บทนำเรื่องการซิงค์ไดเรกทอรีกับ Apple School Manager
คุณสามารถใช้ OpenID Connect (OIDC) กับ Apple School Manager เพื่อซิงค์บัญชีผู้ใช้จากรายการต่อไปนี้:
Google Workspace
Microsoft Entra ID
ผู้ให้บริการข้อมูลประจำตัว (IdP) ของคุณ
IdP บางรายการสามารถใช้ระบบสำหรับการจัดการข้อมูลประจำตัวข้ามโดเมน (SCIM)
หมายเหตุ: คุณสามารถซิงค์กับ Google Workspace, Microsoft Entra ID หรือ IdP แต่จะซิงค์ได้แค่หนึ่งรายการในเวลาเดียวกัน
ก่อนที่คุณจะเริ่ม
ก่อนที่คุณจะซิงค์กับ Google Workspace, Microsoft Entra ID หรือ IdP ของตนเอง โปรดพิจารณาสิ่งต่อไปนี้:
ไม่รองรับการซิงค์กลุ่มผู้ใช้
ข้อกำหนด
หากจำเป็น ให้ตรวจสอบยืนยันโดเมนด้วยตนเอง ดูเพิ่มและยืนยันโดเมน
คุณต้องเปิดใช้การรับรองความถูกต้องแบบรวมศูนย์ โปรดดู บทนำเรื่องการรับรองความถูกต้องแบบรวมศูนย์
จัดการให้มีผู้ดูแลระบบที่มีสิทธิ์อนุญาตในการแก้ไข Google Workspace, Microsoft Entra ID หรือการตั้งค่า IdP อื่นๆ ประจำการอยู่ตลอดเวลา
ยกเลิกการเชื่อมต่อจากระบบข้อมูลนักเรียน (SIS) ของคุณ หรือหยุดการอัปโหลดที่ใช้ SFTP
Apple School Manager กำหนดให้คุณลักษณะที่ใช้สำหรับบัญชี Apple ที่มีการจัดการต้องไม่ซ้ำกัน ซึ่งโดยทั่วไปจะเป็นที่อยู่อีเมลของผู้ใช้ หากผู้ใช้มีคุณลักษณะที่เหมือนกันทุกประการกับผู้ใช้ Apple School Manager ที่มีอยู่ ซึ่งมีบทบาทเป็นผู้ดูแลระบบ ระบบจะไม่ซิงค์ข้อมูลและช่องแหล่งที่มาจะไม่มีการเปลี่ยนแปลง
เมื่อกำหนดค่าการเชื่อมต่อในครั้งแรก คุณควรใช้ที่อยู่อีเมลของผู้ใช้ที่มีบทบาทเป็นผู้ดูแลระบบ ผู้จัดการไซต์ หรือผู้จัดการบุคคล เพื่อให้บุคคลเหล่านั้นสามารถรับการแจ้งเตือนจาก Google Workspace, Microsoft Entra ID หรือ IdP อีกบัญชีที่คุณซิงค์ไว้ได้
ข้อกำหนดเฉพาะของ IdP
เมื่อเชื่อมโยงกับ Microsoft Entra ID
หากต้องการใช้ OIDC กับ Apple School Manager องค์กรของคุณต้องไม่มีผู้เช่า Microsoft Entra ID เดียวกันกับองค์กร Apple School Manager อื่นๆ หากคุณต้องการใช้ OIDC สำหรับองค์กรของคุณ ให้ติดต่อผู้ดูแลระบบส่วนกลาง Microsoft Entra ID ของคุณเพื่อให้แน่ใจว่าไม่มีองค์กรอื่นกำลังใช้ผู้เช่า Entra ID ของคุณสำหรับ OIDC อยู่
หากบัญชีผู้ใช้มีชื่อหลักของผู้ใช้ (UPN) ที่เหมือนกันทุกประการกับบัญชีผู้ใช้ที่มีอยู่ ซึ่งมีบทบาทเป็นผู้ดูแลระบบ ผู้จัดการไซต์ หรือผู้จัดการบุคคล ระบบจะไม่ซิงค์ข้อมูล และช่องแหล่งที่มาจะไม่มีการเปลี่ยนแปลง โดยจะเป็นเช่นนี้เสมอ ไม่ว่าเดิมจะใช้วิธีซิงค์ใด (SIS หรือ SFTP)
เมื่อเชื่อมโยงกับ IdP ที่ไม่ใช่ Google Workspace หรือ Microsoft Entra ID ต้องมีข้อมูลต่อไปนี้:
ช่องตัวระบุที่ไม่ซ้ำกันสำหรับผู้ใช้: โดยทั่วไป ค่าของคุณลักษณะนี้จะเป็นที่อยู่อีเมลของผู้ใช้ ซึ่งจะใช้เพื่อสร้างบัญชี Apple ที่มีการจัดการของผู้ใช้ ตัวอย่างเช่น อาจเป็น userName
วิธีการรับรองความถูกต้อง: SAML 2.0
โหมดการรับรองความถูกต้อง: OAuth 2
URL การลงชื่อเข้าแบบครั้งเดียว: ศึกษาเอกสารประกอบจาก IdP ของคุณ
URL การเรียกกลับการอนุญาต: ศึกษาเอกสารประกอบจาก IdP ของคุณ
การเปลี่ยนแปลงโดยอัตโนมัติ
ตรวจสอบการเปลี่ยนแปลงของบัญชีผู้ใช้ และซิงค์การเปลี่ยนแปลงเหล่านี้ไปยัง Apple School Manager โดยอัตโนมัติ
หมายเหตุ: ไฟล์ที่อัปโหลดไปยัง Apple School Manager โดยใช้ SFTP จะไม่รองรับการซิงค์โดยอัตโนมัติ
ลบบัญชี Apple ที่มีการจัดการโดยอัตโนมัติเมื่อลบบัญชีผู้ใช้ที่เกี่ยวข้องออกจาก Google Workspace, Microsoft Entra ID หรือ IdP ของคุณ
เมื่อมีการซิงค์บัญชีผู้ใช้ไปยัง Apple School Manager บทบาทเริ่มต้นจะเป็นนักเรียน หลังจากการซิงค์เสร็จสิ้น คุณจะสามารถแก้ไขคุณลักษณะบัญชีผู้ใช้ต่อไปนี้
บทบาท
ระดับชั้นเรียน
ชื่อผู้ใช้ของระบบข้อมูลนักเรียน (SIS)
คุณลักษณะเหล่านี้จะจัดเก็บอยู่กับบัญชีผู้ใช้ใน Apple School Manager และจะไม่เขียนกลับไปยัง Google Workspace, Microsoft Entra ID หรือ IdP ของคุณ
ข้อมูลบัญชีที่ซิงค์จะได้รับการเพิ่มเป็นแบบอ่านอย่างเดียวจนกว่าคุณจะปิดใช้การซิงค์ ในเวลานั้น บัญชีดังกล่าวจะกลายเป็นบัญชีแบบดำเนินการด้วยตนเองและจะสามารถแก้ไขค่าของคุณลักษณะในบัญชีเหล่านี้ (เช่น ชื่อผู้ใช้) ได้
หมายเหตุ: การซิงค์รอบแรกจะใช้เวลาดำเนินการนานกว่ารอบที่ต่อๆ ไป โปรดศึกษาเอกสารประกอบจาก IdP ของคุณเพื่อดูว่าระบบจะซิงค์ผู้ใช้บ่อยแค่ไหน
เกี่ยวกับ ID บุคคล
เพื่อระบุหาบัญชีที่ขัดแย้ง ระบบจะสร้าง ID บุคคลให้กับบัญชีผู้ใช้นั้นโดยอัตโนมัติเมื่อซิงค์บัญชีผู้ใช้โดยใช้ OIDC หรือ SIS ไปยัง Apple School Manager เป็นครั้งแรก
สิ่งสำคัญ: ระบบจะไม่สร้าง ID บุคคลให้กับบัญชีผู้ใช้ที่นำเข้าโดยใช้ SFTP โดยอัตโนมัติ เนื่องจาก ID เหล่านั้นถูกสร้างขึ้นในไฟล์ที่อัปโหลดไปยัง Apple School Manager หากคุณตัดการเชื่อมต่อจาก Google Workspace, Microsoft Entra ID หรือ IdP ของตนเอง แล้วอัปโหลดผู้ใช้อีกครั้ง ระบบจะสร้างผู้ใช้รายใหม่ขึ้น เว้นแต่ ID บุคคลในไฟล์อัปโหลด SFTP จะตรงกับ ID บุคคลที่ได้รับการมอบหมายผ่านการซิงค์ไดเรกทอรีเริ่มต้นในตอนแรก ดูอัปโหลดข้อมูลระบบข้อมูลนักเรียน
หากคุณแก้ไข ID บุคคลสำหรับบัญชีผู้ใช้ที่ซิงค์ไว้ก่อนหน้านี้ใน Apple School Manager บัญชีผู้ใช้ดังกล่าวจะไม่จับคู่กับ Google Workspace, ID Microsoft Entra หรือ IdP ของคุณอีกต่อไป หากคุณต้องการเชื่อมต่อบัญชีผู้ใช้อีกครั้ง คุณจะต้องแก้ไขข้อขัดแย้งใน ID บุคคล