Introducere în sincronizarea directoarelor cu Apple School Manager
Sincronizarea directoarelor ajută la menținerea la zi a datelor din Apple School Manager cu furnizorul dvs. de identitate (IdP). Folosind sincronizarea directoarelor, Apple School Manager este informat automat de către IdP-ul dvs. și își poate actualiza informațiile atunci când se întâmplă următoarele:
Este creat un cont de utilizator nou
Informațiile contului de utilizator s-au modificat
Un cont de utilizator este șters
Puteți utiliza OpenID Connect (OIDC) cu Apple School Manager pentru a sincroniza conturile utilizatorilor din următoarele (dar numai unul la un moment dat):
Google Workspace
Microsoft Entra ID
IdP-ul dvs.
Unii IdP-uri pot utiliza și Sistemul pentru gestionarea identității între domenii (SCIM)
Înainte de a începe
Înainte de a sincroniza cu Google Workspace, Microsoft Entra ID sau furnizorul dvs. de identități (IdP), luați în considerare următoarele:
Sincronizarea grupurilor de utilizatori nu este acceptată.
Sincronizarea inițială durează mai mult decât ciclurile ulterioare. Consultați documentația IdP-ului dvs. pentru a afla cât de des sunt sincronizați utilizatorii.
Cerințe
Dacă este necesar, confirmați manual un domeniu. Consultați Adăugați și verificați un domeniu.
Trebuie să activați autentificarea federativă. Consultați Introducere în autentificarea federativă.
Asigurați-vă că aveți la dispoziție un administrator cu permisiuni pentru a edita configurările Google Workspace, Microsoft Entra ID sau ale altui IdP.
Deconectați-vă de la Sistemul de informații despre studenți (SIS) sau opriți încărcările folosind SFTP.
Apple School Manager necesită ca atributul utilizat pentru contul Apple gestionat să fie unic. De obicei, acesta este adresa de e-mail a utilizatorului. Dacă un utilizator are un atribut care este identic cu un utilizator existent în Apple School Manager cu rolul de administrator, nu se va realiza nicio sincronizare, iar câmpul sursă rămâne neschimbat.
Când configurați conexiunea inițială, trebuie să utilizați adresa de e-mail a unui utilizator care are rol de administrator, coordonator de centru sau coordonator de persoane, pentru a putea primi notificări de la Microsoft Entra ID, Microsoft Entra ID sau un alt IdP la care efectuați sincronizarea.
Cerințe specifice IdP
Când asociați cu Microsoft Entra ID:
Pentru a utiliza OIDC cu Apple School Manager, organizația dvs. nu trebuie să aibă aceeași entitate găzduită Microsoft Entra ID ca orice altă organizație Apple School Manager. Dacă doriți să utilizați OIDC pentru organizația dvs., contactați administratorul global Microsoft Entra ID pentru a vă asigura că nicio altă organizație nu utilizează entitatea dvs. găzduită Entra ID atunci când utilizați OIDC.
Dacă un cont de utilizator are un Nume principal al utilizatorului (UPN) identic cu un utilizator existent care are rolul de administrator, coordonator de centru sau coordonator de persoane, nu este realizată nicio sincronizare, iar câmpul sursă rămâne neschimbat. Acest lucru are loc indiferent de metoda de sincronizare utilizată inițial (SIS sau SFTP).
Când asociați cu un IdP care nu este Google Workspace sau Microsoft Entra ID, aveți la îndemînă următoarele informații:
Câmp de identificare unic pentru utilizatori: valoarea acestui atribut este în mod normal adresa de e-mail a utilizatorului. Acesta este folosit pentru a crea contul Apple gestionat al utilizatorului. De exemplu, poate fi nume de utilizator.
Metoda de autentificare: SAML 2.0.
Modul de autentificare: OAuth 2.
Adresa URL de conectare unică: consultați documentația IdP-ului dvs.
Adresa URL de returnare a autorizării: consultați documentația IdP-ului dvs.
Modificări automate
Crearea contului
Atunci când este configurată sincronizarea cu directorul, conturile de utilizator sunt sincronizate cu Apple School Manager și li se atribuie rolul de Student. Informațiile contului sincronizat sunt adăugate ca fiind numai pentru citire, dar atributele numelui de utilizator Roluri, Nivelul de studii și Sistemului de informații despre studenți (SIS) ale unui cont de utilizator pot fi editate. Aceste atribute sunt stocate împreună cu contul de utilizator în Apple School Manager și nu sunt scrise în Google Workspace, Microsoft Entra ID sau în IdP.
Notă: Încărcările de fișiere în Apple School Manager folosind SFTP nu acceptă sincronizarea automată.
Când autentificarea federativă este dezactivată, conturile devin conturi manuale, iar atributele din aceste conturi (cum ar fi numele de utilizator) pot fi apoi editate.
Modificarea contului
Sincronizarea directorului monitorizează modificările atributelor sincronizate și le actualizează automat în Apple School Manager. Intervalul la care sunt sincronizate aceste modificări depinde de IdP.
Eliminarea contului
Atunci când un cont de utilizator este eliminat din Google Workspace, Microsoft Entra ID sau IdP-ul dvs., contul corespunzător din Apple School Manager este dezactivat și marcat pentru ștergere. Un cont dezactivat este deconectat de la dispozitive și nu poate fi autentificat din nou. Cu excepția cazului în care contul este sincronizat din nou în următoarele 120 de zile, acesta este eliminat automat.
Despre ID-ul de persoană
Pentru a identifica conturile în conflict, atunci când un cont de utilizator este sincronizat inițial folosind OIDC sau SIS cu Apple School Manager, un ID de persoană este generat automat pentru contul de utilizator respectiv.
Important: ID-ul de persoană nu este generat automat pentru conturile de utilizator importate folosind SFTP, deoarece aceste ID-uri sunt create în fișierele .csv care sunt încărcate în Apple School Manager. Dacă vă deconectați de la Google Workspace, Microsoft Entra ID sau IdP-ul dvs. și încărcați din nou utilizatori, vor fi creați utilizatori noi, cu excepția cazului în care ID-ul de persoană din fișierele .csv coincide cu ID-ul de persoană care a fost atribuit inițial prin sincronizarea directorului inițială. Consultați Încărcați datele din Sistemul de informații despre studenți.
Dacă modificați ID-ul de persoană în Apple School Manager pentru un cont de utilizator sincronizat anterior, respectivul cont de utilizator nu va mai fi asociat cu Google Workspace, Microsoft Entra ID sau IdP-ul dvs. Dacă doriți să reconectați contul de utilizator, trebuie să rezolvați conflictul de ID de persoană.