Requisiti della sincronizzazione di Azure AD con Apple School Manager
Puoi usare il Sistema per gestione di identità fra domini (SCIM) per importare gli utenti in Apple School Manager. Questo sistema consente di unire le proprietà di Apple School Manager (come livello di istruzione e ruoli) ai dati degli account degli utenti importati da Microsoft Azure Active Directory (Azure AD). Quando importi gli utenti con SCIM, le informazioni dell’account vengono aggiunte in sola lettura finché non ti disconnetti da SCIM. A quel punto, gli account diventano manuali e gli attributi all’interno di questi account possono essere modificati. La sincronizzazione iniziale richiede più tempo di quelle successive, che avvengono approssimativamente ogni 40 minuti quando il servizio di provisioning relativo ad Azure AD è attivo. Consulta Suggerimenti per il provisioning sul sito web della documentazione di Microsoft Azure.
Privilegi di Azure AD
I seguenti ruoli in Azure AD possono usare SCIM per sincronizzare gli account su Apple School Manager:
Amministratore/amministratrice dell’applicazione
Amministratore/amministratrice dell’applicazione Cloud
Proprietario/a dell’applicazione
Amministratore/amministratrice globale
Consulta Ruoli predefiniti di Azure AD sul sito web Microsoft Azure AD.
Tenant di Azure AD
Per utilizzare SCIM con Apple School Manager, la tua organizzazione non deve avere lo stesso tenant di Azure AD di qualsiasi altra organizzazione di Apple School Manager. Se desideri utilizzare SCIM per la tua organizzazione, contatta l’amministratore/amministratrice Azure AD per assicurarti che il tuo tenant di Azure AD per SCIM non sia utilizzato da altre organizzazioni di
Gruppi di Azure AD
In Azure AD, entrambi i metodi di sincronizzazione utilizzano il termine Gruppi, ma solo gli account degli utenti vengono sincronizzati. Puoi aggiungere gruppi di Azure AD all’app Apple School Manager Azure AD. Ad esempio, se in Azure AD sono presenti gruppi denominati Membri dello staff, Docenti e Studenti, puoi aggiungere questi tre gruppi all’app Apple School Manager Azure AD. Quando ti connetti utilizzando SCIM, solo gli account presenti in questi gruppi vengono sincronizzati con Apple School Manager.
Nota: i sottogruppi non sono supportati nell’app Apple School Manager Azure AD.
Ambito del provisioning
Puoi sincronizzare gli account da Azure AD a Apple School Manager in due modi.
Sincronizza solo gli utenti e i gruppi assegnati: questa opzione sincronizza solo gli account visualizzati nell’app Azure AD di Apple School Manager su Apple School Manager. Quando utilizzi questo metodo di sincronizzazione, gli account Azure AD devono avere il ruolo di Utente per essere sincronizzati in Apple School Manager.
Sincronizza tutti gli utenti e i gruppi: questa opzione sincronizza tutti gli account (la sincronizzazione dei gruppi non è supportata) visualizzati nella scheda Utente Azure AD con Apple School Manager e crea ID Apple gestiti per tutti gli account Azure AD associati, anche se avevi intenzione di utilizzare solo un determinato numero di account.
Consulta gli articoli del supporto Microsoft Che cos’è il provisioning di app Azure Active Directory? e Provisioning dell’applicazione basato su attributi con filtri per la definizione dell’ambito.
Notifiche del provisioning
Quando configuri il provisioning, devi usare l’indirizzo email di un utente con ruolo di Amministratore/Amministratrice, Responsabile sede o Responsabile persone affinché questi ruoli possano ricevere le notifiche da Azure AD.
SCIM e autenticazione con account associato
Se l’autenticazione con account associato è già attiva al momento dell’invio degli account Azure AD a Apple School Manager, anche se non viene visualizzata alcuna attività, gli account vengono comunque sincronizzati con il dominio associato.
Azure AD è l’identity provider (IdP) che autentica l’utente per Apple School Manager ed emette i token di autenticazione. Dato che Apple School Manager supporta Azure AD, funzioneranno anche gli altri identity provider che si connettono ad Azure AD, come Active Directory Federated Services (ADFS). L’autenticazione con account associato usa il Security Assertion Markup Language (SAML) per connettere Apple School Manager ad Azure AD.
Account utente Azure AD e Apple School Manager
Quando un utente viene copiato da Azure AD tramite SCIM su Apple School Manager, il ruolo predefinito è Studente. Al termine della sincronizzazione, è possibile modificare i seguenti attributi utente:
Ruoli.
Livello di istruzione.
Nome utente del Sistema Informativo Studenti (SIS).
Questi attributi vengono salvati con l’account utente in Apple School Manager e non vengono registrati di nuovo su Azure AD.
Mappatura degli attributi utente SCIM
Quando un account viene copiato da Azure AD a Apple School Manager tramite SCIM, vengono salvati i seguenti attributi utente in sola lettura. La tabella indica anche se l’attributo utente è obbligatorio.
Importante: l’aggiunta di attributi non elencati nella tabella causa l’interruzione della connessione SCIM.
Attributi utente di Azure AD | Attributi utente di Apple School Manager | Obbligatorio |
---|---|---|
Nome | Nome | |
Cognome | Cognome | |
Nome utente principale | ID Apple gestito e indirizzo email | |
ID oggetto | (non visualizzato in Apple School Manager. Questo attributo viene utilizzato per identificare gli account in conflitto.) | |
Dipartimento | Dipartimento | |
ID dipendente | Numero della persona | |
Attributo personalizzato (deve essere creato nell’app Azure AD di Apple School Manager) | Centro costi | |
Attributo personalizzato (deve essere creato nell’app Azure AD di Apple School Manager) | Divisione |
Nome utente principale
Se un utente ha un nome utente principale (UPN) esattamente uguale a un utente esistente di Apple School Manager con il ruolo di Amministratore, Responsabile sede o Responsabile persone, non viene eseguita la sincronizzazione e il campo origine rimane invariato. Questo avviene indipendentemente dal metodo di sincronizzazione usato originariamente (SIS o SFTP).
ID persona
Quando viene sincronizzato un utente Azure AD con Apple School Manager, viene creato un ID persona per l’account utente Apple School Manager. L’ID persona e l’ID oggetto vengono utilizzati per identificare gli account utente in conflitto.
L’ID persona viene generato automaticamente per gli utenti importati tramite SCIM o l'integrazione del Sistema Informativo Studenti (SIS), ma non viene generato automaticamente per gli utenti importati tramite SFTP.
Se la connessione SCIM è stata interrotta e SFTP viene utilizzato per caricare nuovamente gli utenti, verranno creati nuovi utenti a meno che l’ID persona nel file di caricamento SFTP non corrisponda all’ID persona assegnato da SCIM. Consulta Importare gli account tramite SFTP.
Se modifichi un ID persona per un account precedentemente importato da SCIM, tale account non viene più abbinato ad Azure AD. Se hai modificato l’ID persona di un account precedentemente importato da SCIM e desideri riconnettere l’account a SCIM, consulta Risolvere i conflitti degli account utente SCIM.
Suggerimenti
Devi utilizzare solo l’app Apple School Manager Azure AD quando ti connetti con SCIM.
Se hai verificato un dominio ma non hai attivato l’autenticazione con account associato, prima di poterla attivare è necessario verificare che gli utenti Azure AD siano stati inviati a Apple School Manager. Puoi eseguire questa operazione visualizzando i registri di provisioning relativi ad Azure AD. Una volta verificato l’invio degli utenti Azure AD, dopo aver attivato l’autenticazione con account associato riceverai una notifica da un’attività che ti avviserà dell’avvenuto provisioning degli utenti Azure AD. Se l’autenticazione con account associato è già attiva al momento dell’invio degli utenti Azure AD, anche se non viene visualizzata alcuna attività, gli utenti vengono comunque sincronizzati.
Se hai configurato un gruppo in Azure AD, anziché aggiungere ciascun utente, puoi aggiungere tale gruppo all’app Azure AD di Apple School Manager.
Importante: non riutilizzare un nome utente per 120 giorni nell’app Azure AD di Apple School Manager.
Prima di iniziare
Prima di iniziare, esegui le seguenti operazioni:
Disconnettiti dal Sistema Informativo Studenti (SIS) o interrompi i caricamenti con SFTP.
Configurare e verificare il dominio che intendi usare. Consulta Collegarsi a nuovi domini.
Configurare (senza attivare) l’autenticazione con account associato. Consulta Attivare e verificare l’autenticazione con account associato.
Nota: anche se l’autenticazione con account associato è già attiva, puoi comunque procedere. Consulta i suggerimenti riportati nella sezione precedente.
Stabilisci il tipo di sincronizzazione in Azure AD e, se necessario, crea gruppi per sincronizzare solo gli account assegnati all’app Azure AD di Apple School Manager:
Sincronizza solo gli utenti assegnati.
Sincronizza tutti gli utenti.
Contatta un amministratore/un’amministratrice Azure AD che dispone dei permessi per modificare le applicazioni Enterprise. Quando siete entrambi pronti, consultate Usare SCIM per importare gli utenti.