Apple School Managerでのディレクトリの同期について
ディレクトリ同期は、Apple School ManagerのデータをIDプロバイダ(IdP)と最新の状態に保つのに役立ちます。ディレクトリ同期を使用すると、Apple School ManagerはIdPから自動的に通知を受け、次の場合に情報を更新できます。
新しいユーザアカウントが作成された
ユーザアカウント情報が変更された
ユーザアカウントが削除された
Apple School ManagerでOpenID Connect(OIDC)を使用すると、以下の場所のユーザアカウントを同期できます(ただし、一度に1つのみ)。
Google Workspace
Microsoft Entra ID
IdP
IdPによっては、クロスドメインID管理システム(SCIM)経由でも同期できます。
開始する前に
Google Workspace、Microsoft Entra ID、またはIdPと同期する前に、以下の事項を考慮してください。
ユーザグループの同期はサポートされていません。
初回の同期には、それ以降のサイクルでの同期よりも長い時間がかかります。IdPのマニュアルを参照して、ユーザ同期が実行される頻度を確認してください。
必要条件
必要に応じて、ドメインを手動で確認します。「ドメインを追加し、確認する」を参照してください。
Federated Authenticationをオンにする必要があります。「Federated Authenticationについて」を参照してください。
Google Workspace、Microsoft Entra ID、または別のIdPの設定を編集する権限のある管理者に連絡します。
Student Information System(SIS)との接続を解除するか、SFTPを使用したアップロードを停止する。
Apple School Managerで管理対象Apple Accountに使用する属性は、一意である必要があります。通常は、ユーザのメールアドレスを使用します。ユーザが、Apple School Managerで管理者の役割を持つ既存のユーザとまったく同じ属性を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。
初期接続を設定する際は、管理者、サイトマネージャ、ユーザマネージャの役割を持つユーザのメールアドレスを使って、それらのユーザが同期対象のGoogle Workspace、Microsoft Entra ID、または別のIdPからの通知を受け取れるようにする必要があります。
IdP固有の要件
Microsoft Entra IDにリンクする場合:
Apple School ManagerでOIDCを使用するには、組織に他のApple School Manager組織と同じMicrosoft Entra IDテナントを含めることはできません。組織でOIDCを使用したい場合は、Microsoft Entra IDのグローバル管理者に連絡し、他の組織がOIDCで同じEntra IDテナントを使用していないことを確認してください。
ユーザアカウントが、管理者、サイトマネージャ、またはユーザマネージャの役割を持つ既存のユーザアカウントとまったく同じユーザプリンシパル名(UPN)を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。これは、最初に使用した同期方法(SISまたはSFTP)に関係なく発生します。
Google WorkspaceまたはMicrosoft Entra ID以外のIdPにリンクする場合は、以下の情報を用意してください。
ユーザの一意の識別子フィールド:通常、この属性の値はユーザのメールアドレスです。これを使用してユーザの管理対象Apple Accountが作成されます。たとえば「userName」などです。
認証方法:SAML 2.0。
認証モード:OAuth 2。
シングルサインオンURL:IdPのマニュアルを参照してください。
認可コールバックURL:IdPのマニュアルを参照してください。
自動的な変更
アカウント作成
ディレクトリ同期が設定されると、ユーザアカウントはApple School Managerに同期され、生徒の役割が割り当てられます。同期されたアカウント情報は読み取り専用として追加されますが、ユーザアカウントの役割、学年、Student Information System(SIS)ユーザ名の属性は編集できます。これらの属性はApple School Managerのユーザアカウントに保存されます。Google Workspace、Microsoft Entra ID、IdPに書き戻されることはありません。
注記: SFTPを使用したApple School Managerへのファイルアップロードは、自動的な同期に対応していません。
Federated Authenticationをオフにすると、アカウントは手動アカウントになり、これらのアカウントの属性(ユーザ名など)を編集できるようになります。
アカウントの変更
ディレクトリ同期は、同期された属性の変更をモニターし、Apple School Managerで自動的に更新します。これらの変更が同期される間隔はIdPによって異なります。
アカウントの削除
Google Workspace、Microsoft Entra ID、またはIdPでユーザアカウントが削除されると、Apple School Manager内の対応するアカウントが無効化され、削除対象としてフラグが付けられます。無効化されたアカウントはデバイスからログアウトされ、再度サインインすることはできません。アカウントが120日以内に再度同期されない限り、そのアカウントは自動的に削除されます。
ユーザIDについて
OIDCまたはSISを使用してユーザアカウントが最初にApple School Managerに同期されたときは、アカウントの競合を識別するため、そのユーザアカウントのユーザIDが自動的に生成されます。
重要: SFTPを使用してユーザアカウントをインポートした場合、ユーザIDは自動的に生成されません。それらのIDは、Apple School Managerにアップロードされる.csvファイルの中に作成されるためです。Google Workspace、Microsoft Entra ID、IdPとの接続を解除してユーザをもう一度アップロードした場合は、.csvファイル内のユーザIDと、ディレクトリの最初の同期によって当初に割り当てられたユーザIDが一致していない限り、新しいユーザが作成されます。「Student Information Systemデータのアップロード」を参照してください。
以前に同期されたユーザアカウントのユーザIDをApple School Managerで変更すると、そのユーザアカウントはGoogle Workspace、Microsoft Entra ID、IdPと同期されなくなります。ユーザアカウントを再接続する場合は、ユーザIDの競合を解決する必要があります。