Könyvtár-szinkronizálás az Apple School Manager segítségével
Az OpenID Connect (OIDC) és az Apple School Manager segítségével felhasználói fiókokat szinkronizálhat a következőből:
Google Workspace
Microsoft Entra ID
Identitásszolgáltató (IdP)
Néhány IdP a System for Cross-domain Identity Management (SCIM) szolgáltatást is tudják használni
Megjegyzés: Szinkronizálhat a Google Workspace-szel, a Microsoft Entra ID-vel vagy az IdP-vel, de egyszerre csak az egyikkel.
Kezdés előtt
Mielőtt szinkronizálást végezne a Google Workspace-szel, a Microsoft Entra ID-vel vagy az IdP-vel, fontolja meg a következőket:
A felhasználói csoportok szinkronizálása nem támogatott.
Követelmények
Szükség esetén manuálisan igazoljon egy tartományt. Lásd: Tartomány hozzáadása és igazolása.
Be kell kapcsolnia az összevont hitelesítést. Lásd: Az összevont hitelesítés bemutatása.
Kérjen segítséget egy rendszergazdától, akinek engedélye van a Google Workspace, a Microsoft Entra ID vagy egy másik IdP beállításainak szerkesztésére.
Csatlakozzon le a Tanulói Információs Rendszerről (SIS), vagy állítsa le az SFTP segítségével történő feltöltéseket.
Az Apple School Manager használatához az szükséges, hogy a felügyelt Apple-fiókhoz használt attribútum egyedi legyen. Ez általában a felhasználó e-mail-címe. Ha egy felhasználó olyan attribútummal rendelkezik, amely pontosan megegyezik egy Adminisztrátor szerepkörű Apple School Manager-felhasználóéval, akkor nem megy végbe a szinkronizálás, és a forrásmező változatlan marad.
A kapcsolat első konfigurálásakor használja egy Rendszergazda, Helyszínkezelő vagy Személykezelő szerepkörű felhasználó e-mail-címét, hogy az megkaphassa az értesítéseket a Google Workspace-től, a Microsoft Entra ID-től vagy egy másik olyan IdP-től, amellyel a szinkronizálást végzi.
IdP-re vonatkozó követelmények
Microsoft Entra ID-hez való kapcsolódáskor:
Ha OIDC-t szeretne használni az Apple School Managerhez, a szervezet nem rendelkezhet ugyanazzal a Microsoft Entra ID-bérlővel, mint bármely más Apple School Manager-szervezet. Ha az OIDC rendszert szeretné használni a szervezetéhez, érdeklődjön a Microsoft Entra ID globális rendszergazdánál, hogy más szervezet nem használja-e az adott Entra ID-bérlőt az OIDC-hez.
Ha egy felhasználói fiók olyan Egyszerű felhasználónévvel (UPN) rendelkezik, amely pontosan megegyezik egy Rendszergazda, Helyszínkezelő vagy Személykezelő szerepkörű felhasználói fiókéval, akkor nem kerül sor szinkronizálásra, és a forrásmező változatlan marad. Ez történik az eredetileg használt szinkronizálási módszertől (SIS vagy SFTP) függetlenül.
Ha IdP-hez kapcsolódik, de nem a Google Workspace-hez vagy a Microsoft Entra ID-hez, legyenek kéznél a következő információk:
Egyedi azonosító mező a felhasználóknak: Az attribútum értéke normál esetben a felhasználó e-mail-címe. Ezzel létrehozható a felhasználó felügyelt Apple-fiókja. Lehet például a következő: felhasználóNév.
Hitelesítési módszer: SAML 2.0.
Hitelesítési mód: OAuth 2.
Egyszeri bejelentkezés URL-címe: Nézze meg az IdP dokumentációjában.
Hitelesítő visszahívási URL-cím: Nézze meg az IdP dokumentációjában.
Automatikus módosítások
Figyeli a felhasználói fiókokkal kapcsolatos módosításokat, és automatikusan szinkronizálja őket az Apple School Managerbe.
Megjegyzés: Az Apple School Managerbe irányuló, SFTP segítségével történő fájlfeltöltéseknél nem alkalmazható automatikus szinkronizálás.
Automatikusan eltávolítja a felügyelt Apple-fiókokat, ha a kapcsolódó felhasználói fiókok törlődnek a Google Workspace-ben, a Microsoft Entra ID-ben vagy az IdP-ben.
Egy felhasználói fiók Apple School Managerbe irányuló szinkronizálásakor az alapértelmezett szerepkör a Tanuló. A szinkronizálás befejeződése után a következő felhasználói fiókattribútumok szerkeszthetők:
Szerepkörök
Évfolyam
SIS (Tanulói Információs Rendszer) felhasználónév
Ezeket az attribútumokat az Apple School Managerbeli felhasználói fiók tárolja, és nem íródnak vissza a Google Workspace-be, a Microsoft Entra ID-be vagy az IdP-be.
A szinkronizált fiókadatok írásvédettek lesznek addig, amíg ki nem kapcsolja a szinkronizálást. Ekkor a fiókok manuális fiókokká válnak, és a fiókokban lévő attribútumok (például felhasználónevek) szerkeszthetővé válnak.
Megjegyzés: Az első szinkronizálás több időt vesz igénybe, mint a későbbi ciklusok. Tekintse meg az IdP dokumentációjában, hogy milyen gyakran szinkronizálnak felhasználókat.
Tudnivalók a Személyazonosítóról
Annak érdekében, hogy az ütköző fiókok beazonosíthatók legyenek, amikor egy felhasználói fiókot első alkalommal szinkronizál az OIDC vagy az SIS segítségével az Apple School Managerbe, automatikusan létrejön egy Személyazonosító az adott felhasználói fiókhoz.
Fontos: A Személyazonosító nem automatikusan jön létre az SFTP segítségével importált felhasználói fiókokhoz, mert azok az azonosítók az Apple School Managerbe feltöltött fájlokban jönnek létre. Ha megszakítja a kapcsolatot a Google Workspace-szel, a Microsoft Entra ID-vel vagy az IdP-vel, és ismét feltölt felhasználókat, akkor létrejönnek az új felhasználók, kivéve akkor, ha a Személyazonosító az SFTP feltöltési fájlokban egyezik azzal a Személyazonosítóval, amely először a kezdeti könyvtár-szinkronizálás során lett hozzárendelve. Lásd: A Tanulói Információs Rendszer adatainak feltöltése
Ha módosítja a Személyazonosítót az Apple School Managerben egy korábban szinkronizált felhasználói fióknál, akkor az adott felhasználói fiók már lesz párosítva a Google Workspace-szel, a Microsoft Entra ID-vel vagy az IdP-vel. Ha ismét csatlakoztatni szeretné a felhasználói fiókot, el kell hárítani a Személyazonosító ütközését.