Introdução à sincronização de diretórios com o Apple School Manager
Pode utilizar o OpenID Connect (OIDC) com o Apple School Manager para sincronizar contas de utilizador a partir do seguinte:
Google Workspace
Microsoft Entra ID
O seu fornecedor de identidade (IdP)
Alguns IdP também podem utilizar o Sistema de gestão de identidade entre domínios (SCIM)
Nota: Pode sincronizar com o Google Workspace, o Microsoft Entra ID ou o seu IdP, mas apenas um de cada vez.
Antes de começar
Antes de sincronizar com o Google Workspace, o Microsoft Entra ID ou o seu IdP, considere o seguinte:
A sincronização de grupos de utilizadores não é suportada.
Requisitos
Se necessário, confirme manualmente um domínio. Consulte Adicionar e confirmar um domínio.
Tem de ativar a autenticação vinculada. Consulte Introdução à autenticação vinculada.
Entre em contacto com uma pessoa com a função de Administração com permissões para editar o Google Workspace, o Microsoft Entra ID ou o seu IdP, ou outras definições do IdP.
Desligue o Sistema de Informações de Alunos (SIA) ou interrompa as cargas através do SFTP.
O Apple School Manager requer que o atributo utilizado para a conta Apple gerida seja único. Normalmente, é o endereço de e-mail do(a) utilizador(a). Se um(a) utilizador(a) tiver um atributo que seja exatamente igual ao de um(a) utilizador(a) do Apple School Manager existente que tenha a função de Administração, não é realizada a sincronização e o campo de origem permanece inalterado.
Ao configurar a ligação inicial, deve utilizar o endereço de e-mail de um utilizador com função de Administração, Gestão de estabelecimento ou Gestão de pessoas, para que possa receber notificações do Google Workspace, do Microsoft Entra ID ou de outro IdP com o qual está a efetuar a sincronização.
Requisitos específicos do IdP
Ao fazer a associação ao Microsoft Entra ID:
Para utilizar o OIDC com o Apple School Manager, a sua organização não pode ter o mesmo inquilino do Microsoft Entra ID de outra organização do Apple School Manager. Se pretender utilizar o OIDC na sua organização, contacte a pessoa com a função de Administração global do Microsoft Entra ID para garantir que nenhuma outra organização está a utilizar o seu inquilino do Entra ID para o OIDC.
Se uma conta de utilizador tiver um Nome principal de utilizador (UPN) que seja exatamente igual a uma conta de utilizador existente que tenha a função de Administração, Gestão de estabelecimento ou Gestão de pessoas, não é realizada a sincronização e o campo de origem permanece inalterado. Isto ocorre independentemente do método de sincronização originalmente utilizado (SIS ou SFTP).
Quando fizer a associação a um IdP que não seja o Google Workspace ou o Microsoft Entra ID, reúna as seguintes informações:
Campo do identificador único para utilizadores: o valor deste atributo é, normalmente, o endereço de e-mail do(a) utilizador(a). Este campo é utilizado para criar a conta Apple gerida do(a) utilizador(a). Por exemplo, pode ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de Início de sessão único: consulte a documentação do seu IdP.
URL da chamada de retorno de autorização: consulte a documentação do seu IdP.
Alterações automáticas
Monitoriza as alterações efetuadas à conta de utilizador e sincroniza-as automaticamente com o Apple School Manager.
Nota: Os carregamentos de ficheiros para o Apple School Manager através do SFTP não suportam a sincronização automática.
Remove automaticamente Contas Apple geridas quando as contas de utilizador correspondentes são removidas no Google Workspace, no Microsoft Entra ID ou no seu IdP.
Quando uma conta de utilizador é sincronizada com o Apple School Manager, a função predefinida é Aluno(a). Depois de a sincronização estar concluída, é possível editar os seguintes atributos da conta de utilizador:
Funções
Nível de ensino
Nome de utilizador do Sistema de Informações de Alunos (SIA)
Estes atributos são armazenados com a conta de utilizador no Apple School Manager e não são novamente gravados no Google Workspace, no Microsoft Entra ID, nem no seu IdP.
As informações da conta sincronizadas são adicionadas como informações só de leitura até que desative a sincronização. Nesse momento, as contas tornam-se contas manuais, sendo possível editar os respetivos atributos (tais como nomes de utilizador).
Nota: A sincronização inicial é mais demorada do que os ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência são sincronizados os utilizadores.
Acerca do ID da pessoa
Para identificar contas em conflito, quando uma conta de utilizador é sincronizada inicialmente através do OIDC ou do SIA com o Apple School Manager, o ID da pessoa é automaticamente gerado para essa conta de utilizador.
Importante: O ID da pessoa não é automaticamente gerado para contas de utilizador importadas através do SFTP porque esses ID são criados nos ficheiros que são carregados para o Apple School Manager. Se interromper a ligação ao Google Workspace, ao Microsoft Entra ID ou ao seu IdP e voltar a carregar utilizadores, são criados novos utilizadores, a menos que o ID da pessoa nos ficheiros de carregamento do SFTP corresponda ao ID da pessoa inicialmente atribuído pela sincronização de diretórios inicial. Consulte Carregar dados do Sistema de informação do aluno.
Se alterar o ID da pessoa no Apple School Manager para uma conta de utilizador sincronizada anteriormente, essa conta de utilizador deixa de ser emparelhada com o Google Workspace, o Microsoft Entra ID ou o seu IdP. Se pretender voltar a ligar a conta de utilizador, tem de resolver o conflito de ID da pessoa.