Introdução à sincronização de diretório com o Apple School Manager
Você pode usar o OpenID Connect (OIDC) com o Apple School Manager para sincronizar contas de usuários a partir de:
Google Workspace
Microsoft Entra ID
Seu provedor de identidade (IdP)
Alguns IdPs também podem usar o Sistema para gerenciamento de identidades entre domínios (SCIM)
Nota: Você pode sincronizar com o Google Workspace, Microsoft Entra ID ou IdP, mas somente um por vez.
Antes de começar
Antes de sincronizar com o Google Workspace, Microsoft Entra ID ou seu IdP, considere o seguinte:
a sincronização de grupos de usuários não é compatível.
Requisitos
Se necessário, verifique um domínio manualmente. Consulte Adicione e verifique um domínio.
Você deve ativar a autenticação federada. Consulte Introdução à autenticação federada.
É necessário ter um administrador na chamada com permissões para editar configurações do Google Workspace, Microsoft Entra ID ou outro IdP.
Desconecte-se do Sistema de informações do estudante (SIS) ou pare de fazer upload usando SFTP.
O Apple School Manager exige que o atributo usado para a Conta Apple gerenciada seja exclusivo. Esse dado costuma ser o endereço de e-mail. Se um usuário tiver um atributo idêntico ao de um usuário existente do Apple School Manager com a função de Administrador, a sincronização não ocorrerá e o campo fonte permanecerá inalterado.
Ao configurar a conexão inicial, você deve usar o endereço de e-mail de um usuário que tenha a função de Administrador, Gerente de site ou Gerente de pessoas para que ele possa receber notificações do Google Workspace, Microsoft Entra ID ou outro IdP com o qual você esteja sincronizando.
Requisitos específicos de IdP
Ao vincular ao Microsoft Entra ID:
Para usar OIDC com Apple School Manager, a organização não deve ter o mesmo locatário do Microsoft Entra ID como qualquer outra organização do Apple School Manager. Se você quiser usar o OIDC para sua empresa, entre em contato com o administrador do Microsoft Entra ID para garantir que nenhuma outra empresa do esteja usando seu locatário do Entra ID para OIDC.
Se uma conta de usuário tiver um Nome principal do usuário (UPN) idêntico ao de uma conta de usuário existente que tenha a função de Administrador ou Gerenciador de sites ou Gerente de pessoas, nenhuma sincronização ocorrerá e o campo fonte permanecerá inalterado. Esta ação ocorre independentemente do método de sincronização usado originalmente (SIS ou SFTP).
Ao vincular com um IdP que não seja Google Workspace ou Microsoft Entra ID, tenha as seguintes informações:
Campo de identificação exclusivo para usuários: em geral, o valor deste atributo é o endereço de e-mail do usuário. Ele é usado para criar a Conta Apple gerenciada do usuário. Por exemplo, ele poderá ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de single sign-on: consulte a documentação do seu IdP.
URL da callback de autorização: consulte a documentação do seu IdP.
Alterações automáticas
Monitora as alterações na conta de usuário e sincroniza automaticamente essas alterações no Apple School Manager.
Nota: O arquivo carregado para o Apple School Manager usando SFTP não é compatível com a sincronização automática.
Remove automaticamente Contas Apple Gerenciadas quando as contas de usuários correspondentes forem removidas do Google Workspace, Microsoft Entra ID ou de seu IdP.
Quando uma conta de usuário for sincronizada com o Apple School Manager, a função padrão será Aluno. Depois que a sincronização for concluída, os seguintes atributos de conta de usuário podem ser editados:
Funções
Nível de ensino
Nome de usuário do Sistema de informações do estudante (SIS)
Esses atributos são armazenados com a conta de usuário no Apple School Manager e não são gravados no Google Workspace, Microsoft Entra ID ou em seu IdP.
As informações da conta sincronizadas são adicionadas como somente leitura até que você desative a sincronização. Nesse momento, as contas se tornam contas manuais e os atributos nessas contas (como nomes de usuário) podem então ser editados.
Nota: A sincronização inicial demora mais do que ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência eles sincronizam usuários.
Sobre o ID de pessoa
Para identificar contas em conflito, quando uma conta de usuário for inicialmente sincronizada usando OIDC ou SIS para o Apple School Manager, um ID de pessoa é automaticamente gerado para essa conta de usuário.
Importante: O ID de pessoa não é gerado automaticamente para contas de usuário importadas usando SFTP, pois esses IDs são criados nos arquivos carregados no Apple School Manager. Se você desconectar do Google Workspace, Microsoft Entra ID ou de seu IdP e carregar usuários nvoamente, novos usuários serão criados, exceto se o ID de pessoa nos arquivos carregados no SFTP corresponder ao ID de pessoa que foi inicialmente atribuído pela sincronização de diretório inicial. Consulte Fazer upload de dados do Sistema de informações do estudante.
Se você modificar o ID de pessoa no Apple School Manager para uma conta de usuário sincronizada anteriormente, essa conta de usuário não será mais emparelhada com o Google Workspace, Microsoft Entra ID ou seu IdP. Se você quiser reconectar a conta de usuário, você deverá resolver o conflito do ID de pessoa.