Könyvtár-szinkronizálás az Apple School Managerben
A könyvtár-szinkronizálás segít összhangban tartani az Apple School Managerben tárolt adatokat az identitásszolgáltatójával (IdP). Könyvtár-szinkronizálás használatakor az IdP automatikusan értesíti az Apple School Managert, amely így képes frissíteni az adatokat az alábbi esetekben:
Egy új felhasználói fiók létrehozása
Egy vagy több felhasználói fiók adatainak megváltoztatása
Egy felhasználói fiók törlése
Az OpenID Connect (OIDC) és az Apple School Manager segítségével felhasználói fiókokat szinkronizálhat a következőből (egyszerre mindig csak egy opció alkalmazható):
Google Workspace
Microsoft Entra ID
Az Ön IdP-je
Néhány IdP a System for Cross-domain Identity Management (SCIM) szolgáltatást is tudják használni
Kezdés előtt
Mielőtt szinkronizálást végezne a Google Workspace-szel, a Microsoft Entra ID-vel vagy az IdP-vel, fontolja meg a következőket:
A felhasználói csoportok szinkronizálása nem támogatott.
Az első szinkronizálás több időt vesz igénybe, mint a későbbi ciklusok. Tekintse meg az IdP dokumentációjában, hogy milyen gyakran szinkronizálnak felhasználókat.
Követelmények
Szükség esetén manuálisan igazoljon egy tartományt. Lásd: Tartomány hozzáadása és igazolása.
Be kell kapcsolnia az összevont hitelesítést. Lásd: Az összevont hitelesítés bemutatása.
Kérjen segítséget egy rendszergazdától, akinek engedélye van a Google Workspace, a Microsoft Entra ID vagy egy másik IdP beállításainak szerkesztésére.
Csatlakozzon le a Tanulói Információs Rendszerről (SIS), vagy állítsa le az SFTP segítségével történő feltöltéseket.
Az Apple School Manager használatához az szükséges, hogy a felügyelt Apple-fiókhoz használt attribútum egyedi legyen. Ez általában a felhasználó e-mail-címe. Ha egy felhasználó olyan attribútummal rendelkezik, amely pontosan megegyezik egy Adminisztrátor szerepkörű Apple School Manager-felhasználóéval, akkor nem megy végbe a szinkronizálás, és a forrásmező változatlan marad.
A kapcsolat első konfigurálásakor használja egy Adminisztrátor, Helyszínkezelő vagy Személykezelő szerepkörű felhasználó e-mail-címét, hogy az megkaphassa az értesítéseket a Google Workspace-től, a Microsoft Entra ID-től vagy egy másik olyan IdP-től, amellyel a szinkronizálást végzi.
IdP-re vonatkozó követelmények
Microsoft Entra ID-hez való kapcsolódáskor:
Ha OIDC-t szeretne használni az Apple School Managerhez, a szervezet nem rendelkezhet ugyanazzal a Microsoft Entra ID-bérlővel, mint bármely más Apple School Manager-szervezet. Ha az OIDC rendszert szeretné használni a szervezetéhez, érdeklődjön a Microsoft Entra ID globális rendszergazdájánál arról, hogy más szervezet nem használja-e az adott Entra ID-bérlőt az OIDC-hez.
Ha egy felhasználói fiók olyan Egyszerű felhasználónévvel (UPN) rendelkezik, amely pontosan megegyezik egy Rendszergazda, Helyszínkezelő vagy Személykezelő szerepkörű felhasználói fiókéval, akkor nem kerül sor szinkronizálásra, és a forrásmező változatlan marad. Ez történik az eredetileg használt szinkronizálási módszertől (SIS vagy SFTP) függetlenül.
Ha IdP-hez kapcsolódik, de nem a Google Workspace-hez vagy a Microsoft Entra ID-hez, legyenek kéznél a következő információk:
Egyedi azonosító mező a felhasználóknak: Az attribútum értéke normál esetben a felhasználó e-mail-címe. Ezzel létrehozható a felhasználó felügyelt Apple-fiókja. Lehet például a következő: felhasználóNév.
Hitelesítési módszer: SAML 2.0.
Hitelesítési mód: OAuth 2.
Egyszeri bejelentkezés URL-címe: Nézze meg az IdP dokumentációjában.
Hitelesítő visszahívási URL-cím: Nézze meg az IdP dokumentációjában.
Automatikus módosítások
Fióklétrehozás
Ha a könyvtár-szinkronizálás konfigurálva van, a rendszer szinkronizálja a felhasználói fiókokat az Apple School Managerrel, és hozzájuk rendeli a Tanuló szerepkört. A szinkronizált fiókinformációk írásvédettek, de a felhasználói fiókok Szerepkörök, Évfolyam és Tanulói Információs Rendszer- (SIS-) felhasználónév attribútumai szerkeszthetők. Ezeket az attribútumokat az Apple School Manager-beli felhasználói fiók tárolja, és nem íródnak vissza a Google Workspace-be, a Microsoft Entra ID-be vagy az IdP-be.
Megjegyzés: Az Apple School Managerbe irányuló, SFTP segítségével történő fájlfeltöltéseknél nem alkalmazható automatikus szinkronizálás.
Ha az összevont hitelesítés ki van kapcsolva, a fiókok manuális fiókokká válnak, és ezeknek a fiókoknak az attribútumai (például a felhasználónevek) szerkeszthetők.
Fiókmódosítás
A könyvtár-szinkronizálás figyeli a szinkronizált attribútumok módosulását, és automatikusan frissíti őket az Apple School Managerben. A módosítások szinkronizálási időköze az IdP-től függ.
Fiókeltávolítás
Egy felhasználói fiók a Google Workspace-ből, a Microsoft Entra ID-ből vagy az IdP-ből való eltávolításakor a hozzá tartozó Apple School Managerbeli fiókot a rendszer inaktiválja és megjelöli törlendőként. Az inaktivált fiókokat a rendszer kijelentkezteti az összes eszközből, és nem lehet velük újból bejelentkezni. Ha a fiókot nem szinkronizálják újból a következő 120 napon belül, a rendszer automatikusan törli.
Tudnivalók a Személyazonosítóról
Annak érdekében, hogy az ütköző fiókok beazonosíthatók legyenek, amikor egy felhasználói fiókot első alkalommal szinkronizál az OIDC vagy az SIS segítségével az Apple School Managerbe, automatikusan létrejön egy Személyazonosító az adott felhasználói fiókhoz.
Fontos: A Személyazonosító nem automatikusan jön létre az SFTP segítségével importált felhasználói fiókokhoz, mert azok az azonosítók az Apple School Managerbe feltöltött .csv-fájlokban jönnek létre. Ha megszakítja a kapcsolatot a Google Workspace-szel, a Microsoft Entra ID-vel vagy az IdP-vel, és ismét feltölt felhasználókat, akkor létrejönnek az új felhasználók, kivéve akkor, ha a Személyazonosító a .csv-fájlokban egyezik azzal a Személyazonosítóval, amely először a kezdeti címtár-szinkronizálás során lett hozzárendelve. Lásd: A Tanulói Információs Rendszer adatainak feltöltése
Ha módosítja a Személyazonosítót az Apple School Managerben egy korábban szinkronizált felhasználói fióknál, akkor az adott felhasználói fiók már párosítva lesz a Google Workspace-szel, a Microsoft Entra ID-vel vagy az IdP-vel. Ha ismét csatlakoztatni szeretné a felhasználói fiókot, el kell hárítani a Személyazonosító ütközését.