Requisitos de sincronização do Azure AD com o Apple School Manager
Pode utilizar o Sistema de gestão de identidade entre domínios (SCIM) para importar utilizadores para o Apple School Manager. Ao utilizar este sistema, irá combinar as propriedades do Apple School Manager (tais como nível de ensino e funções) com os dados de contas de utilizador importados do Microsoft Azure Active Directory (Azure AD). Quando utiliza o SCIM para importar utilizadores, as informações de conta são adicionadas como informações apenas de leitura até desligar do SCIM. Nesse momento, as contas passam a manuais, sendo possível editar os respetivos atributos. A sincronização inicial é mais demorada do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, desde que o serviço de aprovisionamento do Azure AD esteja em execução. Consulte a secção Dicas de provisionamento no site de documentação do Microsoft Azure.
Privilégios do Azure AD
As funções seguintes do Azure AD podem utilizar o SCIM para sincronizar contas com o Apple School Manager:
Administração da aplicação
Administração da aplicação na nuvem
Propriedade da aplicação
Administração global
Consulte a secção Funções incorporadas do Azure AD no site do Microsoft Azure AD.
Inquilinos do Azure AD
Para utilizar o SCIM com o Apple School Manager, a sua organização não pode ter o mesmo inquilino do Azure AD de outra organização do Apple School Manager. Se quiser utilizar o SCIM na sua organização, contacte a pessoa com a função de administração do Azure AD para garantir que nenhuma outra organização está a utilizar o seu inquilino do Azure AD para o SCIM.
Grupos do Azure AD
No Azure AD, ambos os métodos de sincronização utilizam a palavra Grupos, mas apenas as contas de utilizador são sincronizadas. Pode adicionar grupos do Azure AD à app do Apple School Manager no Azure AD. Por exemplo, se tiver grupos no Azure AD designados Funcionários, Formadores e Alunos, pode adicionar estes três grupos à app do Apple School Manager no Azure AD. Quando estabelece ligação através do SCIM, apenas as contas desses grupos são sincronizadas para o Apple School Manager.
Nota: Os subgrupos não são suportados na app do Apple School Manager no Azure AD.
Âmbito de aprovisionamento
Existem duas formas de sincronizar contas do Azure AD para o Apple School Manager.
Sincronizar apenas os utilizadores e grupos atribuídos: esta opção sincroniza apenas as contas que aparecem na app do Apple School Manager no Azure AD para o Apple School Manager. Quando utiliza este método para sincronizar, as contas do Azure AD têm de ter a função de utilizador para sincronizarem para o Apple School Manager.
Sincronizar todos os utilizadores e grupos: esta opção sincroniza todas as contas (a sincronização de grupos não é suportada) que aparecem no separador Utilizador do Azure AD para o Apple School Manager e cria ID Apple geridos para todas as contas do Azure AD vinculadas, mesmo que apenas pretenda utilizar um número específico de contas.
Consulte os seguintes artigos do Suporte da Microsoft: O que é o aprovisionamento de utilizadores de aplicações SaaS automatizadas no Azure AD? e Aprovisionamento de aplicações baseadas em atributos com filtros de âmbito.
Notificações de aprovisionamento
Ao configurar o fornecimento, deve utilizar o endereço de e‑mail de um(a) utilizador(a) com função de administração, gestão de estabelecimento ou gestão de pessoas para que possam receber notificações do Azure AD.
SCIM e autenticação vinculada
Se a vinculação já estiver ativada quando as contas do Azure AD forem enviadas para o Apple School Manager, não verá nenhuma atividade, mas as contas continuarão a sincronizar a partir do domínio vinculado.
O Azure AD é o fornecedor de identidade (IdP) que autentica o(a) utilizador(a) para o Apple School Manager e emite os tokens de autenticação. Uma vez que o Apple School Manager suporta o Azure AD, outros IdP que estabeleçam ligação ao Azure AD, como os Active Directory Federated Services (ADFS), serão igualmente compatíveis. A autenticação vinculada utiliza a Security Assertion Markup Language (SAML) para associar o Apple School Manager ao Azure AD.
Contas de utilizador do Azure AD e Apple School Manager
Quando uma conta é copiada do Azure AD através do SCIM para o Apple School Manager, a função predefinida é Aluno. Depois de a sincronização estar concluída, é possível editar os seguintes atributos de utilizador(a):
Funções
Nível de ensino
Nome de utilizador do Sistema de Informações de Alunos (SIA)
Estes atributos são armazenados com a conta de utilizador no Apple School Manager e não são gravados no Azure AD.
Mapeamento de atributos de utilizador do SCIM
Quando uma conta é copiada do Azure AD através do SCIM para o Apple School Manager, os seguintes atributos de utilizador são armazenados como atributos apenas de leitura. A tabela também denota se o atributo de utilizador é obrigatório.
Importante: Adicionar atributos que não façam parte da tabela interrompe a ligação do SCIM.
Atributo de utilizador do Azure AD | Atributos de utilizador do Apple School Manager | Obrigatório |
---|---|---|
Nome próprio | Nome próprio | |
Apelido | Apelido | |
Nome principal de utilizador | ID Apple gerido e endereço de e‑mail | |
ID de objeto | (Não apresentado no Apple School Manager. Este atributo é utilizado para identificar contas em conflito.) | |
Departamento | Departamento | |
ID do funcionário | Número da pessoa | |
Atributo personalizado (tem de ser criado na app do Apple School Manager no Azure AD) | Centro de custos | |
Atributo personalizado (tem de ser criado na app do Apple School Manager no Azure AD) | Divisão |
Nome principal de utilizador
Se um(a) utilizador(a) tiver um Nome principal de utilizador (UPN) que seja exatamente igual a um(a) utilizador(a) do Apple School Manager existente que tenha a função de administração, gestão de estabelecimento ou gestão de pessoas, não é realizada a sincronização e o campo de origem permanece inalterado. Isto ocorre independentemente do método de sincronização originalmente utilizado (SIS ou SFTP).
ID da pessoa
Quando uma conta do Azure AD é sincronizada com o Apple School Manager, é criado um ID de pessoa para a conta de utilizador do Apple School Manager. O ID da pessoa e o ID de objeto são utilizados para identificar contas de utilizador em conflito. O ID da pessoa é também automaticamente gerado para utilizadores importados através do SCIM ou da integração SIA, mas não é automaticamente gerado a partir de utilizadores importados através do SFTP.
Se o SCIM estiver desligado e o SFTP for utilizado para voltar a enviar utilizadores, são criados novos utilizadores, a menos que o ID de pessoa no ficheiro de envio do SFTP corresponda ao ID de pessoa atribuído pelo SCIM. Consulte a secção Importar contas utilizando o SFTP.
Considerações importantes se modificar o ID da pessoa:
Se alterar o ID da pessoa de uma conta importada a partir do SCIM, esta deixará de ser emparelhada com o Azure AD.
Se modificar o ID da pessoa de uma conta importada anteriormente a partir do SCIM e pretender restabelecer ligação com a conta, consulte Resolver os conflitos de contas de utilizador do SCIM.
Recomendações
Só deve utilizar a app Apple School Manager do Azure AD ao estabelecer ligação ao SCIM.
Se tiver um domínio confirmado, mas não tiver ativado a autenticação vinculada, deve aguardar para ativar a vinculação depois de ter confirmado que os utilizadores do Azure AD foram enviados para o Apple School Manager. Faça‑o ao visualizar os registos de aprovisionamento do Azure AD. Depois de confirmar que os utilizadores do Azure AD foram enviados, receberá uma notificação de uma atividade quando ativar a vinculação e as contas do Azure AD forem fornecidas. Se a vinculação já estiver ativada quando os utilizadores do Azure AD forem enviados, não verá nenhuma atividade, mas os utilizadores continuarão a sincronizar.
Se tiver um grupo configurado no Azure AD, pode adicioná‑lo à app do Apple School Manager no Azure AD em vez de adicionar todos os utilizadores.
Importante: Não utilize o mesmo nome de utilizador durante 120 dias na app do Apple School Manager no Azure AD.
Antes de começar
Antes de começar, deve proceder da seguinte forma:
Desligue o Sistema de Informações de Alunos (SIA) ou interrompa as cargas através do SFTP.
Configure e confirme o domínio que pretende utilizar. Consulte Associar a novos domínios.
Configure (mas não ative) a autenticação vinculada. Consulte Configurar o processo de autenticação vinculada.
Nota: Se a autenticação vinculada já estiver ativada, pode prosseguir à mesma. Consulte as recomendações apresentadas na secção anterior.
Determine o tipo de sincronização no Azure AD e, se necessário, crie grupos de sincronização apenas de contas atribuídas com a app do Apple School Manager no Azure AD:
Sincronizar apenas os utilizadores atribuídos.
Sincronizar todos os utilizadores.
Entre em contacto com uma pessoa com a função de administração do Azure AD com permissões para editar aplicações empresariais. Quando ambos estiverem preparados, consulte Utilizar o SCIM para importar utilizadores.