Johdanto hakemistosynkronointiin Apple School Managerissa
Voit käyttää OpenID Connectia (OIDC) Apple School Managerin kanssa käyttäjätilien synkronointiin seuraavista:
Google Workspace
Microsoft Entra ID
henkilöllisyyden tarjoaja (IdP).
Jotkin IdP:t saattavat käyttää myös SCIM:ää (avointa standardia pilvipalveluiden ja ‑appien identiteetinhallintaan)
Huomaa: Voit synkronoida Google Workspacen, Microsoft Entra ID:n tai henkilöllisyyden tarjoajasi, mutta vain yhden kerrallaan.
Ennen aloittamista
Ota huomioon seuraavat ennen kuin synkronoit Google Workspacen, Microsoft Entra ID:n tai IdP:si kanssa:
käyttäjäryhmien synkronointia ei tueta.
Vaatimukset
Vahvista domain manuaalisesti tarpeen vaatiessa. Katso lisätiedot kohdasta Lisää ja vahvista domain.
Yhdistetty todennus on laitettava päälle. Katso Johdanto yhdistettyyn todennukseen.
Varmista, että päivystämässä on ylläpitäjä, jolla on oikeudet muokata Google Workspacen, Microsoft Entra ID:n tai muun IdP:n asetuksia.
Katkaise yhteys opiskelijatietojärjestelmään tai lopeta SFTP-lataukset.
Apple School Manager edellyttää, että hallitulle Apple‑tilille käytetty määrite on yksilöllinen. Tämä on yleensä käyttäjän sähköpostiosoite. Jos käyttäjällä on määrite, joka on täysin sama kuin olemassa oleva Apple School Managerin käyttäjä, jolla on ylläpitäjän rooli, synkronointia ei tehdä, jolloin lähdekenttä pysyy ennallaan.
Kun määrität alkuperäisen yhteyden, käytä ylläpitäjän, järjestelmähallinnoijan tai henkilöhallinnoijan sähköpostiosoitetta, jotta he voivat vastaanottaa ilmoituksia Google Workspacesta, Microsoft Entra ID:stä tai muusta IdP:stä, johon olet synkronoimassa.
IdP-kohtaiset vaatimukset
Yhdistettäessä Microsoft Entra ID:hen:
Jos haluat käyttää OIDC:tä Apple School Managerin kanssa, organisaatiollasi ei voi olla samaa Microsoft Entra ID ‑vuokraajaa kuin jollain muulla Apple School Manager ‑organisaatiolla. Jos haluat käyttää organisaatiosi OIDC:tä, ota yhteyttä Microsoft Entra ID:n yleiseen ylläpitäjään ja varmista, ettei mikään muu organisaatio käytä Entra ID ‑vuokraajaasi OIDC:llä.
Jos käyttäjätilin ensisijainen nimi (UPN) on täysin sama kuin olevassa olevalla käyttäjätilillä, jolla on ylläpitäjän, järjestelmähallinnoijan tai henkilöhallinnoijan rooli, synkronointia ei tehdä, jolloin lähdekenttä pysyy ennallaan. Näin käy alun perin käytetystä synkronointitavasta (opiskelijatietojärjestelmä tai SFTP) riippumatta.
Kun yhdistät IdP:hen, joka ei ole Google Workspace tai Microsoft Entra ID, varmista, että sinulla on seuraavat tiedot:
Käyttäjien yksilöllinen tunnistekenttä: tämän määritteen arvo on yleensä käyttäjän sähköpostiosoite. Tällä luodaan käyttäjän hallittu Apple‑tili. Se voi olla esimerkiksi userName.
Todennustapa: SAML 2.0.
Todennustapa: OAuth 2.
Kertakirjautumisen URL-osoite: tarkista tämä henkilöllisyyden tarjoajasi käyttöohjeista.
Todennuksen vastakutsun URL-osoite: tarkista tämä henkilöllisyyden tarjoajan käyttöohjeista.
Automaattiset muutokset
Valvoo käyttäjätilien muutoksia ja synkronoi ne automaattisesti Apple School Manageriin.
Huomaa: Tiedostolataukset SFTP:llä Apple School Manageriin eivät tue automaattista synkronointia.
Poistaa hallitut Apple-tilit automaattisesti, kun niitä vastaavat tilit poistetaan Google Workspacesta, Microsoft Entra ID:stä tai IdP:stäsi.
Kun käyttäjätili synkronoidaan Apple School Manageriin, oletusrooli on Opiskelija. Kun synkronointi on valmis, seuraavia käyttäjätilimääritteitä voidaan muokata:
roolit
luokkataso
opiskelijatietojärjestelmän (SIS) käyttäjätunnus.
Nämä määritteet tallennetaan käyttäjätilille Apple School Managerissa, eikä niitä tallenneta Google Workspaceen, Microsoft Entra ID:hen tai IdP:hen.
Synkronoidut tilitiedot lisätään vain luku ‑muodossa siihen saakka, kunnes laitat synkronoinnin pois päältä. Tileistä tulee silloin manuaalisia tilejä, jolloin tilien määritteitä (esimerkiksi käyttäjätunnuksia) voi muokata.
Huomaa: Ensimmäinen synkronointi kestää kauemmin kuin sitä seuraavat synkronoinnit. Katso IdP:n dokumentaatiosta, miten usein käyttäjiä synkronoidaan.
Tietoja henkilön tunnuksesta
Jotta ristiriitaiset tilit voidaan tunnistaa, kyseiselle käyttäjätilille luodaan automaattisesti henkilön tunnus synkronoitaessa käyttäjätiliä ensimmäisen kerran OIDC:llä tai opiskelijatietojärjestelmällä Apple School Manageriin.
Tärkeää: Henkilön tunnusta ei luoda automaattisesti SFTP:llä tuoduille käyttäjätileille, koska tällaiset tunnukset luodaan Apple School Manageriin lähetettävissä tiedostoissa. Jos katkaiset yhteyden Google Workspaceen, Microsoft Entra ID:hen tai IdP:hen ja lähetät käyttäjät uudelleen, luodaan uudet käyttäjät, paitsi jos SFTP-lähetystiedostoissa oleva henkilön tunnus vastaa henkilön tunnusta, joka määritettiin alkuperäisessä hakemistosynkronoinnissa. Katso lisätietoja kohdasta Opiskelijatietojärjestelmän tietojen lähettäminen.
Jos muokkaat aiemmin synkronoidun käyttäjätilin henkilön tunnusta Apple School Managerissa, kyseinen käyttäjätili ei ole enää yhteydessä Google Workspaceen, Microsoft Entra ID:hen tai IdP:hen. Jos haluat yhdistää käyttäjätilin uudelleen, ratkaise henkilön tunnuksen ristiriita.