Giới thiệu về việc đồng bộ hóa danh bạ với Apple School Manager
Tính năng Đồng bộ hóa danh mục giúp dữ liệu trong Apple School Manager luôn được cập nhật với nhà cung cấp dịch vụ danh tính (IdP). Khi sử dụng tính năng đồng bộ hóa danh mục, Apple School Manager sẽ nhận được thông báo tự động từ IdP của bạn và có thể cập nhật thông tin khi tình huống sau xảy ra:
Một tài khoản người dùng mới đã được tạo
Thông tin tài khoản người dùng đã thay đổi
Một tài khoản người dùng đã bị xóa
Bạn có thể sử dụng OpenID Connect (OIDC) với Apple School Manager để đồng bộ hóa tài khoản người dùng từ những nguồn sau (nhưng mỗi lần chỉ thực hiện với một nguồn):
Google Workspace
Microsoft Entra ID
IdP của bạn
Một số IdP cũng có thể sử dụng Hệ thống quản lý danh tính liên miền (SCIM)
Trước Khi Bạn Bắt Đầu
Trước khi đồng bộ hóa với Google Workspace, Microsoft Entra ID hoặc IdP của bạn, hãy cân nhắc những điều sau:
Không hỗ trợ đồng bộ hóa nhóm người dùng.
Quá trình đồng bộ hóa ban đầu sẽ mất nhiều thời gian hơn các chu trình tiếp theo. Tham khảo tài liệu của IdP để biết tần suất họ đồng bộ hóa người dùng.
Yêu cầu
Nếu cần, hãy xác minh tên miền theo cách thủ công. Xem Thêm và xác minh tên miền.
Bạn cần bật tính năng xác thực có liên kết. Tham khảo Giới thiệu về xác thực có liên kết.
Yêu cầu quản trị viên có quyền sửa cài đặt Google Workspace, Microsoft Entra ID hoặc IdP khác sẵn sàng hỗ trợ.
Ngắt kết nối khỏi Hệ Thống Thông Tin Học Sinh/Sinh Viên (SIS) hoặc ngừng tải lên bằng SFTP.
Apple School Manager yêu cầu thuộc tính dùng cho Tài khoản Apple được quản lý phải là duy nhất. Đây thường là địa chỉ email của người dùng. Nếu một người dùng có thuộc tính giống hệt thuộc tính của người dùng hiện giữ vai trò Quản trị viên trong Apple School Manager thì quy trình đồng bộ hóa sẽ không diễn ra và trường nguồn không thay đổi.
Khi định cấu hình kết nối ban đầu, bạn cần sử dụng địa chỉ email của người dùng giữ vai trò Quản trị viên, Người quản lý tổ chức hoặc Quản lý người dùng để họ có thể nhận thông báo từ Google Workspace, Microsoft Entra ID hoặc IdP khác mà bạn đang đồng bộ hóa.
Yêu cầu đặc thù của IdP
Khi liên kết tới Microsoft Entra ID:
Để dùng OIDC với Apple School Manager, tổ chức của bạn không thể sử dụng đối tượng thuê Microsoft Entra ID giống với bất kỳ tổ chức Apple School Manager nào khác. Nếu bạn muốn sử dụng OIDC cho tổ chức của mình, hãy liên hệ với Quản trị viên toàn cầu Microsoft Entra ID để đảm bảo rằng không có tổ chức nào khác đang sử dụng đối tượng thuê Entra ID của bạn cho OIDC.
Nếu tài khoản người dùng có Tên chính của người dùng (UPN) giống hệt với tài khoản người dùng hiện giữ vai trò Quản trị viên, Người quản lý tổ chức hoặc Quản lý người dùng thì quá trình đồng bộ hóa sẽ không diễn ra và trường nguồn sẽ không thay đổi. Tình huống này sẽ xảy ra bất kể ban đầu bạn dùng phương pháp đồng bộ nào (SIS hay SFTP).
Khi liên kết với IdP không phải Google Workspace hay Microsoft Entra ID, bạn cần những thông tin sau:
Trường mã nhận dạng duy nhất cho người dùng: Giá trị của thuộc tính này thường là địa chỉ email của người dùng. Trường này được dùng để tạo Tài khoản Apple được quản lý cho người dùng. Ví dụ: Đó có thể là userName.
Phương thức xác thực: SAML 2.0.
Chế độ xác thực: OAuth 2.
URL đăng nhập một lần: Tham khảo tài liệu của IdP.
URL gọi lại ủy quyền: Tham khảo tài liệu của IdP.
Thay đổi tự động
Tạo tài khoản
Khi tính năng đồng bộ hóa danh mục được cấu hình, các tài khoản người dùng sẽ được đồng bộ hóa với Apple School Manager và được chỉ định vai trò Học sinh/Sinh viên. Thông tin về tài khoản đã đồng bộ hóa sẽ được thêm dưới dạng chỉ đọc. Tuy nhiên, các thuộc tính Vai trò, Khối lớp và tên người dùng trong Hệ thống thông tin của học sinh/sinh viên (SIS) của tài khoản người dùng có thể chỉnh sửa được. Các thuộc tính này được lưu trữ cùng tài khoản người dùng trong Apple School Manager và sẽ không được ghi lại vào Google Workspace, Microsoft Entra ID hay IdP.
Ghi chú: Quá trình tải tệp lên Apple School Manager bằng SFTP không hỗ trợ chức năng đồng bộ hóa tự động.
Khi tính năng xác thực có liên kết đã tắt, các tài khoản sẽ trở thành tài khoản thủ công và bạn có thể chỉnh sửa các thuộc tính trong những tài khoản này (chẳng hạn như tên người dùng).
Sửa đổi tài khoản
Tính năng đồng bộ hóa danh mục sẽ giám sát những thay đổi đối với thuộc tính đã đồng bộ hóa, đồng thời tự động cập nhật những thay đổi này trong Apple School Manager. IdP sẽ quyết định chu kỳ đồng bộ hóa những thay đổi này.
Gỡ bỏ tài khoản
Khi một tài khoản người dùng bị gỡ bỏ trong Google Workspace, Microsoft Entra ID hoặc IdP, tài khoản tương ứng trong Apple School Manager sẽ bị hủy kích hoạt và gắn cờ để xóa. Tài khoản đã hủy kích hoạt sẽ bị đăng xuất khỏi các thiết bị và không thể đăng nhập lại. Nếu không được đồng bộ hóa lại trong vòng 120 ngày sau đó, tài khoản sẽ tự động bị gỡ bỏ.
Giới thiệu về ID cá nhân
Để xác định các tài khoản xung đột, khi tài khoản người dùng được đồng bộ hóa lần đầu bằng OIDC hoặc SIS với Apple School Manager, một ID cá nhân sẽ tự động được tạo cho tài khoản người dùng đó.
Quan trọng: Không thể tự động tạo ID cá nhân cho tài khoản người dùng được nhập bằng SFTP vì những ID đó đã được tạo trong tệp .csv được tải lên Apple School Manager. Nếu bạn ngắt kết nối khỏi Google Workspace, Microsoft Entra ID hoặc IdP của mình và tải người dùng lên lần nữa, người dùng mới sẽ được tạo trừ phi ID cá nhân trong tệp .csv khớp với ID cá nhân ban đầu được chỉ định bởi quá trình đồng bộ hóa danh bạ ban đầu. Xem Tải lên dữ liệu Hệ thống thông tin của học sinh/sinh viên.
Nếu bạn sửa đổi ID cá nhân trong Apple School Manager cho tài khoản người dùng đã đồng bộ hóa từ trước, tài khoản người dùng đó sẽ không còn được ghép đôi với Google Workspace, Microsoft Entra ID hoặc IdP của bạn nữa. Nếu muốn kết nối lại tài khoản người dùng, bạn cần giải quyết xung đột ID cá nhân.