Короткий огляд синхронізації каталогів в Apple School Manager
Ви можете використовувати OpenID Connect (OIDC) з Apple School Manager для синхронізації облікових записів користувачів із наведених нижче:
Google Workspace
Microsoft Entra ID
Ваш постачальник ідентифікаційних даних (IdP)
Деякі IdP також можуть використовувати систему керування міждоменною ідентифікацією (SCIM)
Примітка. Ви можете синхронізувати дані з Google Workspace, Microsoft Entra ID або своїм IdP, але лише по черзі.
Перш ніж почати
Перш ніж синхронізувати дані з Google Workspace, Microsoft Entra ID або своїм IdP, врахуйте такі фактори:
Синхронізація груп користувачів не підтримується.
Вимоги
Якщо потрібно, перевірте домен вручну. Див. розділ Додайте та підтвердьте домен.
Необхідно ввімкнути об’єднану автентифікацію. Дивіться розділ Вступ до обʼєднаної автентифікації.
Запросіть адміністратора з правами на редагування налаштувань Google Workspace, Microsoft Entra ID або інших параметрів IdP.
Відʼєднайтеся від системи інформації про студентів (SIS) або зупиніть закачування за допомогою SFTP.
В Apple School Manager необхідно, щоб атрибут, що використовується для керованого облікового запису Apple, був унікальним. Зазвичай це адреса електронної пошти користувача. Якщо атрибут користувача повністю збігається з атрибутом користувача Apple School Manager, якому присвоєно роль адміністратора, синхронізація не здійснюватиметься, а поле джерела залишиться без змін.
Під час налаштування початкового підключення слід використовувати адресу електронної пошти користувача з роллю адміністратора, керівника сайту або менеджера з персоналу, щоб він міг отримувати сповіщення від Google Workspace, Microsoft Entra ID або іншого IdP, з яким ви синхронізуєте дані.
Особливі вимоги для IdP
При підключенні до Microsoft Entra ID:
Щоб використовувати OIDC з Apple School Manager, ваша установа не повинна мати такого ж клієнта Microsoft Entra ID, як жодна інша установа з Apple School Manager. Якщо ви хочете використовувати OIDC для своєї установи, зверніться до глобального адміністратора Microsoft Entra ID, щоб переконатися, що вашого клієнта Entra ID для OIDC не використовує жодна інша установа.
Якщо імʼя User Principal Name (UPN) облікового запису користувача повністю збігається з іменем наявного облікового запису користувача, якому присвоєно роль адміністратора, керівника сайту або менеджера з персоналу, синхронізація не здійснюватиметься, а поле джерела залишиться без змін. Це відбувається незалежно від способу синхронізації, що спочатку використовувався (SIS або SFTP).
При підключенні до IdP, що не є Google Workspace або Microsoft Entra ID, необхідно мати наступну інформацію:
Поле унікального ідентифікатора для користувачів: зазвичай як значення для цього атрибута використовується адреса електронної пошти користувача. З її допомогою створюється керований обліковий запис Apple користувача. Наприклад, userName.
Спосіб автентифікації: SAML 2.0.
Режим автентифікації: OAuth 2.
URL-адреса єдиного входу: ознайомтеся з документацією свого IdP.
URL-адреса зворотного виклику авторизації: ознайомтеся з документацією свого IdP.
Автоматичні зміни
Моніторинг змін в облікових записах користувачів і автоматична синхронізація змін з Apple School Manager.
Примітка. Файли, завантажені в Apple School Manager через SFTP, не підтримують автоматичну синхронізацію.
Автоматичне видалення керованих облікових записів Apple, коли відповідні облікові записи видаляються в Google Workspace, Microsoft Entra ID або вашому IdP.
Якщо обліковий запис користувача синхронізується з Apple School Manager, за умовчанням йому призначається роль «Студент». Після завершення синхронізації можна змінити наведені нижче атрибути облікового запису користувача.
Ролі
Рівень освіти
Ім’я користувача в системі інформації про студентів (SIS)
Ці атрибути зберігаються з обліковим записом користувача в Apple School Manager і не записуються назад у Google Workspace, Microsoft Entra ID або ваш IdP.
Синхронізовані дані облікового запису додаються як доступні лише для читання, доки ви не вимкнете синхронізацію. Після відʼєднання облікові записи стають обліковими записами, створеними вручну, а їхні атрибути (як-от імʼя користувача) — доступними для редагування.
Примітка. Початкова синхронізація займає більше часу, ніж наступні цикли. Ознайомтеся з документацією свого IdP, щоб дізнатися, як часто користувачі синхронізуються.
Про ідентифікатор особи
Щоб виявити суперечливі облікові записи, коли обліковий запис користувача спочатку синхронізується за допомогою OIDC або SIS з Apple School Manager, для цього облікового запису автоматично генерується ідентифікатор особи.
Важливо! Ідентифікатор особи не створюється автоматично для облікових записів користувачів, імпортованих за допомогою SFTP, оскільки ці ідентифікатори створюються у файлах, які завантажуються в Apple School Manager. Якщо ви від’єднаєтеся від Google Workspace, Microsoft Entra ID або вашого IdP й завантажите користувачів знову, нових користувачів буде створено, якщо тільки ідентифікатор особи у файлах завантаження SFTP не збігається з ідентифікатором особи, який було призначено під час початкової синхронізації каталогів. Див. розділ Завантаження даних системи інформації про студентів
Якщо ви зміните ідентифікатор особи в Apple School Manager для раніше синхронізованого облікового запису користувача, цей обліковий запис більше не буде пов’язано з Google Workspace, Microsoft Entra ID або вашим IdP. Якщо ви хочете повторно пов’язати обліковий запис користувача, необхідно вирішити суперечності між ідентифікаторами особи.