Wprowadzenie do synchronizacji katalogu w usłudze Apple School Manager
Synchronizacja katalogu pomaga zachować aktualność danych w usłudze Apple School Manager u dostawcy tożsamości (IdP). Dzięki synchronizacji katalogu usługa Apple School Manager jest automatycznie informowana przez dostawcę tożsamości i jest w stanie uaktualnić swoje dane, gdy dojdzie do następujących zdarzeń:
Utworzono nowe konto użytkownika
Dane konta użytkownika uległy zmianie
Konto użytkownika zostało usunięte
Możesz używać protokołu OpenID Connect (OIDC) z usługą Apple School Manager do synchronizowania kont użytkowników z następujących źródeł (ale tylko jedno konto naraz):
Google Workspace
Microsoft Entra ID
Dostawca tożsamości
Niektórzy dostawcy tożsamości mogą również korzystać z systemu do zarządzania identyfikacją domen (SCIM)
Przed rozpoczęciem
Przed synchronizacją z usługą Google Workspace, usługą Microsoft Entra ID lub dostawcą tożsamości rozważ następujące kwestie:
Synchronizacja grup użytkowników nie jest obsługiwana.
Początkowa synchronizacja trwa dłużej niż kolejne cykle. Zapoznaj się z dokumentacją dostawcy tożsamości, aby dowiedzieć się, jak często synchronizuje on użytkowników.
Wymagania
W razie potrzeby ręcznie zweryfikuj domenę. Zobacz Dodawanie i weryfikowanie domeny.
Musisz włączyć uwierzytelnianie federacyjne. Zobacz Wprowadzenie do uwierzytelniania federacyjnego.
Miej pod telefonem administratora z uprawnieniami do edytowania ustawień usługi Google Workspace, Microsoft Entra ID lub innego dostawcy tożsamości.
Rozłącz się z systemem informacji o studentach (SIS) lub zatrzymaj przesyłanie przy użyciu protokołu SFTP.
Usługa Apple School Manager wymaga, aby atrybut używany w przypadku zarządzanego konta Apple był unikatowy. Zazwyczaj jest to adres email użytkownika. Jeśli użytkownik ma atrybut, który jest dokładnie taki sam jak w przypadku istniejącego użytkownika usługi Apple School Manager z rolą administratora, synchronizacja nie jest wykonywana, a pole źródłowe pozostaje niezmienione.
Podczas konfigurowania początkowego połączenia należy użyć adresu email użytkownika z rolą administratora, menedżera placówki lub menedżera użytkowników, aby mógł on otrzymywać powiadomienia z usługi Google Workspace lub Microsoft Entra ID albo od innego dostawcy tożsamości, z którym przeprowadzasz synchronizację.
Wymagania specyficzne dla dostawcy tożsamości
W przypadku łączenia z Microsoft Entra ID:
Aby używać protokołu OIDC z usługą Apple School Manager, organizacja nie może mieć tej samej dzierżawy Microsoft Entra ID co jakakolwiek inna organizacja w usłudze Apple School Manager. Jeśli chcesz używać protokołu OIDC dla swojej organizacji, skontaktuj się z administratorem globalnym usługi Microsoft Entra ID w celu upewnienia się, że żadna inna organizacja nie używa Twojej dzierżawy usługi Entra ID dla OIDC.
Jeśli konto użytkownika ma główną nazwę użytkownika, która jest dokładnie taka sama jak nazwa istniejącego konta użytkownika z rolą administratora, menedżera placówki lub menedżera użytkowników, synchronizacja nie jest wykonywana, a pole źródłowe pozostaje niezmienione. Dzieje się tak niezależnie od pierwotnie zastosowanej metody synchronizacji (SIS lub SFTP).
Łącząc się z dostawcą tożsamości, który nie jest usługą Google Workspace ani Microsoft Entra ID, należy mieć następujące informacje:
Pole unikatowego identyfikatora dotyczące użytkowników: wartością tego atrybutu jest zwykle adres email użytkownika. Służy do tworzenia zarządzanego konta Appleużytkownika. Może to być na przykład pole userName.
Metoda uwierzytelniania: usługa SAML 2.0.
Tryb uwierzytelniania: protokół OAuth 2.
Adres URL usługi jednokrotnego logowania: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Adres URL wywołania zwrotnego autoryzacji: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Automatyczne zmiany
Tworzenie konta
Podczas konfiguracji synchronizacji katalogu konta użytkowników synchronizowane są z usługą Apple School Manager i przydzielana jest im rola uczestnika. Dane zsynchronizowanego konta dodawane są w formie tylko do odczytu, ale możliwa jest edycja atrybutów konta użytkownika dotyczących ról, poziomu nauki i systemu informacji o studentach (SIS). Te atrybuty są przechowywane z kontem użytkownika w usłudze Apple School Manager i nie są zapisywane z powrotem w usłudze Google Workspace, usłudze Microsoft Entra ID ani w dostawcy tożsamości.
Uwaga: Przesyłanie plików do usługi Apple School Manager przy użyciu protokołu SFTP nie obsługuje automatycznej synchronizacji.
Jeśli uwierzytelnianie federacyjne jest wyłączone, konta stają się kontami dodawanymi ręcznie, co umożliwia edycję atrybutów dostępnych na tych kontach (takich jak nazwy użytkowników).
Modyfikacja konta
Synchronizacja katalogu monitoruje zmiany dokonywane w zsynchronizowanych atrybutach i automatycznie je uaktualnia w usłudze Apple School Manager. Częstotliwość synchronizacji tych zmian zależy od dostawcy tożsamości.
Usuwanie konta
Kiedy konto użytkownika zostaje usunięte w usłudze Google Workspace lub Microsoft Entra ID albo u dostawcy tożsamości, odpowiadające mu konto w usłudze Apple School Manager zostaje dezaktywowane i oznaczone jako przeznaczone do usunięcia. Dezaktywowane konto jest wylogowywane z urządzeń i nie można zalogować się na nim ponownie. O ile konto nie zostanie zsynchronizowane ponownie w ciągu następnych 120 dni, zostaje ono automatycznie usunięte.
Informacje o ID osoby
Aby zidentyfikować konta powodujące konflikt, gdy konto użytkownika jest początkowo synchronizowane za pomocą protokołu OIDC lub systemu SIS z usługą Apple School Manager, dla tego konta użytkownika automatycznie generowany jest ID osoby.
Ważne: ID osoby nie jest generowany automatycznie w przypadku kont użytkowników importowanych przy użyciu protokołu SFTP, ponieważ te ID są tworzone w plikach .csv przesyłanych do usługi Apple School Manager. Jeśli rozłączysz się z Google Workspace, Microsoft Entra ID lub dostawcą tożsamości i ponownie prześlesz użytkowników, zostaną utworzeni nowi użytkownicy, chyba że ID osoby w plikach .csv jest zgodny z ID osoby przydzielonym pierwotnie przez początkową synchronizację katalogu. Zobacz Przesyłanie danych systemu informacji o studentach.
Jeśli zmienisz ID osoby w usłudze Apple Business Manager dla konta użytkownika, które zostało wcześniej zsynchronizowane, konto to nie będzie już sparowane z Google Workspace, Microsoft Entra ID ani dostawcą tożsamości. Jeśli chcesz ponownie połączyć konto użytkownika, musisz rozwiązać konflikt ID osoby.