Wprowadzenie do synchronizacji katalogu w usłudze Apple School Manager
Możesz używać protokołu OpenID Connect (OIDC) z usługą Apple School Manager do synchronizowania kont użytkowników z następujących źródeł:
Google Workspace
Microsoft Entra ID
Dostawca tożsamości (IdP)
Niektórzy dostawcy tożsamości mogą również korzystać z systemu do zarządzania identyfikacją domen (SCIM)
Uwaga: Synchronizacja może odbywać się z usługą Google Workspace, usługą Microsoft Entra ID lub dostawcą tożsamości, ale tylko z jedną usługą naraz.
Przed rozpoczęciem
Przed synchronizacją z usługą Google Workspace, usługą Microsoft Entra ID lub dostawcą tożsamości rozważ następujące kwestie:
Synchronizacja grup użytkowników nie jest obsługiwana.
Wymagania
W razie potrzeby ręcznie zweryfikuj domenę. Zobacz Dodawanie i weryfikowanie domeny.
Musisz włączyć uwierzytelnianie federacyjne. Zobacz Wprowadzenie do uwierzytelniania federacyjnego.
Miej pod telefonem administratora z uprawnieniami do edytowania ustawień usługi Google Workspace, Microsoft Entra ID lub innego dostawcy tożsamości.
Rozłącz się z systemem informacji o studentach (SIS) lub zatrzymaj przesyłanie przy użyciu protokołu SFTP.
Usługa Apple School Manager wymaga, aby atrybut używany w przypadku zarządzanego konta Apple był unikatowy. Zazwyczaj jest to adres email użytkownika. Jeśli użytkownik ma atrybut, który jest dokładnie taki sam jak w przypadku istniejącego użytkownika usługi Apple School Manager z rolą administratora, synchronizacja nie jest wykonywana, a pole źródłowe pozostaje niezmienione.
Podczas konfigurowania początkowego połączenia należy użyć adresu email użytkownika z rolą administratora, menedżera placówki lub menedżera osób, aby mogli oni otrzymywać powiadomienia z usługi Google Workspace, Microsoft Entra ID lub innego dostawcy tożsamości, z którymi przeprowadzasz synchronizację.
Wymagania specyficzne dla dostawcy tożsamości
W przypadku łączenia z Microsoft Entra ID:
Aby używać protokołu OIDC z usługą Apple School Manager, organizacja nie może mieć tej samej dzierżawy Microsoft Entra ID co jakakolwiek inna organizacja w usłudze Apple School Manager. Jeśli chcesz używać protokołu OIDC dla swojej organizacji, skontaktuj się z administratorem globalnym usługi Microsoft Entra ID w celu upewnienia się, że żadna inna organizacja nie używa Twojej dzierżawy usługi Entra ID dla OIDC.
Jeśli konto użytkownika ma główną nazwę użytkownika, która jest dokładnie taka sama jak nazwa istniejącego konta użytkownika z rolą administratora, menedżera placówki lub menedżera użytkowników, synchronizacja nie jest wykonywana, a pole źródłowe pozostaje niezmienione. Dzieje się tak niezależnie od pierwotnie zastosowanej metody synchronizacji (SIS lub SFTP).
Łącząc się z dostawcą tożsamości, który nie jest usługą Google Workspace ani Microsoft Entra ID, należy mieć następujące informacje:
Pole unikatowego identyfikatora dotyczące użytkowników: wartością tego atrybutu jest zwykle adres email użytkownika. Służy do tworzenia zarządzanego konta Appleużytkownika. Może to być na przykład pole userName.
Metoda uwierzytelniania: usługa SAML 2.0.
Tryb uwierzytelniania: protokół OAuth 2.
Adres URL usługi jednokrotnego logowania: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Adres URL wywołania zwrotnego autoryzacji: należy zapoznać się z dokumentacją dostawcy tożsamości (IdP).
Automatyczne zmiany
Monitoruje zmiany kont użytkowników i automatycznie synchronizuje je z usługą Apple School Manager.
Uwaga: Przesyłanie plików do usługi Apple School Manager przy użyciu protokołu SFTP nie obsługuje automatycznej synchronizacji.
Automatycznie usuwa zarządzane konta Apple, gdy odpowiadające im konta użytkowników zostaną usunięte w Google Workspace, Microsoft Entra ID lub dostawcy tożsamości.
Podczas synchronizowania konta użytkownika z usługą Apple School Manager domyślnym ustawieniem roli jest Uczestnik. Po ukończeniu synchronizacji można edytować następujące atrybuty konta użytkownika:
Role
Poziom nauki
Nazwa użytkownika w systemie informacji o studentach (SIS)
Te atrybuty są przechowywane z kontem użytkownika w usłudze Apple School Manager i nie są zapisywane z powrotem w usłudze Google Workspace, usłudze Microsoft Entra ID ani w dostawcy tożsamości.
Zsynchronizowane dane konta są dodawane jako tylko do odczytu, dopóki nie wyłączysz synchronizacji. W tym czasie konta stają się kontami dodawanymi ręcznie, co umożliwia edycję atrybutów dostępnych na tych kontach (takich jak nazwy użytkowników).
Uwaga: Początkowa synchronizacja trwa dłużej niż kolejne cykle. Zapoznaj się z dokumentacją dostawcy tożsamości, aby dowiedzieć się, jak często synchronizuje on użytkowników.
Informacje o ID osoby
Aby zidentyfikować konta powodujące konflikt, gdy konto użytkownika jest początkowo synchronizowane za pomocą protokołu OIDC lub systemu SIS z usługą Apple School Manager, dla tego konta użytkownika automatycznie generowany jest ID osoby.
Ważne: ID osoby nie jest generowany automatycznie w przypadku kont użytkowników importowanych przy użyciu protokołu SFTP, ponieważ te ID są tworzone w plikach przesyłanych do usługi Apple School Manager. Jeśli rozłączysz się z Google Workspace, Microsoft Entra ID lub dostawcą tożsamości i ponownie prześlesz użytkowników, zostaną utworzeni nowi użytkownicy, chyba że ID osoby w pliku przesyłania SFTP jest zgodny z ID osoby przydzielonym pierwotnie przez początkową synchronizację katalogu. Zobacz Przesyłanie danych systemu informacji o studentach.
Jeśli zmienisz ID osoby w usłudze Apple School Manager dla konta użytkownika, które zostało wcześniej zsynchronizowane, konto to nie będzie już sparowane z Google Workspace, Microsoft Entra ID ani dostawcą tożsamości. Jeśli chcesz ponownie połączyć konto użytkownika, musisz rozwiązać konflikt ID osoby.