Introduksjon to katalogsynkronisering med Apple School Manager
Du kan bruke OpenID Connect (OIDC) med Apple School Manager til å synkronisere brukerkontoer fra følgende:
Google Workspace
Microsoft Entra ID
Identitetsleverandøren (IdP-en) din
Noen IdP-er kan også bruke SCIM (System for Cross-domain Identity Management)
Merk: Du kan synkronisere til Google Workspace, Microsoft Entra ID eller IdP-en din, men bare én av disse om gangen.
Før du starter
Før du synkroniserer til Google Workspace, Microsoft Entra ID eller IdP-en din, bør du vurdere følgende:
Synkronisering av brukergrupper støttes ikke.
Krav
Om nødvendig må du bekrefte et domene manuelt. Se Legg til og verifiser et domene.
Du må slå på forent autentisering. Se Introduksjon til forent autentisering.
Ha tilgjengelig en administrator med tillatelser til å redigere Google Workspace-, Microsoft Entra ID- eller andre IdP-innstillinger.
Koble fra studentinformasjonssystemet (SIS) eller stans opplastinger med SFTP.
Apple School Manager krever at attributtet som brukes for den administrerte Apple-kontoen, er unikt. Vanligvis er dette brukerens e-postadresse. Hvis en bruker har et attributt som er identisk med en eksisterende Apple School Manager-bruker med rollen administrator, utføres det ingen synkronisering, og kildefeltet forblir uendret.
Når du konfigurerer den første tilkoblingen, må du bruke e-postadressen til en bruker med rollen administrator, institusjonsansvarlig eller personansvarlig, slik at vedkommende kan motta varslinger fra Google Workspace, Microsoft Entra ID eller andre IdP-er du synkroniserer med.
IdP-spesifikke krav
Ved kobling til Microsoft Entra ID:
For å bruke OIDC sammen med Apple School Manager kan organisasjonen din ikke ha samme Microsoft Entra ID-leietaker som en annen Apple School Manager-organisasjon. Hvis du vil bruke OIDC for organisasjonen din, må du ta kontakt med den globale administratoren din for Microsoft Entra ID for å forsikre deg om at ingen andre organisasjoner bruker Entra ID-leietakeren din for OIDC.
Hvis en brukerkonto har et brukerhovednavn (UPN) som er identisk med navnet til en eksisterende brukerkonto med rollen administrator, institusjonsansvarlig eller personansvarlig, utføres det ingen synkronisering, og kildefeltet forblir uendret. Dette skjer uavhengig av synkroniseringsmetoden som opprinnelig ble brukt (SIS eller SFTP).
Ved kobling til en IdP som ikke er Google Workspace eller Microsoft Entra ID, må du ha følgende informasjon:
Unikt identifikatorfelt for brukere: Verdien av dette attributtet er vanligvis brukerens e-postadresse. Dette brukes til å opprette brukerens administrerte Apple-konto. Det kan for eksempel være userName.
Autentiseringsmetode: SAML 2.0.
Autentiseringsmodus: OAuth 2.
Nettadresse for enkeltpålogging: Se dokumentasjonen til IdP-en din.
Nettadresse for autoriseringstilbakekall: Se dokumentasjonen til IdP-en din.
Automatiske endringer
Følger med på endringer ved brukerkontoer og synkroniserer dem automatisk med Apple School Manager.
Merk: Filopplastinger til Apple School Manager via SFTP støtter ikke automatisk synkronisering.
Fjerner automatisk administrerte Apple-kontoer når de tilsvarende brukerkontoene fjernes i Google Workspace, Microsoft Entra ID eller din IdP.
Når en brukerkonto synkroniseres til Apple School Manager, er standardrollen elev/student. Når synkroniseringen er fullført, kan følgende brukerkontoattributter redigeres:
Roller
Klassetrinn
Brukernavn for studentinformasjonssystem (SIS)
Disse attributtene lagres med brukerkontoen i Apple School Manager, og blir ikke skrevet tilbake til Google Workspace, Microsoft Entra ID eller din IdP.
Den synkroniserte kontoinformasjonen legges til med skrivebeskyttelse frem til du slår av synkronisering. På dette tidspunktet blir kontoene manuelle kontoer, og attributtene i disse kontoene (f.eks. brukernavn) kan da redigeres.
Merk: Den første synkroniseringen tar lengre tid enn påfølgende sykluser. Se IdP-dokumentasjonen for å finne ut hvor ofte de synkroniserer brukere.
Om person-ID-en
Når en brukerkonto i utgangspunktet synkroniseres ved hjelp av OIDC eller SIS til Apple School Manager, genereres en person-ID automatisk for den brukerkontoen, for å oppdage motstridende kontoer.
Viktig: Person-ID-en genereres ikke automatisk for brukerkontoer som importeres ved hjelp av SFTP, fordi de ID-ene opprettes i filer som lastes opp i Apple School Manager. Hvis du kobler deg fra Google Workspace, Microsoft Entra ID eller IdP-en din, og laster opp brukere igjen, vil det opprettes nye brukere med mindre person-ID-en i SFTP-opplastingsfilene samsvarer med person-ID-en som opprinnelig ble tilordnet av den opprinnelige katalogsynkroniseringen. Se Last opp data fra studentinformasjonssystemer.
Hvis du endrer person-ID-en i Apple School Manager for en brukerkonto som tidligere er synkronisert, vil den brukerkontoen ikke lenger være sammenkoblet med Google Workspace, Microsoft Entra ID eller IdP-en din. Hvis du vil koble til brukerkontoen på nytt, må du løse person-ID-konflikten.