「Apple 校務管理」的目錄同步簡介
你可以搭配「Apple 校務管理」使用 OpenID Connect (OIDC) 來同步下列使用者帳號:
Google Workspace
Microsoft Entra ID
你的身分提供者 (IdP)
某些 IdP 還可以使用跨網域身分管理系統 (SCIM)
【注意】你可以同步至 Google Workspace、Microsoft Entra ID 或你的 IdP,但一次只能同步其中一個。
開始之前
同步至 Google Workspace、Microsoft Entra ID 或你的 IdP 之前,請考慮下列事項:
不支援同步使用者群組。
要求
如有必要,請手動驗證網域。請參閱新增並驗證網域。
你必須開啟聯合驗證。請參閱〈聯合驗證簡介〉。
讓具備編輯 Google Workspace、Microsoft Entra ID 或其他 IdP 設定權限的管理員保持待命。
中斷與學生資訊系統 (SIS) 的連線,或停止使用 SFTP 進行上傳。
使用 Apple 校務管理時,管理式 Apple 帳號所用的屬性不得重複。這通常會是使用者的電子郵件地址。如果有使用者的屬性與具備管理員職務的現有 Apple 校務管理使用者完全相同,則不會執行同步,且來源欄位會保持不變。
設定初始連線時,你應使用具備管理員、機構經理或成員經理職務之使用者的電子郵件地址,以便他們收到來自你正在同步之 Google Workspace、Microsoft Entra ID 或其他 IdP 的通知。
IdP 特定要求
連結至 Microsoft Entra ID 時:
若要搭配 Apple 校務管理使用 OIDC,你的機構不得與任何其他 Apple 校務管理機構有相同的 Microsoft Entra ID 租用戶。如果你的機構要使用 OIDC,請洽詢 Microsoft Entra ID 全域管理員,確保沒有其他機構將你的 Entra ID 租用戶用於 OIDC。
如果使用者帳號的使用者主體名稱 (UPN) 與擁有管理員、機構經理或成員經理職務的現有使用者帳號完全相同,則不會執行同步,且來源欄位保持不變。無論原先使用的同步方法為何(SIS 或 SFTP)。
連結至非 Google Workspace 或 Microsoft Entra ID 的 IdP 時,請具有下列資訊:
使用者的唯一識別碼欄位:此屬性的值通常是使用者的電子郵件地址。這會用來建立使用者的管理式 Apple 帳號。例如,這可能會是 userName。
驗證方式:SAML 2.0。
驗證模式:OAuth 2。
單一登入 URL:參閱你的 IdP 文件。
授權回撥 URL:參閱你的 IdP·文件。
自動變更
監控使用者帳號變更,並將這些變更自動同步至「Apple 校務管理」。
【注意】使用 SFTP 之「Apple 校務管理」的檔案上傳不支援自動同步。
在 Google Workspace、Microsoft Entra ID 或你的 IdP 中移除對應的使用者帳號時,就會自動移除管理式 Apple 帳號。
將使用者帳號同步至「Apple 校務管理」時,預設職務是學生。完成同步後,可編輯下列使用者帳號屬性:
職務
年級
學生資訊系統 (SIS) 使用者名稱
這些屬性會隨「Apple 校務管理」中的使用者帳號一起儲存,而不會寫回至 Google Workspace、Microsoft Entra ID 或你的 IdP。
系統會以唯讀形式新增同步的帳號資訊,直到你關閉同步為止。屆時,這些帳號會變成手動帳號,並可編輯其屬性 (例如使用者名稱)。
【注意】執行初始同步所需的時間會比執行後續週期更長。請參閱你的 IdP 文件,瞭解使用者的同步頻率。
關於成員 ID
為了識別衝突的帳號,當使用 OIDC 或 SIS 將使用者帳號初始同步至「Apple 校務管理」時,系統會為該使用者帳號自動產生成員 ID。
【重要事項】系統不會為使用 SFTP 匯入的使用者帳號自動產生成員 ID,因為這些 ID 是在上傳至「Apple 校務管理」的檔案中建立。若中斷與 Google Workspace、Microsoft Entra ID 或 IdP 的連線並重新上傳使用者,除非 SFTP 上傳檔案中的成員 ID 與初始目錄同步初始指派的成員 ID 相符,否則會建立新的使用者。請參閱上傳學生資訊系統資料。
如果你為先前同步的使用者帳號修改了「Apple 校務管理」中的成員 ID,該使用者帳號將無法再與 Google Workspace、Microsoft Entra ID 或你的 IdP 配對。若要重新連線至該使用者帳號,你必須解決成員 ID 衝突。