Requisitos de sincronização do Azure AD com o Apple School Manager
Você pode usar o SCIM (Sistema para gerenciamento de identidades entre domínios) para importar usuários para o Apple School Manager. Usando esse sistema, você combina as propriedades do Apple School Manager (como nível de ensino e funções) com dados de conta de usuário importados do Microsoft Azure Active Directory (Azure AD). Quando você usa o SCIM para importar usuários, as informações da conta são adicionadas como somente leitura até que você se desconecte do SCIM. Nesse momento, as contas se tornam contas manuais e os atributos nessas contas podem então ser editados. A sincronização inicial demora mais para ser executada do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Azure AD esteja em execução. Confira Dicas de provisionamento no site de documentação do Microsoft Azure.
Privilégios do Azure AD
As seguintes funções no Azure AD podem usar SCIM para sincronizar contas com o Apple School Manager:
Administrador do aplicativo
Administrador do aplicativo na nuvem
Proprietário do aplicativo
Administrador global
Confira Funções internas do Azure AD no Microsoft Azure AD local na rede Internet.
Locatários do Azure AD
Para usar SCIM com Apple School Manager, a empresa não deve ter o mesmo locatário do Azure AD como qualquer outra empresa do Apple School Manager. Se você quiser usar o SCIM para sua empresa, entre em contato com o administrador do Azure AD para garantir que nenhuma outra empresa do esteja usando seu locatário do Azure AD para SCIM.
Grupos do Azure AD
No Azure AD, ambos os métodos de sincronização usam a palavra Grupos, mas apenas as contas de usuário são sincronizadas. Você pode adicionar grupos do Azure AD ao app Apple School Manager Azure AD. Por exemplo, se você tiver grupos no Azure AD nomeados Funcionários, Instrutores e Alunos, você pode adicionar esses três grupos ao app Apple School Manager Azure AD. Quando você se conectar usando SCIM, somente contas nesses grupos serão sincronizadas com o Apple School Manager.
Nota: subgrupos não são aceitos no app Apple School Manager Azure AD.
Escopo de provisionamento
Há duas maneiras de sincronizar contas do Azure AD para o Apple School Manager.
Sincronizar somente grupos e usuários atribuídos: essa opção sincroniza somente as contas exibidas no app Apple School Manager Azure AD com o Apple School Manager. Ao usar esse método para sincronizar, as contas do Azure AD devem ter a função de usuário para sincronização com o Apple School Manager.
Sincronizar todos os usuários e grupos: essa opção sincroniza todas as contas (a sincronização de grupos não é aceita) que aparecem na aba Usuário do Azure AD com o Apple School Manager e cria IDs Apple gerenciados para todas as contas do Azure AD, mesmo se você pretender usar somente um número específico de contas.
Confira os artigos do Suporte da Microsoft O que é o provisionamento de usuários automatizado no aplicativo SaaS no Azure AD? e Provisionamento de aplicativo com base em atributo com filtros de escopo.
Notificações de provisionamento
Ao configurar o provisionamento, você deve usar o endereço de email de um usuário que tenha a função de Administrador, Gerente de site ou Gerente de pessoas para que ele possa receber notificações do Azure AD.
SCIM e autenticação federada
Se a federação já estiver ativada quando as contas do Azure AD forem enviadas para o Apple School Manager, você não verá uma atividade, mas as contas ainda serão sincronizadas do domínio federado.
Azure AD é o fornecedor de identidade (IdP), que autentica o usuário para o Apple School Manager e emite tokens de autenticação. Como o Apple School Manager dá suporte ao Azure AD, outros IdPs que se conectam ao Azure AD, como o Active Directory Federated Services (ADFS), também funcionarão. A autenticação federada usa o SAML (Security Assertion Markup Language) para conectar o Apple School Manager ao Azure AD.
Contas de usuário do Azure AD e do Apple School Manager
Quando um usuário é copiado do Azure AD usando SCIM para o Apple School Manager, a função predefinida é Aluno. Depois que a sincronização for concluída, os seguintes atributos de usuário podem ser editados:
Funções
Nível de ensino
Nome de usuário do Sistema de informações do aluno (SIS)
Esses atributos são armazenados com a conta de usuário no Apple School Manager e não são gravados no Azure AD.
Mapeamento de atributo de usuário SCIM
Quando uma conta for copiada do Azure AD usando SCIM para o Apple School Manager, os seguintes atributos de usuário poderão ser editados. A tabela também denota se o atributo de usuário é exigido.
Importante: adicionar atributos não relacionados na tabela rompe a conexão SCIM.
Atributo de usuário Azure AD | Atributo de usuário do Apple Business Essentials | Solicitado |
---|---|---|
Nome | Nome | |
Sobrenome | Sobrenome | |
Nome principal do usuário | ID Apple gerenciado e endereço de e-mail | |
ID do objeto | (Não mostrado no Apple School Manager. Esse atributo é usado para identificar contas com conflito.) | |
Departamento | Departamento | |
ID de funcionário | Número da pessoa | |
Atributo personalizado (deve ser criado no app Azure AD do Apple School Manager) | Central de custos | |
Atributo personalizado (deve ser criado no app Azure AD do Apple School Manager) | Divisão |
Nome principal do usuário
Se um usuário tiver um Nome principal do usuário (UPN) idêntico ao de um usuário existente do Apple School Manager que tem a função de Administrador ou Gerenciador de sites ou Gerente de pessoas, nenhuma sincronização ocorrerá e o campo fonte permanecerá inalterado. Esta ação ocorre independentemente do método de sincronização usado originalmente (SIS ou SFTP).
ID de pessoa
Quando um usuário do Azure AD é sincronizado com o Apple School Manager, é criado um ID de pessoa para a conta de usuário do Apple School Manager. O ID da pessoa e o ID do objeto são usados para identificar contas de usuário conflitantes. Além disso, o ID da pessoa é gerado automaticamente para usuários importados usando SCIM ou integração com SIS, mas não é gerado automaticamente de usuários importados usando o SFTP.
Se o SCIM for desconectado e o SFTP for usado para fazer upload de usuários novamente, novos usuários serão criados, a menos que o ID de pessoa no arquivo de upload do SFTP corresponda ao ID de pessoa que foi atribuído pelo SCIM. Confira Importar contas usando SFTP.
Considerações importantes no caso de modificação do ID da pessoa:
Se você modificar o ID da pessoa para uma conta importada anteriormente do SCIM, essa conta não será mais pareada com o Azure AD.
Se você modificar o ID de pessoa de uma conta importada anteriormente de SCIM e quiser reconectar a conta, consulte Resolva conflitos de conta de usuário SCIM.
Recomendações
Você só deve usar o app Apple School Manager Azure AD na conexão com SCIM.
Se você tiver um domínio verificado, mas não tiver ativado a autenticação federada, aguarde para ativar a federação depois de verificar se os usuários do Azure AD foram enviados para o Apple School Manager. Faça isso visualizando os registros de provisionamento do Azure AD. Depois de verificar se os usuários do Azure AD foram enviados, ao ativar a federação, você será notificado por uma atividade quando os usuários do Azure AD forem provisionados. Se a federação já estiver ativada quando os usuários do Azure AD forem enviados, você não verá uma atividade, mas os usuários ainda serão sincronizados.
Se você tiver um grupo configurado no Azure AD, você pode adicionar esse grupo ao app Apple School Manager Azure AD em vez de adicionar cada usuário.
Importante: não reutilize um nome de usuário por 120 dias no app Apple School Manager Azure AD.
Antes de começar
Antes de começar, faça o seguinte:
Desconecte-se do Sistema de informações do aluno (SIS) ou pare de fazer upload usando SFTP.
Configure e verifique o domínio que você deseja usar. Confira Vincule a novos domínios.
Configure (mas não ative) a federação autenticada. Consulte Configure o processo da autenticação federada.
Nota: se a federação autenticada já estiver ativada, você ainda poderá continuar. Confira as recomendações na seção anterior.
Determine o tipo de sincronização no Azure AD e, se necessário, crie grupos para sincronização somente de contas atribuídas para o app Apple School Manager Azure AD:
Sincronize somente usuários atribuídos.
Sincronize todos os usuários.
Tenha um administrador do Azure AD com permissões para editar apps empresariais sempre disponível. Quando ambos estiverem prontos, confira Use SCIM para importar usuários.