Exigences pour la synchronisation avec Azure AD dans Apple School Manager
Le système de gestion des identités interdomaines (SCIM) vous permet d’importer des utilisateurs dans Apple School Manager. À l’aide de ce système, vous fusionnez des propriétés d’Apple School Manager (comme niveau scolaire et rôle) avec les données de compte d’utilisateur importées de Microsoft Azure Active Directory (Azure AD). Lorsque vous utilisez le SCIM pour importer des utilisateurs, l’information sur le compte est ajoutée en lecture seule jusqu’à ce que vous vous déconnectiez du SCIM. À ce moment, les comptes deviennent des comptes manuels, et les attributs de ces comptes peuvent être modifiés. La synchronisation initiale prend plus de temps que les cycles ultérieurs, qui se produisent toutes les 40 minutes environ tant que la mise en service Azure AD est en cours d’exécution. Consultez les conseils sur la mise en service dans le site Web de documentation de Microsoft Azure.
Privilèges Azure AD
Les rôles suivants dans Azure AD peuvent utiliser le SCIM pour synchroniser des comptes avec Apple School Manager :
Administrateur d’applications
Administrateur d’applications infonuagiques
Propriétaire d’application
Administrateur global
Découvrez les rôles intégrés d’Azure AD dans le site Web de Microsoft Azure AD.
Locataires Azure AD
Pour utiliser le SCIM avec Apple School Manager, votre organisation ne doit pas avoir le même locataire Azure AD qu’une autre organisation Apple School Manager. Si vous voulez utiliser le SCIM pour votre organisation, communiquez avec votre administrateur Azure AD pour vous assurer qu’aucune autre organisation dans n’utilise votre locataire SCIM Azure AD.
Groupes Azure AD
Dans Azure AD, les deux méthodes de synchronisation emploient le terme Groupes, mais seuls les comptes d’utilisateurs sont synchronisés. Vous pouvez ajouter des groupes Azure AD dans l’app Apple School Manager Azure AD. Par exemple, si vous avez des groupes dans Azure AD nommés Personnel, Instructeurs et Étudiants, vous pouvez ajouter ces trois groupes à l’app Apple School Manager Azure AD. Lorsque vous vous connectez à l’aide de SCIM, seuls les comptes de ces groupes sont synchronisés avec Apple School Manager.
Remarque : Les sous-groupes ne sont pas pris en charge dans l’app Apple School Manager Azure AD.
Portée de la mise en service
Il existe deux moyens de synchroniser les comptes Azure AD avec Apple School Manager.
Synchroniser uniquement des utilisateurs et des groupes attribués : cette méthode synchronise uniquement avec Apple School Manager les comptes se trouvant dans l’app Apple School Manager Azure AD. Lorsque cette méthode de synchronisation est utilisée, les comptes Azure AD doivent disposer d’un rôle d’utilisateur pour être synchronisés avec Apple School Manager.
Synchroniser tous les utilisateurs et les groupes : cette option synchronise avec Apple School Manager tous les comptes (la synchronisation de groupes n’est pas prise en charge) de l’onglet Utilisateurs d’Azure AD et crée des identifiants Apple gérés pour tous les comptes Azure AD fédérés, même si vous prévoyez n’en utiliser qu’un nombre donné.
Consultez ces articles de l’assistance Microsoft : Qu’est ce que le provisionnement automatique des utilisateurs dans les applications SaaS dans Azure AD? et Approvisionnement d’applications basé sur les attributs avec filtres d’étendue.
Notifications de mise en service
Lorsque vous configurez la mise en service, vous devriez utiliser l’adresse courriel d’un utilisateur ayant un rôle d’administrateur, de gestionnaire de site ou de gestionnaire de compte pour que cette personne reçoive des notifications d’Azure AD.
SCIM et authentification fédérée
Si la fédération est déjà activée lorsque les comptes Azure AD sont envoyés dans Apple School Manager, vous ne verrez pas d’activité, mais les comptes seront quand même synchronisés à partir des domaines fédérés.
Azure AD est le fournisseur d’identités qui authentifie l’utilisateur pour Apple School Manager et émet des jetons d’authentification. Comme Apple School Manager prend en charge Azure AD, d’autres fournisseurs d’identités qui se connectent à Azure AD, tels qu’Active Directory Federated Services (ADFS), fonctionneront également. L’authentification fédérée utilise le langage SAML (Security Assertion Markup Language) pour connecter Apple School Manager à Azure AD.
Comptes d’utilisateur Azure AD et Apple School Manager
Quand un utilisateur est copié d’Azure AD vers Apple School Manager à l’aide du SCIM, le rôle par défaut est celui d’étudiant. Une fois la synchronisation terminée, les attributs d’utilisateur suivants peuvent être modifiés :
Rôles
Niveau scolaire
Nom d’utilisateur du système d’information étudiants (SIE)
Ces attributs sont stockés avec le compte d’utilisateur dans Apple School Manager et ne sont pas consignés dans Azure AD.
Correspondance des attributs d’utilisateurs dans le SCIM
Lorsqu’un compte est copié d’Azure AD vers Apple School Manager à l’aide du SCIM, les attributs d’utilisateurs suivants sont stockés en mode lecture seule. Le tableau montre aussi si l’attribut d’utilisateur est requis ou non.
Important : L’ajout d’attributs autres que ceux montrés dans le tableau brise la connexion au SCIM.
Attribut d’utilisateur Azure AD | Attribut d’utilisateur Apple School Manager | Obligatoire |
---|---|---|
Prénom | Prénom | |
Nom | Nom | |
Nom d’utilisateur principal | Identifiant Apple géré et adresse courriel | |
Identifiant d’objet | (Non montré dans Apple School Manager. Cet attribut sert à identifier les comptes en conflit.) | |
Service | Service | |
Identifiant d’employé | Numéro personnel | |
Attribut personnalisé (doit être créé dans l’app Apple School Manager Azure AD) | Centre de coût | |
Attribut personnalisé (doit être créé dans l’app Apple School Manager Azure AD) | Division |
Nom d’utilisateur principal
Si un utilisateur a un nom d’utilisateur principal identique à celui d’un utilisateur existant dans Apple School Manager ayant un rôle d’administrateur, de gestionnaire de site ou de gestionnaire de comptes, aucune synchronisation n’est effectuée et le champ source reste inchangé. Cela se produit quelle que soit la méthode de synchronisation utilisée à l’origine (SIE ou SFTP).
Identifiant de la personne
Lorsqu’un utilisateur Azure AD est synchronisé avec Apple School Manager, un identifiant personnel est créé pour le compte d’utilisateur Apple School Manager. Les identifiants personnels et d’objet servent à identifier les comptes d’utilisateur en conflit.
L’identifiant de personne est automatiquement généré pour les utilisateurs importés en utilisant le SCIM ou l’intégration SIE, mais ne l’est pas pour ceux importés au moyen du protocole SFTP.
Si le SCIM est déconnecté et que le SFTP sert de nouveau à téléverser des utilisateurs, de nouveaux utilisateurs sont créés à moins que l’identifiant personnel dans le fichier de téléversement SFTP ne corresponde à l’identifiant personnel attribué par le SCIM. Consultez la rubrique Importer des comptes par SFTP.
Si vous modifiez l’identifiant personnel pour un compte préalablement importé du SCIM, ce compte n’est plus associé à Azure AD. Si vous avez modifié l’identifiant personnel pour un compte préalablement importé du SCIM et que vous voulez reconnecter ce compte au SCIM, consultez Résoudre les problèmes de comptes d’utilisateur SCIM en conflit.
Recommandations
Vous devriez uniquement utiliser l’app Apple School Manager Azure AD lorsque vous vous connectez avec le SCIM.
Si vous avez un domaine vérifié, mais n’avez pas encore activé l’authentification fédérée, vous devriez attendre d’avoir confirmé que les utilisateurs Azure AD ont bien été envoyés à Apple School Manager. Pour ce faire, consultez les journaux de mise en service d’Azure AD. Après avoir confirmé que les utilisateurs Azure AD ont été envoyés, lorsque vous activerez la fédération, vous recevrez une notification d’activité lorsque les utilisateurs Azure AD seront approvisionnés. Si la fédération est déjà activée lorsque les utilisateurs Azure AD sont envoyés, vous ne verrez aucune activité, mais les utilisateurs seront tout de même synchronisés.
Si vous avez configuré un groupe dans Azure AD, vous pouvez ajouter ce groupe dans l’app Apple School Manager Azure AD au lieu d’ajouter chaque utilisateur.
Important : Ne réutilisez pas un nom d’utilisateur dans l’app Apple School Manager Azure AD avant 120 jours.
Avant de commencer
Avant de commencer, procédez comme suit :
Déconnectez-vous de votre système d’information étudiants (SIE) ou arrêtez les téléversements à l’aide de SFTP.
Configurez et vérifiez le domaine que vous souhaitez utiliser. Consultez la rubrique Associer de nouveaux domaines.
Configurez (mais n’activez pas) l’authentification fédérée. Consultez l’article Activer et tester l’authentification fédérée.
Remarque : Si l’authentification fédérée est déjà activée, vous pouvez tout de même aller de l’avant. Consultez les recommandations de la section précédente.
Déterminez le type de synchronisation dans Azure AD et, au besoin, créez des groupes pour ne synchroniser que les comptes attribués dans l’app Apple School Manager Azure AD :
Synchroniser uniquement les utilisateurs attribués.
Synchroniser tous les utilisateurs.
Faites appel à un administrateur Azure AD disposant des autorisations nécessaires pour modifier les applications d’entreprise. Quand vous êtes tous deux prêts, consultez Utiliser le SCIM pour importer des utilisateurs.