Introdução à sincronização de diretórios através do Apple School Manager
A sincronização de diretórios permite manter os dados do Apple School Manager atualizados com o fornecedor de identidade (IdP). Ao utilizar a sincronização de diretórios, o Apple School Manager é informado automaticamente pelo IdP e pode atualizar as informações sempre que ocorrer uma das seguintes situações:
É criada uma nova conta de utilizador
As informações da conta de utilizador são alteradas
É eliminada uma conta de utilizador
Pode utilizar o OpenID Connect (OIDC) com o Apple School Manager para sincronizar as contas de utilizador a partir do seguinte (mas apenas uma de cada vez):
Google Workspace
Microsoft Entra ID
O IdP
Alguns IdP também podem utilizar o Sistema de gestão de identidade entre domínios (SCIM)
Antes de começar
Antes de sincronizar com o Google Workspace, o Microsoft Entra ID ou o seu IdP, considere o seguinte:
A sincronização de grupos de utilizadores não é suportada.
A sincronização inicial é mais demorada do que os ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência são sincronizados os utilizadores.
Requisitos
Se necessário, confirme manualmente um domínio. Consulte Adicionar e confirmar um domínio.
É necessário ativar a autenticação vinculada. Consulte Introdução à autenticação vinculada.
Entre em contacto com uma pessoa com a função de Administração com permissões para editar o Google Workspace, o Microsoft Entra ID ou o seu IdP, ou outras definições do IdP.
Desligue o Sistema de Informações de Alunos (SIA) ou interrompa as cargas através do SFTP.
O Apple School Manager requer que o atributo utilizado para a conta Apple gerida seja único. Normalmente, é o endereço de e-mail do(a) utilizador(a). Se um(a) utilizador(a) tiver um atributo que seja exatamente igual ao de um(a) utilizador(a) do Apple School Manager existente que tenha a função de Administração, não é realizada a sincronização e o campo de origem permanece inalterado.
Quando configurar a ligação inicial, é necessário utilizar o endereço de e-mail de um utilizador com função de Administração, Gestão de estabelecimento ou Gestão de pessoas, para que possa receber notificações do Google Workspace, do Microsoft Entra ID ou de outro IdP com o qual está a efetuar a sincronização.
Requisitos específicos do IdP
Ao fazer a associação ao Microsoft Entra ID:
Para utilizar o OIDC com o Apple School Manager, a organização não pode ter o mesmo inquilino do Microsoft Entra ID de outra organização do Apple School Manager. Se pretender utilizar o OIDC na organização, contacte a pessoa com a função de Administração global do Microsoft Entra ID para assegurar que nenhuma outra organização está a utilizar o respetivo inquilino do Entra ID para o OIDC.
Se uma conta de utilizador tiver um Nome principal de utilizador (UPN) que seja exatamente igual a uma conta de utilizador existente que tenha a função de Administração, Gestão de estabelecimento ou Gestão de pessoas, não é realizada a sincronização e o campo de origem permanece inalterado. Isto ocorre independentemente do método de sincronização originalmente utilizado (SIS ou SFTP).
Quando fizer a associação a um IdP que não seja o Google Workspace ou o Microsoft Entra ID, reúna as seguintes informações:
Campo do identificador único para utilizadores: o valor deste atributo é, normalmente, o endereço de e-mail do(a) utilizador(a). Este campo é utilizado para criar a conta Apple gerida do(a) utilizador(a). Por exemplo, pode ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de Início de sessão único: consulte a documentação do seu IdP.
URL da chamada de retorno de autorização: consulte a documentação do seu IdP.
Alterações automáticas
Criação de contas
Quando a sincronização de diretórios está configurada, as contas de utilizador são sincronizadas com o Apple School Manager, sendo-lhes atribuídas a função de Aluno(a). As informações da conta sincronizada são adicionadas como só de leitura. Contudo, os atributos do nome de utilizador Funções, Nível de ensino e Sistema de Informações de Alunos (SIA) de uma conta de utilizador podem ser editados. Estes atributos são armazenados com a conta de utilizador no Apple School Manager e não são novamente gravados no Google Workspace, no Microsoft Entra ID nem no IdP.
Nota: Os carregamentos de ficheiros para o Apple School Manager através do SFTP não suportam a sincronização automática.
Quando a autenticação vinculada é desativada, as contas tornam-se contas manuais e os respetivos atributos (tais como os nomes de utilizador) podem ser editados.
Modificação de contas
A sincronização de diretórios monitoriza as alterações efetuadas nos atributos sincronizados e procede à respetiva atualização automática no Apple School Manager. O intervalo de frequência com que estas alterações são sincronizadas depende do IdP.
Remoção de contas
Quando uma conta de utilizador é removida no Google Workspace, no Microsoft Entra ID ou no IdP, a conta correspondente no Apple School Manager é desativada e assinalada para eliminação. A sessão é terminada nos dispositivos com uma conta desativada e não é possível iniciar sessão novamente. Se a conta não for sincronizada novamente no prazo de 120 dias, será removida automaticamente.
Acerca do ID da pessoa
Para identificar contas em conflito, quando uma conta de utilizador é sincronizada inicialmente através do OIDC ou do SIA com o Apple School Manager, o ID da pessoa é automaticamente gerado para essa conta de utilizador.
Importante: O ID da pessoa não é gerado automaticamente para as contas de utilizador importadas através do SFTP, uma vez que estes ID são criados nos ficheiros .csv que são carregados para o Apple School Manager. Se interromper a ligação ao Google Workspace, ao Microsoft Entra ID ou ao IdP e carregar novamente os utilizadores, serão criados novos utilizadores, exceto se o ID da pessoa nos ficheiros .csv corresponder ao ID da pessoa inicialmente atribuído pela sincronização de diretórios inicial. Consulte Carregar dados do Sistema de Informações de Alunos.
Se modificar o ID da pessoa no Apple School Manager para uma conta de utilizador sincronizada anteriormente, a mesma deixará de ser emparelhada com o Google Workspace, o Microsoft Entra ID ou o IdP. Se pretender associar novamente a conta de utilizador, terá de resolver o conflito de ID da pessoa.