「Apple 校務管理」的目錄同步簡介
目錄同步可協助將「Apple 校務管理」中的資料與你的身分提供者 (IdP) 保持一致並即時更新。透過目錄同步,當發生以下情況時,你的 IdP 會自動通知「Apple 校務管理」,並使其更新相關資訊:
建立新的使用者帳號
變更使用者帳號資訊
刪除使用者帳號
你可以搭配「Apple 校務管理」使用 OpenID Connect (OIDC) 來同步下列使用者帳號(但一次只能處理一個):
Google Workspace
Microsoft Entra ID
你的 IdP
某些 IdP 還可以使用跨網域身分管理系統 (SCIM)
開始之前
同步至 Google Workspace、Microsoft Entra ID 或你的 IdP 之前,請考慮下列事項:
不支援同步使用者群組。
執行初始同步所需的時間會比執行後續週期更長。請參閱你的 IdP 文件,瞭解使用者的同步頻率。
要求
如有必要,請手動驗證網域。請參閱新增並驗證網域。
需開啟聯合驗證,請參閱〈聯合驗證簡介〉。
讓具備編輯 Google Workspace、Microsoft Entra ID 或其他 IdP 設定權限的管理員保持待命。
中斷與學生資訊系統 (SIS) 的連線,或停止使用 SFTP 進行上傳。
使用 Apple 校務管理時,管理式 Apple 帳號所用的屬性不得重複。這通常會是使用者的電子郵件地址。如果有使用者的屬性與具備管理員職務的現有 Apple 校務管理使用者完全相同,則不會執行同步,且來源欄位會保持不變。
設定初始連線時,需使用職務為管理員、機構經理或成員經理的使用者電子郵件地址,以便所要同步的 Google Workspace、Microsoft Entra ID 或其他 IdP 發送通知給他們。
IdP 特定要求
連結至 Microsoft Entra ID 時:
若要搭配「Apple 校務管理」使用 OIDC,你的機構不能與任何其他「Apple 校務管理」機構有相同的 Microsoft Entra ID 租用戶。如果你的機構要使用 OIDC,請洽詢 Microsoft Entra ID 全域管理員,確保沒有其他機構將你的 Entra ID 租用戶用於 OIDC。
如果使用者帳號的使用者主體名稱 (UPN) 與擁有管理員、機構經理或成員經理職務的現有使用者帳號完全相同,則不會執行同步,且來源欄位保持不變。無論原先使用的同步方法為何(SIS 或 SFTP)。
連結至非 Google Workspace 或 Microsoft Entra ID 的 IdP 時,請具有下列資訊:
使用者的唯一識別碼欄位:此屬性的值通常是使用者的電子郵件地址。這會用來建立使用者的管理式 Apple 帳號。例如,這可能會是 userName。
驗證方式:SAML 2.0。
驗證模式:OAuth 2。
單一登入 URL:參閱你的 IdP 文件。
授權回撥 URL:參閱你的 IdP·文件。
自動變更
帳號建立
當目錄同步設定完成後,使用者帳號會同步至「Apple 校務管理」,並指派為學生職務。同步的帳號資訊會以唯讀方式新增,但使用者帳號的職務、年級以及學生資訊系統 (SIS) 使用者名稱屬性仍可編輯。這些屬性會隨「Apple 校務管理」中的使用者帳號一起儲存,而不會寫回至 Google Workspace、Microsoft Entra ID 或你的 IdP。
【注意】使用 SFTP 之「Apple 校務管理」的檔案上傳不支援自動同步。
當聯合驗證關閉時,這些帳號會變成手動帳號,並可編輯其屬性 (例如使用者名稱)。
帳號修改
目錄同步會監控同步屬性的變更情況,並自動在「Apple 校務管理」中更新資訊。變更的同步間隔視 IdP 而定。
帳號移除
從 Google Workspace、Microsoft Entra ID 或你的 IdP 移除使用者帳號時,「Apple 校務管理」中的對應帳號會停用,並標記為待刪除。停用的帳號會從裝置登出,且無法重新登入。除非該帳號在接下來的 120 天內再次同步,否則系統會自動將其移除。
關於成員 ID
為了識別衝突的帳號,當使用 OIDC 或 SIS 將使用者帳號初始同步至「Apple 校務管理」時,系統會為該使用者帳號自動產生成員 ID。
【重要事項】系統不會為使用 SFTP 匯入的使用者帳號自動產生成員 ID,因為這些 ID 是在上傳至「Apple 校務管理」的 .csv 檔案中建立。若中斷與 Google Workspace、Microsoft Entra ID 或 IdP 的連線並重新上傳使用者,除非 .csv 檔案中的成員 ID 與初始目錄同步初始指派的成員 ID 相符,否則會建立新的使用者。請參閱上傳學生資訊系統資料。
如果你為先前同步的使用者帳號修改了「Apple 校務管理」中的成員 ID,該使用者帳號將無法再與 Google Workspace、Microsoft Entra ID 或你的 IdP 配對。若要重新連線至該使用者帳號,則需解決成員 ID 衝突。