Introduzione alla sincronizzazione directory con Apple School Manager
Puoi utilizzare OpenID Connect (OIDC) con Apple School Manager per sincronizzare gli account utente da quanto segue:
Google Workspace
Microsoft Entra ID
Il tuo Identity provider (IdP)
Alcuni IdP possono anche usare un Sistema per gestione di identità fra domini (SCIM)
Nota: Puoi effettuare la sincronizzazione con Google Workspace, Microsoft Entra ID o il tuo IdP, ma solo uno alla volta.
Prima di iniziare
Prima di utilizzare di effettuare la sincronizzazione con Google Workspace, Microsoft Entra ID o il tuo IdP, considera quanto segue:
la sincronizzazione dei gruppi di utenti non è supportata.
Requisiti
Se necessario, verifica manualmente un dominio. Consulta Aggiungere e verificare un dominio.
Devi attivare l'autenticazione con account associato. Consulta Introduzione all’autenticazione con account associato.
Effettua una chiamata a un amministratore con le autorizzazioni per modificare le impostazioni di Google Workspace, Microsoft Entra ID o un altro IdP.
Disconnettiti dal Sistema Informativo Studenti (SIS) o interrompi i caricamenti con SFTP.
Apple School Manager richiede che l’attributo utilizzato per l’Apple Account gestito sia univoco. Generalmente si tratta dell’indirizzo email dell’utente. Se un/una utente ha un attributo esattamente uguale ad altri utenti esistenti di Apple School Manager con il ruolo di amministrazione, non viene eseguita la sincronizzazione e il campo sorgente rimane invariato.
Quando configuri la connessione iniziale, devi usare l’indirizzo email dell’utente con ruolo di amministrazione, responsabile sede o responsabile persone affinché questi possa ricevere le notifiche da Google Workspace, Microsoft Entra ID o da altri IdP di cui stai effettuando la sincronizzazione.
Requisiti specifici per IdP
In caso di collegamento a Microsoft Entra ID:
Per utilizzare OIDC con Apple School Manager, la tua organizzazione non deve avere lo stesso tenant di Microsoft Entra ID di qualsiasi altra organizzazione di Apple School Manager. Se desideri utilizzare OIDC per la tua organizzazione, contatta l’Amministratore globale di Microsoft Entra ID per verificare che nessun’altra organizzazione utilizzi il tuo tenant di Entra ID per OIDC.
Se un account utente ha un nome utente principale (UPN) esattamente uguale a un account utente esistente con il ruolo di amministrazione, responsabile sede o responsabile persone, non viene eseguita la sincronizzazione e il campo origine rimane invariato. Questo avviene indipendentemente dal metodo di sincronizzazione usato originariamente (SIS o SFTP).
In caso di collegamento a un IdP diverso da Google Workspace o Microsoft Entra ID, occorrono le seguenti informazioni:
Campo dell’identificatore univoco per utenti: il valore di questo attributo è generalmente l’indirizzo email dell’utente. Consente di creare l’Apple Account gestito dell'utente. Ad esempio può essere userName.
Metodo di autenticazione: SAML 2.0.
Modalità di autenticazione: OAuth 2.
URL del servizio Single Sign-On: consulta la documentazione del tuo IdP.
URL di richiamo dell’autorizzazione: consulta la documentazione del tuo IdP.
Modifiche automatiche
Consente di monitorare le modifiche all'account utente e sincronizza in automatico le modifiche in Apple School Manager.
Nota: Il caricamento di file su Apple School Manager mediante Secure File Transfer Protocol (SFTP) non supporta la sincronizzazione automatica.
Consente di rimuovere in automatico gli Apple Account gestiti in caso di eliminazione degli account utente corrispondenti in Google Workspace, Microsoft Entra o nel tuo IdP.
Quando viene eseguita la sincronizzazione di un account utente ad Apple School Manager, il ruolo predefinito è Studente/studentessa. Al termine della sincronizzazione, è possibile modificare i seguenti attributi dell’account utente:
Ruoli
Livello di istruzione.
Nome utente del Sistema Informativo Studenti (SIS).
Questi attributi vengono salvati con l’account utente in Apple School Manager e non vengono registrati di nuovo su Google Workspace, Microsoft Entra ID, o sul tuo IdP.
Le informazioni dell’account sincronizzato vengono aggiunte in sola lettura finché non disattivi la sincronizzazione. A quel punto, gli account diventano manuali e gli attributi all’interno di questi account (come ad esempio i nomi utente) possono essere modificati.
Nota: La sincronizzazione iniziale richiede più tempo di quelle successive. Per conoscere la frequenza con cui avviene la sincronizzazione degli utenti, consulta la documentazione del tuo IdP.
Informazioni sull'ID persona
Per identificare gli account in conflitto, quando un account utente viene inizialmente sincronizzato mediante OIDC o SIS ad Apple School Manager, viene generato automaticamente un ID persona per l'account utente in questione.
Importante: L'ID persona non viene generato automaticamente per gli account utente importati tramite Secure File Transfer Protocol (SFTP) poiché questi ID vengono creati nei file caricati su Apple School Manager. Se ti disconnetti da Google Workspace, Microsoft Entra ID o dal tuo IDP e carichi di nuovo gli utenti, verranno creati nuovi utenti a meno che l’ID persona nel file di caricamento SFTP non corrisponda all’ID persona inizialmente assegnato dalla sincronizzazione directory iniziale. Consulta Caricare dati del Sistema Informativo Studenti.
Se modifichi l'ID persona in Apple School Manager per un account utente precedentemente sincronizzato, tale account utente non viene più abbinato a Google Workspace, Microsoft Entra ID o al tuo IdP. Se desideri ricollegare l'account utente, devi risolvere il conflitto dell'ID persona.