Noțiuni introductive despre sincronizarea directorului cu Apple School Manager
Puteți utiliza OpenID Connect (OIDC) cu Apple School Manager pentru a sincroniza conturile utilizatorilor din următoarele:
Google Workspace
Microsoft Entra ID
Furnizorul dvs. de identități (IdP)
Unii IdP-uri pot utiliza și Sistemul pentru gestionarea identității între domenii (SCIM)
Notă: Puteți să realizați sincronizarea cu Google Workspace, Entra ID sau IdP, dar nu simultan.
Înainte de a începe
Înainte de a sincroniza cu Google Workspace, Microsoft Entra ID sau furnizorul dvs. de identități (IdP), luați în considerare următoarele:
Sincronizarea grupurilor de utilizatori nu este acceptată.
Cerințe
Dacă este necesar, confirmați manual un domeniu. Consultați Adăugați și verificați un domeniu.
Trebuie să activați autentificarea federativă. Consultați Introducere în autentificarea federativă.
Asigurați-vă că aveți la dispoziție un administrator cu permisiuni pentru a edita configurările Google Workspace, Microsoft Entra ID sau ale altui IdP.
Deconectați-vă de la Sistemul de informații despre studenți (SIS) sau opriți încărcările folosind SFTP.
Apple School Manager necesită ca atributul utilizat pentru contul Apple gestionat să fie unic. De obicei, acesta este adresa de e-mail a utilizatorului. Dacă un utilizator are un atribut care este identic cu un utilizator existent în Apple School Manager cu rolul de administrator, nu se va realiza nicio sincronizare, iar câmpul sursă rămâne neschimbat.
Când configurați conexiunea inițială, trebuie să utilizați adresa de e-mail a unui utilizator care are rol de administrator, coordonator de centru sau coordonator de persoane, pentru a putea primi notificări de la Microsoft Entra ID, Microsoft Entra ID sau un alt IdP la care efectuați sincronizarea.
Cerințe specifice IdP
Când asociați cu Microsoft Entra ID:
Pentru a utiliza OIDC cu Apple School Manager, organizația dvs. nu trebuie să aibă aceeași entitate găzduită Microsoft Entra ID ca orice altă organizație Apple School Manager. Dacă doriți să utilizați OIDC pentru organizația dvs., contactați administratorul global Microsoft Entra ID pentru a vă asigura că nicio altă organizație nu utilizează entitatea dvs. găzduită Entra ID atunci când utilizați OIDC.
Dacă un cont de utilizator are un Nume principal al utilizatorului (UPN) identic cu un utilizator existent care are rolul de administrator, coordonator de centru sau coordonator de persoane, nu este realizată nicio sincronizare, iar câmpul sursă rămâne neschimbat. Acest lucru are loc indiferent de metoda de sincronizare utilizată inițial (SIS sau SFTP).
Când asociați cu un IdP care nu este Google Workspace sau Microsoft Entra ID, aveți la îndemînă următoarele informații:
Câmp de identificare unic pentru utilizatori: valoarea acestui atribut este în mod normal adresa de e-mail a utilizatorului. Acesta este folosit pentru a crea contul Apple gestionat al utilizatorului. De exemplu, poate fi nume de utilizator.
Metoda de autentificare: SAML 2.0.
Modul de autentificare: OAuth 2.
Adresa URL de conectare unică: consultați documentația IdP-ului dvs.
Adresa URL de returnare a autorizării: consultați documentația IdP-ului dvs.
Modificări automate
Monitorizează modificările aferente conturilor de utilizatori și sincronizează automat aceste modificări cu Apple School Manager.
Notă: Încărcările de fișiere în Apple School Manager folosind SFTP nu acceptă sincronizarea automată.
Elimină automat conturile Apple gestionate atunci când conturile de utilizator corespunzătoare sunt eliminate în Google Workspace, Microsoft Entra ID sau în IdP.
Când un cont de utilizator este sincronizat la Apple School Manager, rolul implicit este Student. După finalizarea sincronizării, pot fi editate următoarele atribute ale contului de utilizator:
Roluri
Nivelul clasei
Numele de utilizator din Sistemul de informații despre studenți (SIS)
Aceste atribute sunt stocate împreună cu contul de utilizator în Apple School Manager și nu sunt scrise în Google Workspace, Microsoft Entra ID sau în IdP.
Informațiile contului sincronizat sunt adăugate ca needitabile până când dezactivați sincronizarea. Atunci conturile devin conturi manuale, iar atributele din aceste conturi (cum ar fi numele de utilizatori) pot fi apoi editate.
Notă: Sincronizarea inițială durează mai mult decât ciclurile ulterioare. Consultați documentația IdP-ului dvs. pentru a afla cât de des sunt sincronizați utilizatorii.
Despre ID-ul de persoană
Pentru a identifica conturile în conflict, atunci când un cont de utilizator este sincronizat inițial folosind OIDC sau SIS cu Apple School Manager, un ID de persoană este generat automat pentru contul de utilizator respectiv.
Important: ID-ul de persoană nu este generat automat pentru conturile de utilizator importate folosind SFTP, deoarece aceste ID-uri sunt create în fișierele care sunt încărcate în Apple School Manager. Dacă vă deconectați de la Google Workspace, Microsoft Entra ID sau IdP-ul dvs. și încărcați din nou utilizatori, vor fi creați utilizatori noi, cu excepția cazului în care ID-ul de persoană din fișierele de încărcare SFTP coincide cu ID-ul de persoană care a fost atribuit inițial prin sincronizarea directorului inițială. Consultați Încărcați datele din Sistemul de informații despre studenți
Dacă modificați ID-ul de persoană în Apple School Manager pentru un cont de utilizator sincronizat anterior, respectivul cont de utilizator nu va mai fi asociat cu Google Workspace, Microsoft Entra ID sau IdP-ul dvs. Dacă doriți să reconectați contul de utilizator, trebuie să rezolvați conflictul de ID de persoană.