Introduction à la synchronisation des répertoires dans Apple School Manager
Vous pouvez utiliser OpenID Connect (OIDC) avec Apple School Manager pour synchroniser des comptes d’utilisateurs à partir des éléments suivants :
Google Workspace
Microsoft Entra ID
Votre fournisseur d’identité (IdP)
Certains fournisseurs d’identités peuvent également utiliser le système de gestion des identités interdomaines (SCIM).
Remarque : Vous pouvez synchroniser Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités, mais un seul à la fois.
Avant de commencer
Avant de synchroniser Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités, tenez compte des points suivants :
La synchronisation de groupes d’utilisateurs n’est pas prise en charge.
Conditions requises
Si nécessaire, vérifiez manuellement un domaine. Consultez la rubrique Ajouter et valider un domaine.
Vous devez activer l’authentification fédérée. Consultez la rubrique Introduction à l’authentification fédérée dans Apple School Manager.
Appelez un administrateur autorisé à modifier les paramètres de Google Workspace, de Microsoft Entra ID ou d’un autre fournisseur d’identités.
Déconnectez-vous de votre système d’information étudiants (SIE) ou arrêtez les téléversements à l’aide de SFTP.
Apple School Manager exige que l’attribut utilisé pour le compte Apple géré soit unique. Il s’agit normalement de l’adresse courriel de l’utilisateur. Si un utilisateur a un attribut identique à celui d’un utilisateur existant ayant un rôle d’administrateur dans Apple School Manager, aucune synchronisation ne sera effectuée et le champ source restera inchangé.
Lorsque vous configurez la connexion initiale, vous devriez utiliser l’adresse courriel d’un utilisateur ayant le rôle d’administrateur, de gestionnaire de site ou de gestionnaire de compte afin qu’il puisse recevoir des notifications de Google Workspace, de Microsoft Entra ID ou d’un autre fournisseur d’identités avec lequel vous effectuez la synchronisation.
Exigences spécifiques au fournisseur d’identités
Lors de la connexion à Microsoft Entra ID :
Pour utiliser OIDC avec Apple School Manager, votre organisation ne doit pas avoir le même locataire Microsoft Entra ID qu’une autre organisation Apple School Manager. Si vous voulez utiliser OIDC pour votre organisation, communiquez avec votre administrateur Microsoft Entra ID Global pour vous assurer qu’aucune autre organisation n’utilise votre locataire Entra ID pour OIDC.
Si un compte d’utilisateur a un nom d’utilisateur principal identique à celui d’un compte d’utilisateur existant dans ayant un rôle d’administrateur, de gestionnaire de site ou de gestionnaire de comptes, aucune synchronisation n’est effectuée et le champ source reste inchangé. Cela se produit quelle que soit la méthode de synchronisation utilisée à l’origine (SIE ou SFTP).
Lorsque vous vous connectez à un fournisseur d’identités qui n’est pas Google Workspace ou Microsoft Entra ID, vous devez disposer des informations suivantes :
Champ d’identification unique pour les utilisateurs : la valeur de cet attribut est normalement l’adresse courriel de l’utilisateur. Elle est utilisée pour créer le compte Apple géré de l’utilisateur. Par exemple, l’identifiant peut être userName.
Méthode d’authentification : SAML 2.0.
Mode d’authentification : OAuth 2.
URL de signature unique : consultez la documentation de votre fournisseur d’identités.
Autorisation de l’URL de redirection : consultez la documentation de votre fournisseur d’identités.
Modifications automatiques
Surveille les modifications apportées au compte de l’utilisateur et les synchronise automatiquement avec Apple School Manager.
Remarque : Les téléversements de fichiers vers Apple School Manager à l’aide de SFTP ne prennent pas en charge la synchronisation automatique.
Supprime automatiquement les comptes Apple gérés lorsque les comptes utilisateurs correspondants sont supprimés dans Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités.
Lorsqu’un compte utilisateur est synchronisé avec Apple School Manager, le rôle par défaut est Étudiant. Une fois la synchronisation terminée, les attributs du compte d’utilisateur suivants peuvent être modifiés :
Rôles
Niveau scolaire
Nom d’utilisateur du système d’information étudiants (SIE)
Ces attributs sont stockés avec le compte utilisateur dans Apple School Manager et ne sont pas retranscrits dans Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités.
Les informations du compte synchronisé sont ajoutées en tant que données en lecture seule tant que vous ne désactivez pas la synchronisation. À ce moment, les comptes deviennent des comptes manuels, et les attributs de ces comptes (comme les noms d’utilisateur) peuvent être modifiés.
Remarque : La synchronisation initiale prend plus de temps que celle des cycles subséquents. Consultez la documentation de votre fournisseur d’identités pour savoir à quelle fréquence il synchronise les utilisateurs.
À propos de l’identifiant de la personne
Pour identifier les comptes en conflit, lorsqu’un compte d’utilisateur est initialement synchronisé à l’aide d’OIDC ou de SIE avec Apple School Manager, un identifiant de la personne est automatiquement généré pour ce compte d’utilisateur.
Important : L’identifiant de la personne n’est pas automatiquement généré pour les comptes d’utilisateur importés à l’aide de SFTP, car ces identifiants sont créés dans les fichiers téléversés vers Apple School Manager. Si vous vous déconnectez de Google Workspace, de Microsoft Entra ID ou de votre fournisseur d’identités et que vous téléversez à nouveau des utilisateurs, de nouveaux utilisateurs sont créés, à moins que l’identifiant de la personne dans les fichiers téléversés par SFTP ne corresponde à l’identifiant de la personne initialement attribué lors de la synchronisation initiale des répertoires. Consultez la rubrique Téléverser les données du Système d’information étudiants.
Si vous modifiez l’identifiant de la personne dans Apple School Manager pour un compte d’utilisateur précédemment synchronisé, ce compte d’utilisateur n’est plus associé à Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités. Si vous souhaitez reconnecter le compte utilisateur, vous devez résoudre le conflit d’identifiant de la personne.