Conditions requises pour la synchronisation avec Azure AD dans Apple School Manager
Vous pouvez importer des utilisateurs dans Apple School Manager à l’aide du système de gestion des identités interdomaines (SCIM). Il vous permet de fusionner des propriétés d’Apple School Manager (comme le niveau scolaire et les rôles) avec des données de compte utilisateur importées depuis Microsoft Azure Active Directory (Azure AD). Lorsque vous importez des utilisateurs à l’aide de SCIM, les informations de leurs comptes sont ajoutées en lecture seule jusqu’à ce que vous vous déconnectiez de SCIM. Les comptes deviennent alors des comptes manuels et leurs attributs peuvent être modifiés. La synchronisation initiale prend plus de temps que les cycles ultérieurs, qui ont lieu approximativement toutes les 40 minutes tant que le service d’approvisionnement d’Azure AD fonctionne. Voir Conseils d’approvisionnement sur le site web de documentation de Microsoft Azure.
Privilèges Azure AD
Dans Azure AD, les rôles suivants peuvent synchroniser des comptes avec Apple School Manager à l’aide de SCIM :
Administrateur d’application
Administrateur d’application Cloud
Propriétaire d’application
Administrateur général
Voir Rôles intégrés Azure AD sur le site web de Microsoft Azure AD.
Locataires Azure AD
Pour utiliser SCIM avec Apple School Manager, votre organisation ne doit pas disposer du même locataire Azure AD qu’une autre organisation Apple School Manager. Si vous souhaitez utiliser SCIM pour votre organisation, contactez votre administrateur Azure AD pour vous assurer qu’aucune autre organisation n’utilise votre locataire Azure AD pour SCIM.
Groupes Azure AD
Dans Azure AD, les méthodes de synchronisation comprennent toutes deux le mot Groupes, mais seuls les comptes utilisateur peuvent être synchronisés. Vous pouvez ajouter des groupes Azure AD à l’app Apple School Manager d’Azure AD. Par exemple, si vous possédez des groupes intitulés Personnel administratif, Enseignants et Étudiants dans Azure AD, vous pouvez ajouter les trois à l’app Apple School Manager d’Azure AD. Lorsque vous vous connectez avec SCIM, seuls les comptes de ces groupes sont synchronisés avec Apple School Manager.
Remarque : Les sous-groupes ne sont pas pris en charge dans l’app Apple School Manager d’Azure AD.
Portée de l’approvisionnement
Vous pouvez synchroniser des comptes Azure AD avec Apple School Manager de deux façons.
Synchroniser uniquement les utilisateurs et les groupes attribués : cette option synchronise uniquement les comptes qui apparaissent dans l’app Apple School Manager d’Azure AD avec Apple School Manager. Lorsque vous utilisez cette méthode de synchronisation, les comptes Azure AD doivent avoir le rôle Utilisateur pour être synchronisés dans Apple School Manager.
Synchroniser tous les utilisateurs et tous les groupes : cette option synchronise tous les comptes (la synchronisation de groupes n’est pas prise en charge) figurant dans l’onglet Utilisateurs d’Azure AD avec Apple School Manager et crée des identifiants Apple gérés pour l’ensemble des comptes Azure AD, même si vous n’avez l’intention de n’en utiliser qu’un nombre précis.
Consultez les articles de l’assistance Microsoft Qu’est ce que le provisionnement automatique des utilisateurs dans les applications SaaS dans Azure AD ? et Approvisionnement d’applications basé sur les attributs avec filtres d’étendue.
Notifications d’approvisionnement
Lorsque vous configurez l’approvisionnement, vous devez utiliser l’adresse e-mail d’un compte utilisateur disposant du rôle d’administrateur, de Gestionnaire de site ou de Gestionnaire de personnes afin qu’il puisse recevoir des notifications de la part d’Azure AD.
SCIM et authentification fédérée
Si la fédération est déjà activée quand les comptes Azure AD sont envoyés à Apple School Manager, vous ne verrez pas d’activité, mais les comptes se synchroniseront quand même depuis le domaine fédéré.
Azure AD est le fournisseur d’identité qui authentifie l’utilisateur pour Apple School Manager et délivre les jetons d’authentification. Étant donné qu’Apple School Manager prend en charge Azure AD, d’autres fournisseurs d’identité qui se connectent à Azure AD, tels que les services de fédération Active Directory (ADFS), fonctionnent également. L’authentification fédérée utilise le standard SAML (Security Assertion Markup Language) pour connecter Apple School Manager à Azure AD.
Comptes utilisateur Azure AD et Apple School Manager
Lorsqu’un compte utilisateur est copié d’Azure AD vers Apple School Manager à l’aide de SCIM, le rôle Étudiant est attribué par défaut. Une fois la synchronisation terminée, les attributs utilisateur suivants peuvent être modifiés :
Rôles
Niveau scolaire
Nom d’utilisateur dans le Système d’information pour la gestion de l’éducation (SIGE)
Ces attributs sont conservés avec le compte utilisateur dans Apple School Manager et ne sont pas enregistrés dans Azure AD.
Mappage des attributs utilisateur SCIM
Lorsqu’un compte est copié depuis Azure AD vers Apple School Manager à l’aide de SCIM, les attributs utilisateur suivants sont enregistrés en lecture seule. Le tableau indique également si l’attribut utilisateur est requis ou non.
Important : L’ajout d’attributs ne figurant pas dans le tableau rompt la connexion SCIM.
Attribut utilisateur Azure AD | Attribut utilisateur dans Apple School Manager | Requis |
|---|---|---|
Prénom | Prénom |
|
Nom | Nom |
|
Nom d’utilisateur principal | Identifiant Apple géré et adresse e-mail |
|
Identifiant d’objet | (N’apparaît pas dans Apple School Manager. Cet attribut permet d’identifier les comptes en conflit.) |
|
Département | Département |
|
Identifiant d’employé | Numéro de personne |
|
Attribut personnalisé (il doit être créé dans l’app Apple School Manager d’Azure AD) | Centre de coût |
|
Attribut personnalisé (il doit être créé dans l’app Apple School Manager d’Azure AD) | Division |
|
Nom d’utilisateur principal
Si un utilisateur possède un nom d’utilisateur principal identique à celui d’un utilisateur Apple School Manager doté du rôle d’administrateur, de gestionnaire de personnes ou de gestionnaire de site, aucune synchronisation ne sera effectuée et le champ source ne sera pas modifié, et ce quel que soit le mode de synchronisation utilisé à l’origine (SIGE ou SFTP).
Identifiant de la personne
Lorsqu’un compte utilisateur Azure AD est synchronisé avec Apple School Manager, un identifiant de personne est créé pour le compte utilisateur Apple School Manager. L’identifiant de personne et l’identifiant d’objet permettent d’identifier les comptes utilisateur en conflit.
L’identifiant de personne est automatiquement généré pour les utilisateurs importés à l’aide du système SCIM ou de l’intégration d’un système SIGE. Toutefois, cet identifiant n’est pas automatiquement généré pour les utilisateurs importés à l’aide du protocole SFTP.
Si SCIM est déconnecté et que des comptes utilisateur sont à nouveau chargés à l’aide du protocole SFTP, d’autres comptes utilisateur seront créés, sauf si l’identifiant de personne présent dans le fichier de chargement SFTP correspond à l’identifiant de personne qui a été attribué par SCIM. Consultez la section Importer des comptes à l’aide du protocole SFTP.
Si vous modifiez l’identifiant de personne d’un compte précédemment importé de SCIM, ce dernier ne sera plus associé à Azure AD. Si vous avez modifié l’identifiant de personne d’un compte précédemment importé de SCIM et que vous souhaitez reconnecter ce dernier à SCIM, consultez la rubrique Résoudre les conflits de comptes utilisateur SCIM.
Recommandations
Vous devez uniquement utiliser l’app Apple School Manager Azure AD lors de la connexion à SCIM.
Si vous possédez un domaine validé, mais que vous n’avez pas activé l’authentification fédérée, attendez d’avoir vérifié que les comptes utilisateur Azure AD ont été envoyés à Apple School Manager pour activer la fédération. Pour ce faire, consultez les journaux d’approvisionnement d’Azure AD. Après avoir vérifié que les comptes utilisateur Azure AD ont été envoyés, au moment d’activer la fédération, vous serez informé d’une activité lorsque les comptes utilisateur Azure AD auront été approvisionnés. Si la fédération est déjà activée lorsque les comptes utilisateur Azure AD sont envoyés, vous ne voyez aucune activité, mais les comptes utilisateur se synchronisent quand même.
Si vous possédez un groupe configuré dans Azure AD, vous pouvez l’ajouter à l’app Apple School Manager d’Azure AD plutôt que d’ajouter chaque utilisateur.
Important : Ne gardez pas le même nom d’utilisateur pendant plus de 120 jours dans l’app Apple School Manager d’Azure AD.
Avant de commencer
Avant de commencer, vous devez effectuer les actions suivantes :
Déconnectez-vous de votre Système d’information pour la gestion de l’éducation (SIGE) ou arrêtez les chargements à l’aide du protocole SFTP.
Configurez et validez le domaine que vous souhaitez utiliser. Consultez la rubrique Connexion à de nouveaux domaines.
Configurez (mais n’activez pas) l’authentification fédérée. Consultez Activer et tester l’authentification fédérée.
Remarque : Si l’authentification fédérée est déjà activée, cela ne pose pas de problème. Consultez les recommandations de la section précédente.
Déterminez le type de synchronisation dans Azure AD et, si nécessaire, créez des groupes permettant de synchroniser uniquement les comptes attribués à l’app Apple School Manager d’Azure AD :
Synchroniser uniquement les utilisateurs attribués.
Synchroniser tous les utilisateurs.
Demandez à un administrateur Azure AD disposant des autorisations nécessaires de modifier les applications d’entreprise. Lorsque vous êtes tous deux prêts, consultez la rubrique Importer des utilisateurs avec SCIM.