Johdanto hakemistosynkronointiin: Apple School Manager
Hakemistosynkronointi auttaa pitämään Apple School Managerin tiedot ajan tasalla henkilöllisyyden tarjoajasi IdP) kanssa. Hakemistosynkronoinnin avulla Apple School Manager saa automaattisesti tietoja IdP:ltäsi ja voi päivittää tietonsa seuraavissa tilanteissa:
Uuden käyttäjätilin luominen
Käyttäjätilin tietojen muuttaminen
Käyttäjätilin poistaminen
Voit käyttää OpenID Connectia (OIDC) Apple School Managerin kanssa käyttäjätilien synkronointiin seuraavista (mutta vain yhdestä kerrallaan):
Google Workspace
Microsoft Entra ID
IdP:si
Jotkin IdP:t saattavat käyttää myös SCIM:ää (avointa standardia pilvipalveluiden ja ‑appien identiteetinhallintaan)
Ennen aloittamista
Ota huomioon seuraavat ennen kuin synkronoit Google Workspacen, Microsoft Entra ID:n tai IdP:si kanssa:
käyttäjäryhmien synkronointia ei tueta.
Ensimmäinen synkronointi kestää kauemmin kuin sitä seuraavat synkronoinnit. Katso IdP:n dokumentaatiosta, miten usein käyttäjiä synkronoidaan.
Vaatimukset
Vahvista domain manuaalisesti tarpeen vaatiessa. Katso lisätiedot kohdasta Lisää ja vahvista domain.
Yhdistetty todennus on laitettava päälle. Katso Johdanto yhdistettyyn todennukseen.
Varmista, että päivystämässä on ylläpitäjä, jolla on oikeudet muokata Google Workspacen, Microsoft Entra ID:n tai muun IdP:n asetuksia.
Katkaise yhteys opiskelijatietojärjestelmään tai lopeta SFTP-lataukset.
Apple School Manager edellyttää, että hallitulle Apple‑tilille käytetty määrite on yksilöllinen. Tämä on yleensä käyttäjän sähköpostiosoite. Jos käyttäjällä on määrite, joka on täysin sama kuin olemassa oleva Apple School Managerin käyttäjä, jolla on ylläpitäjän rooli, synkronointia ei tehdä, jolloin lähdekenttä pysyy ennallaan.
Kun määrität alkuperäisen yhteyden, käytä ylläpitäjän, järjestelmähallinnoijan tai henkilöhallinnoijan sähköpostiosoitetta, jotta he voivat vastaanottaa ilmoituksia Google Workspacesta, Microsoft Entra ID:stä tai muusta IdP:stä, johon olet synkronoimassa.
IdP-kohtaiset vaatimukset
Yhdistettäessä Microsoft Entra ID:hen:
Jos haluat käyttää OIDC:tä Apple School Managerin kanssa, organisaatiollasi ei voi olla samaa Microsoft Entra ID ‑vuokraajaa kuin jollain muulla Apple School Manager ‑organisaatiolla. Jos haluat käyttää organisaatiosi OIDC:tä, ota yhteyttä Microsoft Entra ID:n yleiseen ylläpitäjään ja varmista, ettei mikään muu organisaatio käytä Entra ID ‑vuokraajaasi OIDC:llä.
Jos käyttäjätilin ensisijainen nimi (UPN) on täysin sama kuin olevassa olevalla käyttäjätilillä, jolla on ylläpitäjän, järjestelmähallinnoijan tai henkilöhallinnoijan rooli, synkronointia ei tehdä, jolloin lähdekenttä pysyy ennallaan. Näin käy alun perin käytetystä synkronointitavasta (opiskelijatietojärjestelmä tai SFTP) riippumatta.
Kun yhdistät IdP:hen, joka ei ole Google Workspace tai Microsoft Entra ID, varmista, että sinulla on seuraavat tiedot:
Käyttäjien yksilöllinen tunnistekenttä: tämän määritteen arvo on yleensä käyttäjän sähköpostiosoite. Tällä luodaan käyttäjän hallittu Apple‑tili. Se voi olla esimerkiksi userName.
Todennustapa: SAML 2.0.
Todennustapa: OAuth 2.
Kertakirjautumisen URL-osoite: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
Todennuksen vastakutsun URL-osoite: tarkista tämä henkilöllisyyden tarjoajan käyttöohjeista.
Automaattiset muutokset
Tilin luonti
Kun hakemistosynkronointi on määritetty, käyttäjätilit synkronoidaan Apple School Manageriin ja niiden rooliksi määritetään Opiskelija. Synkronoidut tilitiedot lisätään vain luku -tilassa, mutta käyttäjätilin määritteitä roolit, luokkataso ja oppilastietojärjestelmän (SIS) käyttäjätunnus voidaan muokata. Nämä määritteet tallennetaan käyttäjätilille Apple School Managerissa, eikä niitä tallenneta Google Workspaceen, Microsoft Entra ID:hen tai IdP:hen.
Huomaa: Tiedostolataukset SFTP:llä Apple School Manageriin eivät tue automaattista synkronointia.
Kun yhdistetty todennus poistetaan käytöstä, tileistä tulee manuaalisia tilejä, ja näiden tilien määritteitä (kuten käyttäjätunnuksia) voidaan muokata.
Tilin muokkaaminen
Hakemistosynkronointi valvoo synkronoitujen määritteiden muutoksia ja päivittää ne automaattisesti Apple School Managerissa. Näiden muutosten synkronointiväli riippuu IdP:stä.
Tilin poistaminen
Kun käyttäjätili poistetaan Google Workspacesta, Microsoft Entra ID:stä tai IdP:stäsi, vastaava tili Apple School Managerissa poistetaan käytöstä ja merkitään poistettavaksi. Käytöstä poistettu tili kirjataan ulos laitteilta, eikä sitä voida kirjata takaisin sisään. Ellei tiliä synkronoida uudelleen seuraavien 120 päivän kuluessa, se poistetaan automaattisesti.
Tietoja henkilön tunnuksesta
Jotta ristiriitaiset tilit voidaan tunnistaa, kyseiselle käyttäjätilille luodaan automaattisesti henkilön tunnus synkronoitaessa käyttäjätiliä ensimmäisen kerran OIDC:llä tai opiskelijatietojärjestelmällä Apple School Manageriin.
Tärkeää: Henkilön tunnusta ei luoda automaattisesti SFTP:llä tuoduille käyttäjätileille, koska tällaiset tunnukset luodaan Apple School Manageriin lähetettävissä .csv-tiedostoissa. Jos katkaiset yhteyden Google Workspaceen, Microsoft Entra ID:hen tai IdP:hen ja lähetät käyttäjät uudelleen, luodaan uudet käyttäjät, paitsi jos .csv-tiedostoissa oleva henkilön tunnus vastaa henkilön tunnusta, joka määritettiin alkuperäisessä hakemistosynkronoinnissa. Katso lisätietoja kohdasta Opiskelijatietojärjestelmän tietojen lähettäminen.
Jos muokkaat aiemmin synkronoidun käyttäjätilin henkilön tunnusta Apple School Managerissa, kyseinen käyttäjätili ei ole enää yhteydessä Google Workspaceen, Microsoft Entra ID:hen tai IdP:hen. Jos haluat yhdistää käyttäjätilin uudelleen, ratkaise henkilön tunnuksen ristiriita.