Introduksjon til katalogsynkronisering med Apple School Manager
Katalogsynkronisering bidrar til å holde dataene i Apple School Manager oppdaterte med identitetsleverandøren din (IdP). Ved hjelp av katalogsynkronisering blir Apple School Manager automatisk informert av IdP-en din og kan oppdatere informasjonen når følgende skjer:
En ny brukerkonto er opprettet
Brukerkontoinformasjon er endret
En brukerkonto er slettet
Du kan bruke OpenID Connect (OIDC) med Apple School Manager for å synkronisere brukerkontoer fra de følgende (men kun én om gangen):
Google Workspace
Microsoft Entra ID
Identitetsleverandøren din
Noen IdP-er kan også bruke SCIM (System for Cross-domain Identity Management)
Før du starter
Før du synkroniserer til Google Workspace, Microsoft Entra ID eller IdP-en din, bør du vurdere følgende:
Synkronisering av brukergrupper støttes ikke.
Den første synkroniseringen tar lengre tid enn påfølgende sykluser. Se IdP-dokumentasjonen for å finne ut hvor ofte de synkroniserer brukere.
Krav
Om nødvendig må du bekrefte et domene manuelt. Se Legg til og verifiser et domene.
Du må slå på forent autentisering. Se Introduksjon til forent autentisering.
Ha tilgjengelig en administrator med tillatelser til å redigere Google Workspace-, Microsoft Entra ID- eller andre IdP-innstillinger.
Koble fra studentinformasjonssystemet (SIS) eller stans opplastinger med SFTP.
Apple School Manager krever at attributtet som brukes for den administrerte Apple-kontoen, er unikt. Vanligvis er dette brukerens e-postadresse. Hvis en bruker har et attributt som er identisk med en eksisterende Apple School Manager-bruker med rollen administrator, utføres det ingen synkronisering, og kildefeltet forblir uendret.
Når du konfigurerer den første tilkoblingen, må du bruke e-postadressen til en bruker med rollen administrator, institusjonsansvarlig eller personansvarlig, slik at vedkommende kan motta varslinger fra Google Workspace, Microsoft Entra ID eller andre IdP-er du synkroniserer med.
IdP-spesifikke krav
Ved kobling til Microsoft Entra ID:
For å bruke OIDC sammen med Apple School Manager kan organisasjonen din ikke ha samme Microsoft Entra ID-leietaker som en annen Apple School Manager-organisasjon. Hvis du vil bruke OIDC for organisasjonen din, må du ta kontakt med Entra ID-administratoren din for å forsikre deg om at ingen andre organisasjoner bruker Entra ID-leietakeren din for OIDC.
Hvis en brukerkonto har et brukerhovednavn (UPN) som er identisk med navnet til en eksisterende brukerkonto med rollen administrator, institusjonsansvarlig eller personansvarlig, utføres det ingen synkronisering, og kildefeltet forblir uendret. Dette skjer uavhengig av synkroniseringsmetoden som opprinnelig ble brukt (SIS eller SFTP).
Ved kobling til en IdP som ikke er Google Workspace eller Microsoft Entra ID, må du ha følgende informasjon:
Unikt identifikatorfelt for brukere: Verdien av dette attributtet er vanligvis brukerens e-postadresse. Dette brukes til å opprette brukerens administrerte Apple-konto. Det kan for eksempel være userName.
Autentiseringsmetode: SAML 2.0.
Autentiseringsmodus: OAuth 2.
Nettadresse for enkeltpålogging: Se dokumentasjonen til IdP-en din.
Nettadresse for autoriseringstilbakekall: Se dokumentasjonen til IdP-en din.
Automatiske endringer
Kontooppretting
Når katalogsynkronisering er konfigurert, synkroniseres brukerkontoer til Apple School Manager og tilordnes rollen «elev/student». Den synkroniserte kontoinformasjonen legges til med kun lesetilgang, men roller, klassetrinn og brukernavnattributtene til en brukerkonto i studentinformasjonssystemet (SIS) kan redigeres. Disse attributtene lagres med brukerkontoen i Apple School Manager og blir ikke skrevet tilbake til Google Workspace, Microsoft Entra ID eller IdP-en din.
Merk: Filopplastinger til Apple School Manager via SFTP støtter ikke automatisk synkronisering.
Når forent autentisering er slått av, blir kontoer manuelle kontoer, og attributter i disse kontoene (som brukernavn) kan da redigeres.
Endring av konto
Katalogsynkronisering overvåker endringer i de synkroniserte attributtene og oppdaterer dem automatisk i Apple School Manager. Intervallet disse endringene synkroniseres i er avhengig av identitetsleverandøren.
Fjerning av konto
Når en brukerkonto fjernes i Google Workspace, Microsoft Entra ID eller IdP-en din, deaktiveres den korresponderende kontoen i Apple School Manager og flagges for sletting. En deaktivert konto blir logget av enheter og kan ikke logges på igjen. Med mindre kontoen synkroniseres igjen innen de neste 120 dagene, blir den automatisk fjernet.
Om person-ID-en
Når en brukerkonto i utgangspunktet synkroniseres ved hjelp av OIDC eller SIS til Apple School Manager, genereres en person-ID automatisk for den brukerkontoen, for å oppdage motstridende kontoer.
Viktig: Person-ID-en genereres ikke automatisk for brukerkontoer som importeres ved hjelp av SFTP, fordi de ID-ene opprettes i .csv-filene som lastes opp i Apple School Manager. Hvis du kobler deg fra Google Workspace, Microsoft Entra ID eller IdP-en din, og laster opp brukere igjen, vil det opprettes nye brukere med mindre person-ID-en i .csv-filene samsvarer med person-ID-en som opprinnelig ble tilordnet av den opprinnelige katalogsynkroniseringen. Se Last opp data fra studentinformasjonssystemer.
Hvis du endrer person-ID-en i Apple School Manager for en brukerkonto som tidligere er synkronisert, vil den brukerkontoen ikke lenger være sammenkoblet med Google Workspace, Microsoft Entra ID eller IdP-en din. Hvis du vil koble til brukerkontoen på nytt, må du løse person-ID-konflikten.