Introducción a la autenticación vinculada en Apple School Manager
Puedes usar autenticación vinculada para vincular Apple School Manager con lo siguiente:
Google Workspace
Microsoft Entra ID
Tu proveedor de identidad (PI)
Nota: Puedes efectuar la vinculación con Google Workspace, Microsoft Entra ID o tu PI, pero sólo uno a la vez.
Como resultado, los usuarios luego pueden iniciar sesión en sus iPhone, iPad, Mac, Apple Vision Pro y iPad compartido asignados usando su nombre de usuario existente (generalmente su dirección de correo electrónico) y contraseña. Luego de que hayan iniciado sesión en uno de estos dispositivos, también podrán iniciar sesión en iCloud en la web en una Mac (iCloud para Windows no admite Cuentas administradas de Apple).
Importante: Cuando la conexión se haya vencido, se detendrá la vinculación y sincronización de las cuentas de usuario. Debes volver a conectarte para continuar usando la autenticación vinculada y la sincronización.
Hay instancias específicas en las que puedes usar la autenticación vinculada:
Sólo autenticación vinculada
Cuando se vinculan Apple School Manager y Google Workspace, Microsoft Entra ID o tu PI, se crean automáticamente cuentas administradas de Apple para los usuarios. Entonces, pueden iniciar sesión con su nombre de usuario existente (por lo general, su dirección de correo electrónico) y su contraseña.
Consulta los siguientes artículos:
Autenticación vinculada con sincronización del directorio
También puedes sincronizar las cuentas de usuario de Google Workspace, Microsoft Entra ID o tu PI con Apple School Manager. Cuando configuras una conexión con sincronización del directorio, puedes agregar propiedades de Apple School Manager (como grados escolares y funciones) con datos de cuentas de usuario importados de uno de esos servicios. La información de la cuenta de usuario de los servicios se agrega como de solo lectura hasta que desactives la sincronización. En ese momento, las cuentas se vuelven cuentas manuales y se pueden editar sus atributos. Si se elimina una cuenta de usuario de uno de esos servicios, esa cuenta puede eliminarse de Apple School Manager. Consulta los siguientes artículos:
Autenticación vinculada con usuarios de un Sistema de Información de Estudiantes (SIE) o con archivos cargados con el SFTP
Si planeas usar la autenticación vinculada con tus archivos de SIE o CSV, primero deberás configurar y activar la autenticación vinculada.
Si quieres enlazar con Google Workspace, Microsoft Entra ID o tu IdP, y enlazar con tu SIE o cargar archivos usando SFTP, debes hacer lo siguiente:
Puedes realizar una integración con tu SIE o cargar archivos con el SFTP. Toda la información, como clases y listas, se compara con los usuarios de Google Workspace, Microsoft Entra ID o tu PI. Si se elimina una cuenta de usuario de Google Workspace, Microsoft Entra ID o tu PI, una cuenta con privilegios para cambiar el estado de los usuarios debe desactivar esa cuenta de usuario en Apple School Manager.
Importante: Si realizas una integración con un Sistema de Información de Estudiantes (SIE) o importas cuentas de usuario con el protocolo seguro de transferencia de archivos (SFTP), y estás usando la autenticación vinculada, la dirección de correo electrónico del usuario en el SIE debe coincidir con el nombre de usuario de Google Workspace, Microsoft Entra ID o tu PI que el usuario usa para iniciar sesión.
Autenticación vinculada con iPad compartido
Cuando usas la autenticación vinculada con iPad compartido, el proceso de inicio de sesión varía en función de si la cuenta de usuario ya existe en Apple School Manager. Para ver las situaciones de inicio de sesión, consulta Inicia sesión en iPad compartido.
La política del código predeterminado es estándar (8 o más letras y números) y se puede cambiar. Consulta Diferencias en la política de contraseña.
Si el usuario olvida su código, se debe restablecer el código del iPad compartido.
Antes de empezar
Antes de usar la autenticación vinculada con Google Workspace, Microsoft Entra ID o tu IdP, considera lo siguiente:
Requisitos
Los dispositivos Apple deben cumplir con los requisitos mínimos del sistema operativo:
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Debes desconectarte del Sistema de Información de Estudiantes (SIE) o dejar de cargar archivos con SFTP.
Debes bloquear y activar el proceso de captura de dominio. Consulta Bloquea un dominio.
No hay conflictos de la Cuenta administrada de Apple. Consulta Conflictos de la cuenta administrada de Apple.
Las cuentas de usuario con la función de administrador, gestor de sede o gestor de personas no pueden iniciar sesión con la autenticación vinculada; sólo pueden administrar el proceso de vinculación.
Cuando uses la autenticación vinculada, la configuración de formato predeterminado de la cuenta administrada de Apple no se aplica.
Requisitos específicos de IdP
Cuando enlaces con Google Workspace:
En la autenticación vinculada, debe usarse la dirección de correo electrónico del usuario como su nombre de usuario. No se admiten alias.
Cuando enlaces con Microsoft Entra ID:
Debes usar un usuario con la función de Administrador global de Entra ID para completar la tarea de aprobación de la autenticación vinculada que se indica a continuación. Si la conexión se establece correctamente, puedes cambiar la función del usuario de Administrador global a otra que tenga los privilegios necesarios para mantener la conexión. Para obtener más información, consulta Funciones predeterminadas de Microsoft que admiten dominios, sincronización del directorio y lectura de dominios.
La autenticación vinculada con Microsoft Entra ID requiere que el userPrincipalName (UPN) de un usuario coincida con su dirección de correo electrónico. No se admiten alias de userPrincipalName ni ID alternativos.
Cuando enlaces con un IdP, debes tener la siguiente información:
Un dominio verificado que quieras usar. Consulta Agrega y verifica un dominio.
Método de inicio de sesión: usa Open ID Connect (OIDC).
Acceso al alcance: se debe otorgar acceso a
ssf.manageyssf.read.URL de configuración del marco de señales compartidas (SSF): consulta la documentación de tu PI.
URL de configuración de OpenID: consulta la documentación de tu PI.
Cambios automáticos
En el caso de los usuarios existentes de Apple School Manager con una dirección de correo electrónico en el dominio vinculado, su Cuenta administrada de Apple se cambia automáticamente para que coincida con esa dirección de correo electrónico.