Inleiding tot directory-synchronisatie met Apple School Manager
Als je de directory synchroniseert, kun je de gegevens in Apple School Manager up-to-date houden met je identiteitsprovider (IdP). Dankzij directory-synchronisatie wordt Apple School Manager automatisch op de hoogte gesteld door je IdP en kan de informatie worden bijgewerkt wanneer het volgende gebeurt:
Er is een nieuwe gebruiker aangemaakt
Gebruikersaccountgegevens zijn gewijzigd
Er is een gebruikersaccount verwijderd
Je kunt OpenID Connect (OIDC) gebruiken met Apple School Manager om gebruikersaccounts te synchroniseren van (maar slechts één tegelijk):
Google Workspace
Microsoft Entra ID
Je IdP
Sommige IdP's kunnen ook System for Cross-domain Identity Management (SCIM) gebruiken
Voordat je aan de slag gaat
Voordat je synchroniseert met Google Workspace, Microsoft Entra ID of je IdP, moet je het volgende overwegen:
Het synchroniseren van gebruikersgroepen wordt niet ondersteund.
De eerste synchronisatie duurt langer dan de volgende cycli. Raadpleeg de documentatie van je IdP om te weten te komen hoe vaak ze gebruikers synchroniseren.
Vereisten
Verifieer indien nodig een domein handmatig Zie Een domein toevoegen en verifiëren.
Je moet gefedereerde authenticatie inschakelen. Raadpleeg Inleiding tot gefedereerde authenticatie.
Laat een beheerder met bevoegdheden om instellingen voor Google Workspace, Microsoft Entra ID of een andere IdP te bewerken op stand-by staan.
Verbreek de verbinding met je studenteninformatiesysteem (SIS) of stop met uploaden met SFTP.
Voor Apple School Manager moet het kenmerk dat wordt gebruikt voor de Beheerde Apple Account uniek zijn. Dit is doorgaans het e‑mailadres van de gebruiker. Als een gebruiker een kenmerk heeft dat precies hetzelfde is als een bestaande Apple School Manager-gebruiker met de rol beheerder, wordt er geen synchronisatie uitgevoerd en blijft het bronveld ongewijzigd.
Als je de initiële verbinding configureert, moet je het e-mailadres gebruiken van een gebruiker met de rol van beheerder, systeembeheerder of personenmanager zodat deze meldingen kan ontvangen van Google Workspace, Microsoft Entra ID of een andere IdP waarmee je synchroniseert.
Voor IdP specifieke vereisten
In geval van een koppeling met Microsoft Entra ID:
Als je OIDC wilt gebruiken met Apple School Manager, mag je organisatie niet dezelfde Microsoft Entra ID-tenant hebben als een andere Apple School Manager-organisatie. Als je OIDC voor je organisatie wilt gebruiken, neem dan contact op met je algemene beheerder van Microsoft Entra ID om ervoor te zorgen dat er geen andere organisatie is die je Entra ID-tenant gebruikt voor OIDC.
Als een gebruikersaccount een User Principal Name (UPN) heeft die precies hetzelfde is als een bestaande gebruikersaccount die de rol beheerder, systeembeheerder of personenmanager heeft, wordt er geen synchronisatie uitgevoerd en blijft het bronveld ongewijzigd. Dit gebeurt ongeacht de oorspronkelijk gebruikte synchronisatiemethode (SIS of SFTP).
Als je een koppeling maakt met een andere IdP dan Google Workspace of Microsoft Entra ID, moet je over de volgende informatie beschikken:
Veld Unieke identificatie voor gebruikers: de waarde van dit kenmerk is doorgaans het e‑mailadres van de gebruiker. Dit wordt gebruikt om de Beheerde Apple Account van de gebruiker aan te maken. Dit kan bijvoorbeeld userName zijn.
Authenticatiemethode: SAML 2.0.
Authenticatiemodus: OAuth 2.
URL voor Single Sign-On: raadpleeg de documentatie van je IdP.
Autorisatie van callback-URL: raadpleeg de documentatie van je IdP.
Automatische wijzigingen
Account aanmaken
Wanneer directory-synchronisatie wordt geconfigureerd, worden gebruikersaccounts gesynchroniseerd naar Apple School Manager en wordt de rol van leerling toegewezen. De gesynchroniseerde accountgegevens worden toegevoegd als alleen-lezen, maar de kenmerken 'Rollen', 'Onderwijsniveau' en 'Studenteninformatiesysteem' van een gebruikersaccount kunnen worden gewijzigd. Deze kenmerken worden met de gebruikersaccount bewaard in Apple School Manager en worden niet teruggeschreven naar Google Workspace, Microsoft Entra ID of je IdP.
Opmerking: Bestandsuploads naar Apple School Manager met SFTP ondersteunen geen automatische synchronisatie.
Wanneer gefedereerde authenticatie is uitgeschakeld, worden accounts handmatige accounts en kunnen de kenmerken van deze accounts (zoals gebruikersnamen) vervolgens worden gewijzigd.
Accountaanpassing
Met directory-synchronisatie worden wijzigingen aan de gesynchroniseerde kenmerken bijgehouden en automatisch bijgewerkt in Apple School Manager. De interval waarmee deze wijzigingen worden gesynchroniseerd, is afhankelijk van de IdP.
Accountverwijdering
Wanneer een gebruikersaccount wordt verwijderd in Google Workspace, Microsoft Entra ID of je IdP, wordt de overeenkomende account in Apple School Manager gedeactiveerd en gemarkeerd voor verwijdering. Een gedeactiveerde account wordt uitgelogd bij apparaten en kan niet opnieuw worden ingelogd. Als de account niet binnen 120 dagen opnieuw wordt gesynchroniseerd, wordt deze automatisch verwijderd.
Informatie over de Persoons-ID
Om conflicterende accounts te identificeren, wordt bij de eerste synchronisatie van een gebruikersaccount met OIDC of SIS naar Apple School Manager automatisch een Persoons-ID gegenereerd voor die gebruikersaccount.
Belangrijk: De persoons-ID wordt niet automatisch gegenereerd voor gebruikersaccounts die met SFTP worden geïmporteerd, omdat die ID's worden gemaakt in de csv ‑bestanden die naar Apple School Manager worden geüpload. Als je de verbinding met Google Workspace, Microsoft Entra ID of je IdP verbreekt en gebruikers opnieuw uploadt, worden nieuwe gebruikers aangemaakt, tenzij de persoons-ID in de csv ‑bestanden overeenkomt met de persoons-ID die is toegewezen door de initiële directory-synchronisatie. Raadpleeg Gegevens van het studenteninformatiesysteem uploaden.
Als je in Apple School Manager de persoons-ID wijzigt voor een gebruikersaccount die is gesynchroniseerd, wordt die gebruikersaccount niet meer gekoppeld aan Google Workspace, Microsoft Entra ID of je IdP. Als je de gebruikersaccount opnieuw wilt verbinden, moet je het conflict met de persoons-ID oplossen.