Introduzione alla sincronizzazione directory con Apple School Manager
La sincronizzazione directory aiuta a mantenere aggiornati i dati in Apple School Manager con il tuo Identity provider (IdP). Grazie alla sincronizzazione directory, Apple School Manager viene automaticamente informato dal tuo IdP e può aggiornare le sue informazioni quando si verifica quanto segue:
Viene creato un nuovo account utente
Le informazioni dell’account utente sono cambiate
Un account utente è stato eliminato
Puoi utilizzare OpenID Connect (OIDC) con Apple School Manager per sincronizzare gli account utente da quanto segue (ma solo uno alla volta):
Google Workspace
Microsoft Entra ID
Il tuo IdP
Alcuni IdP possono anche usare un Sistema per gestione di identità fra domini (SCIM)
Prima di iniziare
Prima di utilizzare di effettuare la sincronizzazione con Google Workspace, Microsoft Entra ID o il tuo IdP, considera quanto segue:
la sincronizzazione dei gruppi di utenti non è supportata.
La sincronizzazione iniziale richiede più tempo di quelle successive. Per conoscere la frequenza con cui avviene la sincronizzazione degli utenti, consulta la documentazione del tuo IdP.
Requisiti
Se necessario, verifica manualmente un dominio. Consulta Aggiungere e verificare un dominio.
Devi attivare l’autenticazione con account associato. Consulta Introduzione all’autenticazione con account associato.
Effettua una chiamata a un amministratore con le autorizzazioni per modificare le impostazioni di Google Workspace, Microsoft Entra ID o un altro IdP.
Disconnettiti dal Sistema Informativo Studenti (SIS) o interrompi i caricamenti con SFTP.
Apple School Manager richiede che l’attributo utilizzato per l’Apple Account gestito sia univoco. Generalmente si tratta dell’indirizzo email dell’utente. Se un/una utente ha un attributo esattamente uguale ad altri utenti esistenti di Apple School Manager con il ruolo di amministrazione, non viene eseguita la sincronizzazione e il campo sorgente rimane invariato.
Quando configuri la connessione iniziale, devi usare l’indirizzo email dell’utente con ruolo di amministratore, responsabile sede o responsabile persone affinché questi possa ricevere le notifiche da Google Workspace, Microsoft Entra ID o da altri IdP di cui stai effettuando la sincronizzazione.
Requisiti specifici per IdP
In caso di collegamento a Microsoft Entra ID:
Per utilizzare OIDC con Apple School Manager, la tua organizzazione non può avere lo stesso tenant di Microsoft Entra ID di qualsiasi altra organizzazione di Apple School Manager. Se desideri utilizzare OIDC per la tua organizzazione, contatta l’amministratore Entra ID di riferimento per verificare che nessun altra organizzazione utilizzi il tuo tenant di Entra ID per OIDC.
Se un account utente ha un nome utente principale (UPN) esattamente uguale a un account utente esistente con il ruolo di amministrazione, responsabile sede o responsabile persone, non viene eseguita la sincronizzazione e il campo origine rimane invariato. Questo avviene indipendentemente dal metodo di sincronizzazione usato originariamente (SIS o SFTP).
In caso di collegamento a un IdP diverso da Google Workspace o Microsoft Entra ID, occorrono le seguenti informazioni:
Campo dell’identificatore univoco per utenti: il valore di questo attributo è generalmente l’indirizzo email dell’utente. Consente di creare l’Apple Account gestito dell'utente. Ad esempio può essere userName.
Metodo di autenticazione: SAML 2.0.
Modalità di autenticazione: OAuth 2.
URL del servizio Single Sign-On: consulta la documentazione del tuo IdP.
URL di richiamo dell’autorizzazione: consulta la documentazione del tuo IdP.
Modifiche automatiche
Creazione dell’account
Quando viene configurata la sincronizzazione directory, gli account utente vengono sincronizzati con Apple School Manager e viene assegnato loro il ruolo di Studente. Le informazioni dell’account sincronizzato vengono aggiunte in sola lettura, ma è possibile modificare gli attributi Ruoli, Livello scolastico e Nome utente del Sistema informativo studenti (SIS) di un account utente. Questi attributi vengono salvati con l’account utente in Apple School Manager e non vengono registrati di nuovo su Google Workspace, Microsoft Entra ID, o sul tuo IdP.
Nota: Il caricamento di file su Apple School Manager mediante Secure File Transfer Protocol (SFTP) non supporta la sincronizzazione automatica.
Quando l’autenticazione con account associato è disattivata, gli account diventano account manuali e gli attributi in questi account (come i nomi utente) possono essere modificati.
Modifica dell’account
La sincronizzazione directory monitora le modifiche agli attributi sincronizzati e le aggiorna automaticamente in Apple School Manager. L’intervallo con cui tali modifiche vengono sincronizzate dipende dall’IdP.
Rimozione dell’account
Quando un account utente viene rimosso in Google Workspace, Microsoft Entra ID o nel tuo IdP, l’account corrispondente in Apple School Manager viene disattivato e contrassegnato per l’eliminazione. Un account disattivato viene disconnesso dai dispositivi e non è possibile accedervi nuovamente. Se l’account non viene sincronizzato nuovamente entro i successivi 120 giorni, verrà rimosso automaticamente.
Informazioni sull'ID persona
Per identificare gli account in conflitto, quando un account utente viene inizialmente sincronizzato mediante OIDC o SIS ad Apple School Manager, viene generato automaticamente un ID persona per l'account utente in questione.
Importante: L’ID persona non viene generato automaticamente per gli account utente importati tramite SFTP poiché questi ID vengono creati nei file .csv caricati su Apple School Manager. Se ti disconnetti da Google Workspace, Microsoft Entra ID o dal tuo IDP e carichi di nuovo gli utenti, verranno creati nuovi utenti a meno che l’ID persona nel file .csv non corrisponda all’ID persona inizialmente assegnato dalla sincronizzazione directory iniziale. Consulta Caricare dati del Sistema Informativo Studenti.
Se modifichi l’ID persona in Apple School Manager per un account utente precedentemente sincronizzato, tale account utente non viene più abbinato a Google Workspace, Microsoft Entra ID o al tuo IdP. Se desideri ricollegare l’account utente, devi risolvere il conflitto dell’ID persona.