Apple School Managerでのディレクトリの同期について
Apple School ManagerでOpenID Connect(OIDC)を使用すると、以下の場所のユーザアカウントを同期できます。
Google Workspace
Microsoft Entra ID
利用しているIDプロバイダ(IdP)
IdPによっては、クロスドメインID管理システム(SCIM)経由でも同期できます。
注記: Google Workspace、Microsoft Entra ID、IdPと同期できますが、同時に同期できるのは1つのみです。
開始する前に
Google Workspace、Microsoft Entra ID、またはIdPと同期する前に、以下の事項を考慮してください。
ユーザグループの同期はサポートされていません。
必要条件
必要に応じて、ドメインを手動で確認します。「ドメインを追加し、確認する」を参照してください。
Federated Authenticationをオンにする必要があります。こちらでFederated Authenticationについて、ご確認ください。
Google Workspace、Microsoft Entra ID、または別のIdPの設定を編集する権限のある管理者に連絡します。
Student Information System(SIS)との接続を解除するか、SFTPを使用したアップロードを停止する。
Apple School Managerで管理対象Apple Accountに使用する属性は、一意である必要があります。通常は、ユーザのメールアドレスを使用します。ユーザが、Apple School Managerで管理者の役割を持つ既存のユーザとまったく同じ属性を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。
初期接続を設定する際は、管理者、サイトマネージャ、ユーザマネージャの役割を持つユーザのメールアドレスを使って、それらのユーザが同期対象のGoogle Workspace、Microsoft Entra ID、または別のIdPからの通知を受け取れるようにする必要があります。
IdP固有の要件
Microsoft Entra IDにリンクする場合:
Apple School ManagerでOIDCを使用するには、組織に他のApple School Manager組織と同じMicrosoft Entra IDテナントが含まれていてはいけません。組織でOIDCを使用したい場合は、Microsoft Entra IDのグローバル管理者に連絡し、他の組織がOIDCで同じEntra IDテナントを使用していないことを確認してください。
ユーザアカウントが、管理者、サイトマネージャ、またはユーザマネージャの役割を持つ既存のユーザアカウントとまったく同じユーザプリンシパル名(UPN)を持っている場合は、同期が実行されず、ソースのフィールドは変更されません。これは、最初に使用した同期方法(SISまたはSFTP)に関係なく発生します。
Google WorkspaceまたはMicrosoft Entra ID以外のIdPにリンクする場合は、以下の情報を用意してください。
ユーザの一意の識別子フィールド:通常、この属性の値はユーザのメールアドレスです。これを使用してユーザの管理対象Apple Accountが作成されます。たとえば「userName」などです。
認証方法:SAML 2.0。
認証モード:OAuth 2。
シングルサインオンURL:IdPのマニュアルを参照してください。
認可コールバックURL:IdPのマニュアルを参照してください。
自動的な変更
ユーザアカウントに対する変更をモニターして、それらの変更を自動的にApple School Managerに同期する。
注記: SFTPを使用したApple School Managerへのファイルアップロードは、自動的な同期に対応していません。
管理対象Apple Accountは、対応するユーザアカウントがGoogle Workspace、Microsoft Entra ID、またはIdPで削除されると自動的に削除されます。
Apple School Managerに同期されたユーザアカウントには、デフォルトで生徒の役割が割り当てられます。同期が完了すると、次のユーザアカウント属性を編集できます。
役割
学年
Student Information System(SIS)のユーザ名
これらの属性はApple School Managerのユーザアカウントに保存されます。Google Workspace、Microsoft Entra ID、IdPに書き戻されることはありません。
同期されるアカウント情報は、同期を無効にするまで、読み取り専用として追加されます。その際、アカウントは手動アカウントになり、アカウントの属性(ユーザ名など)が編集できるようになります。
注記: 初回の同期には、それ以降のサイクルでの同期よりも長い時間がかかります。IdPのマニュアルを参照して、ユーザ同期が実行される頻度を確認してください。
ユーザIDについて
OIDCまたはSISを使用してユーザアカウントが最初にApple School Managerに同期されたときは、アカウントの競合を識別するため、そのユーザアカウントのユーザIDが自動的に生成されます。
重要: SFTPを使用してユーザアカウントをインポートした場合は自動的に生成されません。それらのIDは、Apple School Managerにアップロードされるファイルの中に作成されるためです。Google Workspace、Microsoft Entra ID、IdPとの接続を解除してユーザをもう一度アップロードした場合は、SFTPアップロードファイル内のユーザIDと、ディレクトリの最初の同期によって当初に割り当てられたユーザIDが一致していない限り、新しいユーザが作成されます。「Student Information Systemデータのアップロード」を参照してください。
以前に同期されたユーザアカウントのユーザIDをApple School Managerで変更すると、そのユーザアカウントはGoogle Workspace、Microsoft Entra ID、IdPと同期されなくなります。ユーザアカウントを再接続する場合は、ユーザIDの競合を解決する必要があります。