aprovisionamiento de Azure AD. Consulta Sugerencias para el aprovisionamiento en el sitio web de documentación de Microsoft Azure.
Privilegios de Azure AD
Las siguientes funciones de Azure AD pueden utilizar SCIM para sincronizar cuentas con Apple School Manager:
Administrador de la aplicación
Administrador de la aplicación en la nube
Propietario de la aplicación
Administrador global
Consulta Funciones incorporadas de Azure AD en el sitio web de Microsoft Azure AD.
Inquilinos de Azure AD
Para usar SCIM con Apple School Manager, tu organización no debe tener el mismo inquilino de Azure AD que cualquier otra organización de Apple School Manager. Si quieres usar SCIM para tu organización, ponte en contacto con el administrador de Azure AD para asegurarte de que ninguna otra organización de utilice tu inquilino de Azure AD para SCIM.
Grupos de Azure AD
En Azure AD, la palabra Grupos se utiliza en ambos métodos de sincronización, pero solo se sincronizan las cuentas de usuario. Puedes agregar grupos de Azure AD a la app Apple School Manager Azure AD. Por ejemplo, si tienes grupos en Azure AD con los nombres Personal, Profesores y Estudiantes, puedes agregar estos tres grupos a la app Apple School Manager Azure AD. Al conectarte mediante SCIM, sólo las cuentas de estos grupos se sincronizarán en Apple School Manager.
Nota: No se pueden crear subgrupos en la app Apple School Manager Azure AD.
Alcance de aprovisionamiento
Hay dos maneras de sincronizar las cuentas de Azure AD en Apple School Manager.
Sincronizar sólo usuarios y grupos asignados: esta opción sincroniza únicamente las cuentas que aparecen en la app Apple School Manager Azure AD en Apple School Manager. Cuando utilizas este método de sincronización, las cuentas de Azure AD deben tener la función de usuario para poder sincronizarse con Apple School Manager.
Sincronizar todos los usuarios y grupos: esta opción sincroniza todas las cuentas (no se pueden sincronizar grupos) que aparecen en la pestaña Usuario de Azure AD en Apple School Manager y crea Apple ID administrados para todas las cuentas de Azure AD vinculadas, incluso si tienes la intención de usar sólo un número específico de cuentas.
Consulta los artículos del Soporte técnico de Microsoft ¿Qué es el aprovisionamiento automatizado de usuarios de aplicaciones SaaS en Azure AD? y Attribute-based application provisioning with scoping filters (Aprovisionamiento de aplicaciones basado en atributos con filtros de ámbito.
Notificaciones de aprovisionamiento
Cuando configures el aprovisionamiento, debes usar la dirección de correo electrónico de un usuario con la función de administración, administración del centro o administración de personas para que puedan recibir notificaciones de Azure AD.
SCIM y autenticación vinculada
Si la vinculación ya está activada cuando las cuentas de Azure AD se envían a Apple School Manager, no verás ninguna actividad, aunque las cuentas se seguirán sincronizando desde el dominio vinculado.
Azure AD es el Proveedor de identidad (PI) que autentica al usuario para Apple School Manager y emite identificadores de autenticación. Debido a que Apple School Manager es compatible con Azure AD, otros PI que se conecten a Azure AD, como los servicios de vinculación de Active Directory (ADFS), también funcionarán. La autenticación vinculada usa el Lenguaje de Marcado para Confirmaciones de Seguridad (SAML, por sus siglas en inglés) para conectar Apple School Manager con Azure AD.
Cuentas de usuario de Azure AD y de Apple School Manager
Cuando se copia un usuario de Azure AD a Apple School Manager mediante SCIM, la función por defecto es Estudiante. Una vez finalizada la sincronización, se pueden editar los siguientes atributos de usuario:
Funciones
Nivel de educación
Nombre de usuario del Sistema de Información de Estudiantes (SIE)
Estos atributos se almacenan con la cuenta de usuario en Apple School Manager y no se vuelven a escribir en Azure AD.
Asignación de atributos de usuario de SCIM
Cuando se copia una cuenta de Azure AD a Apple School Manager mediante SCIM, los siguientes atributos de usuario se almacenan como de sólo lectura. La tabla también indica si se necesita un atributo.
Importante: Si se agregan atributos que no aparecen en la tabla, la conexión SCIM se interrumpe.
Atributo de usuario de Azure AD | Atributo de usuario de Apple School Manager | Requerido |
|---|---|---|
Nombre | Nombre |
|
Apellido | Apellido |
|
Nombre principal de usuario | Apple ID administrado y dirección de correo electrónico |
|
ID de objeto | (No se muestra en Apple School Manager. Este atributo se utiliza para identificar las cuentas en conflicto). |
|
Departamento | Departamento |
|
ID de empleado | Número personal |
|
Atributo personalizado (se debe crear en la app Apple School Manager Azure AD) | Centro de costo |
|
Atributo personalizado (se debe crear en la app Apple School Manager Azure AD) | División |
|
Nombre principal de usuario
Si un usuario tiene un nombre principal de usuario (UPN) que es exactamente igual que el de un usuario existente de Apple School Manager que tiene la función de administrador, administrador del centro o administrador de personas, no se realiza ninguna sincronización y el campo de fuente permanece sin cambios. Esto se produce independientemente del método de sincronización que se utilizó originalmente (SIS o SFTP).
ID personal
Cuando un usuario de Azure AD se sincroniza en Apple School Manager, se crea un ID personal para la cuenta de usuario de Apple School Manager. El ID personal y el ID de objeto se usan para identificar las cuentas de usuario en conflicto.
El ID de persona se genera automáticamente para los usuarios importados usando SCIM o usando la integración SIS, pero no se genera automáticamente en el caso de los usuarios que se importaron usando SFTP.
Si SCIM se desconecta y SFTP se usa para cargar usuarios nuevamente, se crearán nuevos usuarios, salvo que el ID personal del archivo de carga SFTP coincida con el ID personal asignado por SCIM. Consulta Importar cuentas con el SFTP.
Si modificas el ID personal de una cuenta que se importó anteriormente desde SCIM, esa cuenta ya no estará enlazada con Azure AD. Si modificaste el ID personal de una cuenta que se importó anteriormente desde SCIM y deseas volver a conectar la cuenta a SCIM, consulta Resolver los conflictos de cuentas de usuario de SCIM.
Recomendaciones
Sólo debes usar la app Apple School Manager Azure AD cuando te conectes con SCIM.
Si tienes un dominio verificado, pero no activaste la autenticación vinculada, antes de activar la vinculación, debes asegurarte de que los usuarios de Azure AD se hayan enviado a Apple School Manager. Para ello, tienes que ver los registros de aprovisionamiento de Azure AD. Después de verificar que los usuarios de Azure AD se hayan enviado, se te notificará mediante una actividad el momento en que los usuarios de Azure AD se aprovisionen. Si la vinculación ya está activada cuando los usuarios de Azure AD se envían, no verás ninguna actividad, pero los usuarios seguirán sincronizándose.
Si tienes un grupo configurado en Azure AD, puedes agregarlo a la app Apple School Manager Azure AD en lugar de agregar a los usuarios uno por uno.
Importante: No vuelvas a utilizar un nombre de usuario durante 120 días en la app Apple School Manager Azure AD.
Antes de empezar
Antes de empezar, debes hacer lo siguiente:
Desconéctate del Sistema de Información de Estudiantes (SIE) o deja de cargar archivos con SFTP.
Configura y verifica el dominio que quieras usar. Consulta Vincular con dominios nuevos.
Configura (pero no actives) la autenticación vinculada. Consulta Activar y probar la autenticación vinculada.
Nota: Si la autenticación vinculada ya está activada, aún puedes continuar. Consulta las recomendaciones de la sección anterior.
Determina el tipo de sincronización en Azure AD y de ser necesario, crea grupos para sincronizar sólo las cuentas asignadas a la app Apple School Manager Azure AD:
Sincronizar sólo usuarios asignados.
Sincronizar todos los usuarios.
Ten a disposición a un administrador de Azure ID con permisos para editar apps empresariales. Cuando ambos estén listos, consulta Usar SCIM para importar usuarios.