从 Microsoft Entra ID 将用户帐户同步到 Apple 校园教务管理
你可以使用 OpenID Connect (OIDC) 将用户帐户同步到 Apple 校园教务管理。利用这个系统,你可以将 Apple 校园教务管理属性(如年级和职务)和从 Microsoft Entra ID 导入的用户帐户数据合并。当你使用 OIDC 来同步用户帐户时,系统会以只读形式添加帐户信息,直到你断开与 Microsoft Entra ID 的连接。断开连接后,用户帐户将变为手动帐户,你便可以编辑帐户中的属性。
开始操作前
在使用 OIDC 连接同步到 Microsoft Entra ID 之前,必须执行以下操作:
如有必要,请配置并验证你要使用的域。请参阅关联新域。如果你已经验证了想要与 Google Workspace 进行联合认证的域,可以跳过这个过程。
断开与学生信息系统 (SIS) 的连接,或停止通过 SFTP 上传。
配置、联合并启用域。请参阅“搭配 Microsoft Entra ID 使用联合验证”。
配置连接时,应使用具有管理员、机构经理或人员经理职务的用户的电子邮件地址,以便以上用户接收 Microsoft Entra ID 的通知。
安排一位有权限编辑 Microsoft Entra ID 设置的 Microsoft Entra ID 全局管理员待命。
Microsoft Entra ID 用户帐户和 Apple 校园教务管理
使用 OIDC 将用户帐户从 Microsoft Entra ID 同步到 Apple 校园教务管理时,默认职务是“学生”。同步完成后,可以编辑以下用户帐户属性:
职务
年级
学生信息系统 (SIS) 用户名
这些属性与用户帐户一起储存在 Apple 校园教务管理中,不会写回到 Microsoft Entra ID。
【重要事项】在 Apple 校园教务管理 Entra ID App 中,120 天内不可使用重复的用户名。
登录属性
Apple 校园教务管理要求用于管理式 Apple ID 的属性必须是唯一的。这通常是用户的电子邮件地址。如果用户的属性与具有管理员角色的现有 Apple 校园教务管理用户完全相同,则不会执行同步,并且源字段将保持不变。
用户主体名称
如果用户帐户的用户主体名称 (UPN) 与具有管理员、机构经理或人员经理职务的现有用户帐户完全相同,则不会执行同步,并且源字段将保持不变。无论最初使用哪种同步方法(SIS 或 SFTP),都会出现这种情况。
人员 ID
当 Microsoft Entra ID 用户帐户同步到 Apple 校园教务管理时,系统会为对应的 Apple 校园教务管理用户帐户创建人员 ID。这个人员 ID 用于识别存在冲突的用户帐户。此外,对于使用 OIDC 或使用 SIS 集成同步的用户,系统将自动生成人员 ID,但使用 SFTP 导入的用户不会自动生成人员 ID。
如果 Microsoft Entra ID 连接已断开并且需使用 SFTP 再次上传用户,除非上传的 SFTP 文件中的人员 ID 与通过 OIDC 同步分配的人员 ID 相匹配,否则系统会创建新用户。请参阅将学生信息系统数据上传到 Apple 校园教务管理。
修改人员 ID 时的重要注意事项:
如果你为之前从 Microsoft Entra ID 导入的用户帐户修改了人员 ID,这个帐户将不再与 Microsoft Entra ID 配对。
如果你为之前从 Microsoft Entra ID 导入的用户帐户修改了人员 ID,并且希望重新关联该用户帐户,请参阅“解决 Microsoft Entra ID OIDC 用户帐户冲突”。
Microsoft Entra ID 租户
要在 Apple 校园教务管理中使用 OIDC,你的组织就不得与其他 Apple 校园教务管理组织拥有相同的 Microsoft Entra ID 租户。如果你想为组织使用 OIDC,请联系你的 Microsoft Entra ID 全局管理员,确保没有其他组织使用你的 Entra ID 租户配置 OIDC。
Microsoft Entra ID 群组
在 Microsoft Entra ID 中,你可以使用用户界面同步群组帐户,但只支持这些群组内的用户帐户进行同步。
如果你在 Microsoft Entra ID 中配置了群组帐户,可以将相应群组添加到 Apple 校园教务管理 Entra ID App 中,而不必逐一添加用户。
【注】Apple 校园教务管理 Entra ID App 不支持子群组。
OIDC 用户属性映射
使用 OIDC 将用户帐户从 Microsoft Entra ID 同步到 Apple 校园教务管理时,以下用户属性会储存为只读状态。另外,该表还标明了用户属性是否为必备属性。
【重要事项】添加表中未列出的属性可能会导致 OIDC 连接中断。
Microsoft Entra ID 用户属性 | Apple 校园教务管理用户属性 | 必备权限 |
|---|---|---|
名字 | 名字 |
|
姓氏 | 姓氏 |
|
用户主体名称 | 管理式 Apple ID 和电子邮件地址 |
|
对象 ID | (Apple 校园教务管理中不显示。此属性用于识别冲突的帐户。) |
|
部门 | 部门 |
|
员工 ID | 人员编号 |
|
employeeOrgData.costCenter | 成本中心 |
|
employeeOrgData.division | 公司 |
|
启用 Microsoft Entra Connect 同步
在 Apple 校园教务管理中
,使用具有管理员、机构经理或人员经理职务的用户登录。在边栏底部选择你的姓名,选择“偏好设置”
,然后选择“管理式 Apple ID”
。启用 Microsoft Entra Connect 同步,然后选择“立即同步”。
手动同步
你可以手动将 Apple 校园教务管理同步至 Microsoft Entra ID,以导入在 Microsoft Entra ID 中进行的任何更改。
在 Apple 校园教务管理中
,使用具有管理员、机构经理或人员经理职务的用户登录。在边栏底部选择你的姓名,选择“偏好设置”
,然后选择“管理式 Apple ID”。选择“Microsoft Entra ID”下的“立即同步”。