Apple School ManagerでSCIMを使用するための必要条件を確認する
クロスドメインID管理システム(SCIM)を使用して、Apple School Managerにユーザをインポートすることができます。SCIMを使用すると、Apple School Managerのクラスや役割などのプロパティが、Microsoft Azure Active Directory(Azure AD)からインポートしたアカウントデータに統合されます。SCIMを使用してユーザをインポートすると、SCIMとの接続が解除されるまで、アカウント情報は読み取り専用としてApple School Managerに追加されます。その際、アカウントは手動アカウントになり、アカウントの属性が編集できるようになります。最初の同期には、その後の同期(Azure ADのプロビジョニングサービスが実行されている限り、約40分毎のサイクルで実行される)よりも時間がかかります。Microsoftサポート記事「Microsoft Azure Active DirectoryのSCIMプロビジョニングを構成する」の中のプロビジョニングのヒントを参照してください。
Azure ADの権限
SCIMを使用してアカウントをApple School Managerに同期できるAzure ADの役割は次の通りです:
アプリケーション管理者
クラウドアプリケーション管理者
アプリケーション所有者
グローバル管理者
Microsoftサポート記事「Azure Active Directoryでの管理者ロールのアクセス許可」を参照してください。
複数の組織
Apple School Managerでは、複数の組織がSCIMに同じAzure ADのテナントを使用することに対応していません。組織でSCIMを使用したい場合は、Azure AD管理者に連絡し、他のApple School Manager組織がSCIMでAzure ADテナントを使用していないことを確認してください。
Azure ADのグループ
Azure ADでは、どちらの同期の方法にもグループという言葉が使われますが、Apple School Managerにグループという概念はありません。同期されるのはユーザアカウントだけです。Apple School ManagerのAzure AD Appには、Azure ADのグループを追加できます。たとえば、Azure ADに「職員」「講師」「生徒」という名前のグループがあった場合、この3つのグループをApple School ManagerのAzure AD Appに追加できます。SCIMを使用して接続すると、それらのグループに入っているアカウントだけがApple School Managerに同期されます。
注記: Apple School ManagerのAzure AD Appは、サブグループには対応していません。
プロビジョニングスコープ
Azure ADからApple School Managerにアカウントを同期する方法は2つあります。管理者やサイトマネージャの役割を持つアカウントと同一のユーザプリンシパル名(UPN)を持つユーザアカウントを同期しようとすると、方法にかかわりなく同期は行われず、それらのアカウントのソースがSCIMに変更されることはありません。
割り当てられたユーザとグループのみ同期する:このオプションでは、Apple School ManagerのAzure AD Appで表示されるアカウントのみが、Apple School Managerに同期されます。この同期方法を使用する場合は、Azure ADアカウントに、Apple School Managerに同期できる「ユーザ」の役割が設定されている必要があります。
すべてのユーザとグループを同期する:このオプションでは、Azure ADの「ユーザー」タブに表示されるすべてのアカウント(グループを同期することはできません)がApple School Managerに同期され、連携されたAzure ADの全アカウントに管理対象Apple IDが作成されます(特定の数のアカウントのみを使用する場合でも、全アカウントに対して作成されます)。
Microsoftサポート記事「Azure ADでのアプリケーションに対するユーザープロビジョニングとプロビジョニング解除を自動化する」および「スコープフィルターを使用した属性ベースのアプリケーションプロビジョニング」を参照してください。
プロビジョニングの通知
プロビジョニングを設定する際は、Apple School Managerの管理者、サイトマネージャ、ユーザマネージャのメールアドレスを使って、彼らがAzure ADからの通知を受け取れるようにする必要があります。
SCIMとFederated Authentication
連携がすでに有効になっている状態でAzure ADのアカウントをApple School Managerに送信すると、アクティビティは表示されませんが、アカウントは連携されたドメインと引き続き同期されます。
Azure ADはIDプロバイダ(IdP)で、Apple School Managerのユーザを認証し、認証トークンを発行するために使用します。Apple School ManagerはAzure ADに対応しているため、Active Directory Federated Services(ADFS)など、Azure ADに接続するその他のIdPもApple School Managerに使用できます。Federated Authenticationは、セキュリティ・アサーション・マークアップ言語(SAML)を使用して、Apple School Managerを Azure ADに接続します。
Azure ADアカウントとApple School Managerの役割
SCIMを使用してアカウントをAzure ADからApple School Managerにコピーすると、デフォルトの役割は生徒になります。同期が完了すると、次のユーザ属性を編集できます:
役割
学年
Student Information System(SIS)のユーザ名
上記の属性はApple School Managerのアカウントに保存され、Azure ADに書き戻されることはありません。
SCIMによるユーザの属性のマッピング
SCIMを使用してアカウントをAzure ADからApple School Managerにコピーすると、以下のユーザ属性が読み取り専用として保存されます。この表では、各ユーザ属性が必須かどうかも示しています。
重要: この表にない属性を追加すると、SCIM接続が使用できなくなります。
Azure ADのユーザ属性 | Apple School Managerのユーザ属性 | 必須 |
|---|---|---|
名 | 名 | はい |
姓 | 姓 | はい |
ユーザプリンシパル名 | 管理対象Apple IDとメールアドレス | はい |
オブジェクトID | (Apple School Managerには表示されません。この属性は競合するアカウントを識別するために使用されます) | はい |
部署 | 部署 | いいえ |
社員ID | ユーザ番号 | いいえ |
カスタム属性(Apple School ManagerのAzure AD Appで作成する必要があります) | コストセンター | いいえ |
カスタム属性(Apple School ManagerのAzure AD Appで作成する必要があります) | 部門 | いいえ |
Azure ADのアカウントがApple School Managerに同期されると、Apple School ManagerのアカウントにユーザIDが作成されます。ユーザIDとオブジェクトIDは、競合するアカウントを識別するために使用されます。「ユーザIDの用途」を参照してください。
推奨事項
SCIMに接続する際は、Apple School ManagerのAzure AD Appのみを使用する必要があります。
検証済みのドメインはあるものの、Federated Authenticationを有効にしていない場合は、Azure ADのアカウントがApple School Managerに送信済みであることを確認してから、連携を有効にする必要があります。これは、Azure ADのプロビジョニングログで確認できます。Azure ADのアカウントがApple School Managerに送信済みであることを確認した後で連携を有効にすると、Apple School ManagerでAzure ADのアカウントがプロビジョニングされたというアクティビティの通知が届きます。
Azure ADでグループを構成している場合は、ユーザを個別に追加するのではなく、そのグループをApple School ManagerのAzure AD Appに追加することができます。
重要: Apple School ManagerのAzure AD Appで、120日間はユーザ名の再利用をしないでください。
開始する前に
開始する前に、以下を行う必要があります:
Student Information System(SIS)との接続を解除するか、SFTPを使用したアップロードを停止する。
使用するドメインを構成し、確認する。「新しいドメインにリンクする」を参照してください。
Federated Authenticationを設定する(ただし、有効にはしない)。「Federated Authenticationを有効にしてテストする」を参照してください。
注記: Federated Authenticationがすでに有効になっているとしても、プロセスを続けることはできます。前のセクションにある推奨事項を参照してください。
Azure ADで実行する同期の種類を決定し、必要に応じて、割り当てられたアカウントのみをApple School ManagerのAzure AD Appに同期するためのグループを作成します:
割り当てられたユーザのみ同期する.
すべてのユーザを同期する.
エンタープライズアプリケーションを編集する権限のある、Azure ADの管理者に同席してもらいます。Azure ADの管理者と共に準備ができたら、「SCIMを使用してユーザをインポートする」を参照してください。
重要: 4カレンダー日以内に Azure ADへのトークンの転送を完了し接続を確立できないと、このプロセスをやり直す必要があります。