Apple School Manager 的目錄同步簡介
你可以使用 OpenID Connect(OIDC)與 Apple School Manager 同步以下用户帳户:
Google Workspace
Microsoft Entra ID
你的身份識別提供者 (IdP)
部分 IdP 還可以使用跨網域身份管理系統(SCIM)
附註:你可以同步 Google Workspace、Microsoft Entra ID 或你的 IdP,但一次只能同步一項。
事前須知
在你同步至 Google Workspace、Microsoft Entra ID 或你的 IdP 之前,請考慮以下事項:
不支援用户群組同步
運作要求
如有需要,請手動驗證網域。請參閱新增並驗證網域。
你必須開啟聯合認證。請參閱聯合認證簡介。
安排有權編輯 Google Workspace、Microsoft Entra ID 或其他 IdP 設定的管理員。
中斷與學生資訊系統 (SIS) 的連線,或停止使用 SFTP 上載。
Apple School Manager 規定用於管理式 Apple 帳户的屬性不得重複。這通常是用户的電郵地址。如果用户具有與職務為管理員之現有 Apple School Manager 用户相同的屬性,則系統不會執行同步,而且來源欄位保持不變。
設定初始連線時,你應使用職務為「管理員」、「機構經理」或「成員經理」的用户之電郵地址,這樣他們就能收到來自 Google Workspace、Microsoft Entra ID 或其他同步 IdP 的通知。
IdP 特定要求
連結 Microsoft Entra ID 時:
要透過 Apple School Manager 使用 OIDC,你的機構不能擁有與其他 Apple School Manager 機構相同的 Microsoft Entra ID 租用户。如果你想為你的機構使用 OIDC,請與 Microsoft Entra ID 全域管理員聯絡,以確保沒有其他機構將你的 Entra ID 租用户用於 OIDC。
如果用户帳户具有與具備管理員、機構經理或成員經理職務之現有用户帳户相同的用户主體名稱 (UPN),則不會執行同步,來源欄位會保持不變。無論最初使用哪種同步方法 (SIS 或 SFTP),都會發生這種情況。
連結非 Google Workspace 或 Microsoft Entra ID 的 IdP 時,請準備下列資訊:
用户的唯一識別碼欄位:這個屬性的值通常為用户的電郵地址。這是用來建立用户的管理式 Apple 帳户。例如,這個欄位可能是 userName。
驗證方式:SAML 2.0。
驗證模式:OAuth 2。
單次登入 URL:請參閱 IdP 文件。
授權回調 URL:請參閱 IdP 文件。
自動更改
監察用户帳户更改並自動將更改同步至 Apple School Manager。
附註:使用 SFTP 上載至 Apple School Manager 的檔案不支援自動同步。
在 Google Workspace、Microsoft Entra ID 或你的 IdP 中移除相應的用户帳户時,自動移除管理式 Apple 帳户。
將用户帳户同步到 Apple School Manager 時,預設職務為「學生」。完成同步後,就能編輯以下用户帳户屬性:
職務
年級
學生資訊系統 (SIS) 用户名稱
這些屬性會隨 Apple School Manager 的用户帳户一起儲存,而不會寫回 Google Workspace、Microsoft Entra ID 或你的 IdP。
同步帳户資料會以唯讀方式加入,直至你關閉同步。屆時,這些帳户會變成手動帳户,然後你就可以編輯這些帳户中的屬性(例如用户名稱)。
附註:執行初始同步需要比隨後週期更長的時間。請參閱 IdP 文件,了解 IdP 同步用户的頻率。
關於成員 ID
為了識別衝突的帳户,當首次使用 OIDC 或 SIS 將用户帳户同步到 Apple School Manager,系統會自動為該用户帳户產生成員 ID。
重要事項:系統不會為使用 SFTP 匯入的用户帳户自動產生成員 ID,因為這些 ID 在上載至 Apple School Manager 的檔案中建立。如果你中斷與 Google Workspace、Microsoft Entra ID 或 IdP 的連線,並重新上載用户,除非 SFTP 上載檔案中的成員 ID 與初始目錄同步所分派的成員 ID 相符,否則系統會建立新用户。請參閱上載學生資訊系統資料。
如果你在 Apple School Manager 中為先前同步的用户帳户修改成員 ID,該用户帳户將不再與 Google Workspace、Microsoft Entra ID 或你的 IdP 配對。如果要重新連結用户帳户,必須解決成員 ID 衝突。