Inleiding tot directory-synchronisatie met Apple School Manager
Je kunt OpenID Connect (OIDC) gebruiken met Apple School Manager om gebruikersaccounts te synchroniseren met:
Google Workspace
Microsoft Entra ID
Je identiteitsprovider (IdP)
Sommige IdP's kunnen ook System for Cross-domain Identity Management (SCIM) gebruiken
Opmerking: Je kunt synchroniseren met Google Workspace, Microsoft Entra ID of je IdP, maar slechts met één tegelijk.
Voordat je aan de slag gaat
Voordat je synchroniseert met Google Workspace, Microsoft Entra ID of je IdP, moet je het volgende overwegen:
Het synchroniseren van gebruikersgroepen wordt niet ondersteund.
Vereisten
Verifieer indien nodig een domein handmatig Zie Een domein toevoegen en verifiëren.
Je moet gefedereerde authenticatie inschakelen. Zie Inleiding tot gefedereerde authenticatie.
Laat een beheerder met bevoegdheden om instellingen voor Google Workspace, Microsoft Entra ID of een andere IdP te bewerken op stand-by staan.
Verbreek de verbinding met je studenteninformatiesysteem (SIS) of stop met uploaden met SFTP.
Voor Apple School Manager moet het kenmerk dat wordt gebruikt voor de Beheerde Apple Account uniek zijn. Dit is doorgaans het e‑mailadres van de gebruiker. Als een gebruiker een kenmerk heeft dat precies hetzelfde is als een bestaande Apple School Manager-gebruiker met de rol beheerder, wordt er geen synchronisatie uitgevoerd en blijft het bronveld ongewijzigd.
Als je de initiële verbinding configureert, moet je het e-mailadres gebruiken van een gebruiker met de rol beheerder, systeembeheerder of personenmanager zodat deze meldingen kan ontvangen van Google Workspace, Microsoft Entra ID of een andere IdP waarmee je synchroniseert.
Voor IdP specifieke vereisten
In geval van een koppeling met Microsoft Entra ID:
Als je OIDC wilt gebruiken met Apple School Manager, mag je organisatie niet dezelfde Microsoft Entra ID-tenant hebben als een andere Apple School Manager-organisatie. Als je OIDC voor je organisatie wilt gebruiken, neem dan contact op met je algemene Microsoft Entra ID-beheerder om ervoor te zorgen dat geen andere organisatie je Entra ID-tenant gebruikt voor OIDC.
Als een gebruikersaccount een User Principal Name (UPN) heeft die precies hetzelfde is als een bestaande gebruikersaccount die de rol beheerder, systeembeheerder of personenmanager heeft, wordt er geen synchronisatie uitgevoerd en blijft het bronveld ongewijzigd. Dit gebeurt ongeacht de oorspronkelijk gebruikte synchronisatiemethode (SIS of SFTP).
Als je een koppeling maakt met een andere IdP dan Google Workspace of Microsoft Entra ID, moet je over de volgende informatie beschikken:
Veld Unieke identificatie voor gebruikers: de waarde van dit kenmerk is doorgaans het e‑mailadres van de gebruiker. Dit wordt gebruikt om de Beheerde Apple Account van de gebruiker aan te maken. Dit kan bijvoorbeeld userName zijn.
Authenticatiemethode: SAML 2.0.
Authenticatiemodus: OAuth 2.
URL voor Single Sign-On: raadpleeg de documentatie van je IdP.
Autorisatie van callback-URL: raadpleeg de documentatie van je IdP.
Automatische wijzigingen
Controleert op wijzigingen in gebruikersaccounts en synchroniseert deze wijzigingen automatisch naar Apple School Manager.
Opmerking: Bestandsuploads naar Apple School Manager met SFTP ondersteunen geen automatische synchronisatie.
Verwijdert beheerde Apple Accounts automatisch wanneer overeenkomende gebruikersaccounts worden verwijderd in Google Workspace, Microsoft Entra ID of je IdP.
Wanneer een gebruikersaccount wordt gesynchroniseerd naar Apple School Manager, is de standaardrol Leerling. Nadat de synchronisatie is voltooid, kunnen de volgende gebruikersaccountkenmerken worden bewerkt:
Rollen
Onderwijsniveau
SIS-gebruikersnaam (studenteninformatiesysteem)
Deze kenmerken worden met de gebruikersaccount bewaard in Apple School Manager en worden niet teruggeschreven naar Google Workspace, Microsoft Entra ID of je IdP.
De gesynchroniseerde accountgegevens worden toegevoegd als alleen-lezen totdat je synchroniseren uitschakelt. Op dat moment worden de accounts handmatige accounts en kunnen kenmerken in deze accounts (zoals gebruikersnamen) worden bewerkt.
Opmerking: De eerste synchronisatie duurt langer dan de volgende cycli. Raadpleeg de documentatie van je IdP om te weten te komen hoe vaak ze gebruikers synchroniseren.
Informatie over de Persoons-ID
Om conflicterende accounts te identificeren, wordt bij de eerste synchronisatie van een gebruikersaccount met OIDC of SIS naar Apple School Manager automatisch een Persoons-ID gegenereerd voor die gebruikersaccount.
Belangrijk: De persoons-ID wordt niet automatisch gegenereerd voor gebruikersaccounts die met SFTP worden geïmporteerd, omdat die ID's worden gemaakt in de bestanden die naar Apple School Manager worden geüpload. Als je de verbinding met Google Workspace, Microsoft Entra ID of je IdP verbreekt en gebruikers opnieuw uploadt, worden nieuwe gebruikers aangemaakt, tenzij de persoons-ID in het SFTP-uploadbestand overeenkomt met de persoons-ID die is toegewezen door de initiële directory-synchronisatie. Zie Gegevens van het studenteninformatiesysteem uploaden.
Als je in Apple School Manager de persoons-ID wijzigt voor een gebruikersaccount die is gesynchroniseerd, wordt die gebruikersaccount niet meer gekoppeld aan Google Workspace, Microsoft Entra ID of je IdP. Als je de gebruikersaccount opnieuw wilt verbinden, moet je het conflict mede persoons-ID oplossen.