Introduktion till katalogsynkronisering med Apple School Manager
Du kan använda OpenID Connect (OIDC) med Apple School Manager för att synkronisera användarkonton från följande:
Google Workspace
Microsoft Entra ID
Din identitetsleverantör (IdP)
En del IdP:er kan även använda SCIM (System for Cross-domain Identity Management)
Obs! Du kan synkronisera till Google Workspace, Microsoft Entra-ID eller din IdP, men bara en åt gången.
Innan du börjar
Tänk på följande innan du synkroniserar till Google Workspace, Microsoft Entra ID eller din IdP:
Synkronisering av grupper stöds inte.
Krav
Verifiera vid behov en domän manuellt. Se Lägga till och verifiera en domän.
Du måste aktivera federerad autentisering. Se Introduktion till federerad autentisering.
Se till att en administratör med behörighet att redigera Google Workspace, Microsoft Entra ID eller någon annan IdP:s inställningar står i beredskap.
Koppla från ditt studentinformationssystem (SIS) eller stoppa överföringar med SFTP.
Apple School Manager kräver att attributet som används för det hanterade Apple‑kontot är unikt. Det är vanligtvis användarens e‑postadress. Om en användare har ett attribut som är exakt samma som en befintlig Apple School Manager-användare med rollen administratör utförs ingen synkronisering och källfältet förblir oförändrat.
När du konfigurerar den ursprungliga anslutningen bör du använda e-postadressen till en användare som har rollen Administratör, Platsansvarig eller Personansvarig så att hen kan ta emot notiser från Google Workspace, Microsoft Entra ID eller någon annan IdP som du synkroniserar med.
IdP-specifika krav
Vid koppling till Microsoft Entra ID:
Om du vill använda OIDC med Apple School Manager får din organisation inte ha samma Microsoft Entra ID-klient som någon annan Apple School Manager-organisation. Om du vill använda OIDC för din organisation kontaktar du den globala Microsoft Entra ID-administratören för att se till att ingen annan organisation använder din Entra ID‑klient för OIDC.
Om ett användarkonto har ett användarhuvudnamn (User Principal Name, UPN) som är exakt samma som ett befintligt användarkonto med rollen Administratör, Platsansvarig eller Personansvarig utförs ingen synkronisering och källfältet förblir oförändrat. Detta sker oavsett vilken synkroniseringsmetod som ursprungligen användes (SIS eller SFTP).
Ha följande uppgifter till hands vid koppling till en annan IdP än Google Workspace eller Microsoft Entra ID:
Unikt identifierar-fält för användare: Värdet för det här attributet är vanligtvis användarens e‑postadress. Detta används för att skapa användarens hanterade Apple‑konto. Det kan till exempel vara användarnamn.
Autentiseringsmetod: SAML 2.0.
Autentiseringsläge: OAuth 2.
Single Sign-On-URL: Se din identitetsleverantörs dokumentation.
Motringnings-URL för auktorisering: Se din identitetsleverantörs dokumentation.
Automatiska ändringar
Övervakar ändringar i användarkonton och synkroniserar dem automatiskt med Apple School Manager.
Obs! Filöverföring till Apple School Manager med SFTP stöder inte automatisk synkronisering.
Tar automatiskt bort hanterade Apple‑konton när motsvarande användarkonton tas bort i Google Workspace, Microsoft Entra ID eller din IdP.
När ett användarkonto synkroniseras från med Apple School Manager är standardrollen Studerande. När synkroniseringen har slutförts kan följande användarkontoattribut ändras:
Roller
Årskurs
Användarnamn för Student Information System (SIS)
Dessa attribut lagras med användarkontot i Apple School Manager och skrivs inte tillbaka till Google Workspace, Microsoft Entra ID eller din IdP.
Den synkroniserade kontoinformationen läggs till i skrivskyddat läge tills du avaktiverar synkronisering. Då blir kontona manuella konton och attribut i dem (till exempel användarnamn) kan redigeras.
Obs! Den första synkroniseringen tar längre tid att utföra än kommande cykler. I identitetsleverantörens dokumentation kan du läsa mer om hur ofta användare synkroniseras.
Om person-ID:t
Första gången ett användarkonto synkroniseras med Apple School Manager via OIDC eller SIS genereras ett person-ID automatiskt för användarkontot för att identifiera konton med konflikter.
Viktigt: Person-ID:t genereras inte automatiskt för användarkonton som importerats med SFTP eftersom dessa ID:n skapas i filerna som överförs till Apple School Manager. Om du kopplar bort Google Workspace, Microsoft Entra ID eller din IdP och överför användare igen skapas nya användare såvida inte person-ID:t i SFTP-överföringsfilerna matchar det person-ID som ursprungligen tilldelades i den ursprungliga katalogsynkroniseringen. Se Överföra data från Student Information System.
Om du ändrar person-ID:t i Apple School Manager för ett användarkonto som tidigare synkroniserats, kommer det användarkontot inte längre att vara kopplat till Google Workspace, Microsoft Entra ID eller din IdP. Du måsta lösa person-ID-konflikten om du vill återansluta användarkontot.