Introduktion till katalogsynkronisering med Apple School Manager
Katalogsynkronisering hjälper till att hålla data i Apple School Manager uppdaterade med din identitetsleverantör (IdP). Med katalogsynkronisering får Apple School Manager automatiskt information från din IdP och kan uppdatera sin information när följande händer:
Ett nytt användarkonto skapas
Användaruppgifter ändras
Ett användarkonto raderas
Du kan använda OpenID Connect (OIDC) med Apple School Manager för att synkronisera användarkonton från följande (men bara en åt gången):
Google Workspace
Microsoft Entra ID
Din IdP
En del IdP:er kan även använda SCIM (System for Cross-domain Identity Management)
Innan du börjar
Tänk på följande innan du synkroniserar till Google Workspace, Microsoft Entra ID eller din IdP:
Synkronisering av grupper stöds inte.
Den första synkroniseringen tar längre tid att utföra än kommande cykler. I identitetsleverantörens dokumentation kan du läsa mer om hur ofta användare synkroniseras.
Krav
Verifiera vid behov en domän manuellt. Se Lägga till och verifiera en domän.
Du måste aktivera federerad autentisering. Se Introduktion till federerad autentisering.
Se till att en administratör med behörighet att redigera Google Workspace, Microsoft Entra ID eller någon annan IdP:s inställningar står i beredskap.
Koppla från ditt studentinformationssystem (SIS) eller stoppa överföringar med SFTP.
Apple School Manager kräver att attributet som används för det hanterade Apple‑kontot är unikt. Det är vanligtvis användarens e‑postadress. Om en användare har ett attribut som är exakt samma som en befintlig Apple School Manager-användare med rollen administratör utförs ingen synkronisering och källfältet förblir oförändrat.
När du konfigurerar den inledande anslutningen måste du använda e-postadressen till en användare som har rollen Administratör, Platsansvarig eller Personansvarig så att hen kan ta emot notiser från Google Workspace, Microsoft Entra ID eller någon annan IdP som du synkroniserar med.
IdP-specifika krav
Vid koppling till Microsoft Entra ID:
Om du vill använda OIDC med Apple School Manager får din organisation inte ha samma Microsoft Entra ID-klient som någon annan Apple School Manager-organisation. Om du vill använda OIDC för din organisation kontaktar du den globala administratören för Microsoft Entra ID för att se till att ingen annan organisation använder din Entra ID‑klient för OIDC.
Om ett användarkonto har ett användarhuvudnamn (User Principal Name, UPN) som är exakt samma som ett befintligt användarkonto med rollen Administratör, Platsansvarig eller Personansvarig utförs ingen synkronisering och källfältet förblir oförändrat. Detta sker oavsett vilken synkroniseringsmetod som ursprungligen användes (SIS eller SFTP).
Ha följande uppgifter till hands vid koppling till en annan IdP än Google Workspace eller Microsoft Entra ID:
Unikt identifierar-fält för användare: Värdet för det här attributet är vanligtvis användarens e‑postadress. Detta används för att skapa användarens hanterade Apple‑konto. Det kan till exempel vara användarnamn.
Autentiseringsmetod: SAML 2.0.
Autentiseringsläge: OAuth 2.
Single Sign-On-URL: Se din identitetsleverantörs dokumentation.
Motringnings-URL för auktorisering: Se din identitetsleverantörs dokumentation.
Automatiska ändringar
Skapande av konto
När katalogsynkronisering konfigureras, synkroniseras användarkonton till Apple School Manager och blir tilldelade rollen Studerande. De synkroniserade kontouppgifterna läggs till med skrivskydd, men användarkontots roller, årskurs och användarnamnsattribut i Student Information System (SIS) kan redigeras. Dessa attribut lagras med användarkontot i Apple School Manager och skrivs inte tillbaka till Google Workspace, Microsoft Entra ID eller din IdP.
Obs! Filöverföring till Apple School Manager med SFTP stöder inte automatisk synkronisering.
När federerad autentisering stängs av blir konton manuella konton. Attribut för dessa konton (till exempel användarnamn) kan då ändras.
Modifiering av konto
Med katalogsynkronisering övervakas ändringar av synkroniserade attribut. Dessa uppdateras automatiskt i Apple School Manager. Intervallet som dessa ändringar synkroniseras under beror på din IdP.
Borttagning av konto
När ett användarkonto tas bort i Google Workspace, Microsoft Entra ID eller din IdP, inaktiveras motsvarande konto i Apple School Manager. Det flaggas också för radering. Ett inaktiverat konto loggas ut ur enheter och kan inte loggas in igen. Om kontot inte synkroniseras igen inom de närmsta 120 dagarna tas det bort automatiskt.
Om person-ID:t
Första gången ett användarkonto synkroniseras med Apple School Manager via OIDC eller SIS genereras ett person-ID automatiskt för användarkontot för att identifiera konton med konflikter.
Viktigt: Person-ID:t genereras inte automatiskt för användarkonton som importerats med SFTP eftersom dessa ID:n skapas i .csv-filerna som överförs till Apple School Manager. Om du kopplar bort Google Workspace, Microsoft Entra ID eller din IdP och överför användare igen skapas nya användare såvida inte person-ID:t i .csv-filerna matchar det person-ID som ursprungligen tilldelades i den ursprungliga katalogsynkroniseringen. Se Överföra data från Student Information System.
Om du ändrar person-ID:t i Apple School Manager för ett användarkonto som tidigare synkroniserats, kommer det användarkontot inte längre att vara kopplat till Google Workspace, Microsoft Entra ID eller din IdP. Du måste lösa person-ID-konflikten om du vill återansluta användarkontot.