Introdução à sincronização de diretórios com o Apple School Manager
A sincronização de diretório ajuda a manter os dados no Apple School Manager atualizados com o seu provedor de identidade (IdP). Com a sincronização de diretório, o Apple School Manager é informado automaticamente pelo seu IdP e pode atualizar as informações quando ocorre o seguinte:
Uma nova conta de usuário foi criada
Informações da conta do usuário alteradas
Uma conta de usuário foi apagada
Você pode usar o OpenID Connect (OIDC) com o Apple School Manager para sincronizar contas de usuários dos seguintes (mas apenas uma de cada vez):
Google Workspace
Microsoft Entra ID
Seu IdP
Alguns IdPs também podem usar o Sistema para gerenciamento de identidades entre domínios (SCIM)
Antes de começar
Antes de sincronizar com o Google Workspace, Microsoft Entra ID ou seu IdP, considere o seguinte:
a sincronização de grupos de usuários não é compatível.
A sincronização inicial demora mais do que ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência eles sincronizam usuários.
Requisitos
Se necessário, verifique um domínio manualmente. Consulte Adicione e verifique um domínio.
Você precisa ativar a autenticação federada. Consulte Introdução à autenticação federada.
É necessário ter um administrador na chamada com permissões para editar configurações do Google Workspace, Microsoft Entra ID ou outro IdP.
Desconecte-se do Sistema de informações do estudante (SIS) ou pare de fazer upload usando SFTP.
O Apple School Manager exige que o atributo usado para a Conta Apple gerenciada seja exclusivo. Esse dado costuma ser o endereço de e-mail. Se um usuário tiver um atributo idêntico ao de um usuário existente do Apple School Manager com a função de Administrador, a sincronização não ocorrerá e o campo fonte permanecerá inalterado.
Ao configurar a conexão inicial, você precisa usar o endereço de e-mail de um usuário com a função de Administrador, Gerente de estabelecimento ou Gerente de pessoas para que ele possa receber notificações do Google Workspace, Microsoft Entra ID ou outro IdP com o qual você esteja sincronizando.
Requisitos específicos de IdP
Ao vincular ao Microsoft Entra ID:
Para usar OIDC com Apple School Manager, a organização não precisa ter o mesmo locatário do Microsoft Entra ID como qualquer outra organização do Apple School Manager. Se você quiser usar o OIDC para sua empresa, entre em contato com o administrador do Microsoft Entra ID para garantir que nenhuma outra empresa do esteja usando seu locatário do Entra ID para OIDC.
Se uma conta de usuário tiver um Nome principal do usuário (UPN) idêntico ao de uma conta de usuário existente que tenha a função de Administrador ou Gerenciador de sites ou Gerente de pessoas, nenhuma sincronização ocorrerá e o campo fonte permanecerá inalterado. Esta ação ocorre independentemente do método de sincronização usado originalmente (SIS ou SFTP).
Ao vincular com um IdP que não seja Google Workspace ou Microsoft Entra ID, tenha as seguintes informações:
Campo de identificação exclusivo para usuários: em geral, o valor deste atributo é o endereço de e-mail do usuário. Ele é usado para criar a Conta Apple gerenciada do usuário. Por exemplo, ele poderá ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de single sign-on: consulte a documentação do seu IdP.
URL da callback de autorização: consulte a documentação do seu IdP.
Alterações automáticas
Criação de conta
Quando a sincronização de diretórios é configurada, as contas de usuário são sincronizadas com o Apple School Manager e recebem a função de Estudante. As informações da conta sincronizada são adicionadas como somente leitura, mas os atributos de Funções, Nível de escolaridade e Nome de usuário do Sistema de informações do aluno (SIS) de uma conta de usuário podem ser editados. Esses atributos são armazenados com a conta de usuário no Apple School Manager e não são gravados no Google Workspace, Microsoft Entra ID ou em seu IdP.
Nota: O arquivo carregado para o Apple School Manager usando SFTP não é compatível com a sincronização automática.
Quando a autenticação federada é desativada, as contas se tornam contas manuais, e os atributos nessas contas (como nomes de usuário) podem ser editados.
Modificação de conta
A sincronização de diretórios monitora alterações nos atributos sincronizados e os atualiza automaticamente no Apple School Manager. O intervalo em que essas alterações são sincronizadas depende do IdP.
Remoção de conta
Quando uma conta de usuário é removida no Google Workspace, no Microsoft Entra ID ou no seu IdP, a conta correspondente no Apple School Manager é desativada e sinalizada para exclusão. Uma conta desativada é desconectada dos dispositivos e não pode ser conectada novamente. A menos que a conta seja sincronizada novamente nos próximos 120 dias, ela será removida automaticamente.
Sobre o ID de pessoa
Para identificar contas em conflito, quando uma conta de usuário for inicialmente sincronizada usando OIDC ou SIS para o Apple School Manager, um ID de pessoa é automaticamente gerado para essa conta de usuário.
Importante: o ID de pessoa não é gerado automaticamente para contas de usuário importadas usando SFTP, pois esses IDs são criados nos arquivos carregados no Apple School Manager. Se você desconectar do Google Workspace, Microsoft Entra ID ou de seu IdP e carregar usuários novamente, novos usuários serão criados, exceto se o ID de pessoa nos arquivos .csv corresponder ao ID de pessoa que foi inicialmente atribuído pela sincronização de diretório inicial. Consulte Fazer upload de dados do Sistema de informações do estudante.
Se você modificar o ID de pessoa no Apple School Manager para uma conta de usuário sincronizada anteriormente, essa conta de usuário não será mais emparelhada com o Google Workspace, Microsoft Entra ID ou seu IdP. Se você quiser reconectar a conta de usuário, você precisará resolver o conflito do ID de pessoa.