Giới thiệu về việc đồng bộ hóa danh mục với Apple School Manager
Bạn có thể sử dụng OpenID Connect (OIDC) với Apple School Manager để đồng bộ hóa tài khoản người dùng từ những nguồn sau:
Google Workspace
Microsoft Entra ID
Nhà cung cấp nhận dạng (IdP)
Một số IdP cũng có thể sử dụng Hệ thống quản lý danh tính liên miền (SCIM)
Ghi chú: Bạn có thể đồng bộ hóa với Google Workspace, Microsoft Entra ID hoặc IdP của mình, nhưng chỉ có thể thực hiện lần lượt.
Trước khi bạn bắt đầu
Trước khi đồng bộ hóa với Google Workspace, Microsoft Entra ID hoặc IdP của bạn, hãy cân nhắc những điều sau:
Không hỗ trợ đồng bộ hóa nhóm người dùng.
Yêu cầu
Nếu cần, hãy xác minh tên miền theo cách thủ công. Xem Thêm và xác minh tên miền.
Bạn phải bật xác thực có liên kết. Tham khảo Giới thiệu về xác thực có liên kết.
Yêu cầu quản trị viên có quyền sửa cài đặt Google Workspace, Microsoft Entra ID hoặc IdP khác sẵn sàng hỗ trợ.
Ngắt kết nối khỏi Hệ thống thông tin học sinh/sinh viên (SIS) hoặc ngừng tải lên bằng SFTP.
Apple School Manager yêu cầu thuộc tính dùng cho Tài khoản Apple được quản lý phải là duy nhất. Đây thường là địa chỉ email của người dùng. Nếu một người dùng có thuộc tính giống hệt thuộc tính của người dùng hiện giữ vai trò Quản trị viên trong Apple School Manager thì quy trình đồng bộ hóa sẽ không diễn ra và trường nguồn không thay đổi.
Khi định cấu hình kết nối ban đầu, bạn cần sử dụng địa chỉ email của người dùng giữ vai trò Quản trị viên, Người quản lý tổ chức hoặc Quản lý người dùng để họ có thể nhận thông báo từ Google Workspace, Microsoft Entra ID hoặc IdP khác mà bạn đang đồng bộ hóa.
Yêu cầu đặc thù của IdP
Khi liên kết tới Microsoft Entra ID:
Để dùng OIDC với Apple School Manager, tổ chức của bạn không được sử dụng đối tượng thuê Microsoft Entra ID giống với bất kỳ tổ chức Apple School Manager nào khác. Nếu bạn muốn sử dụng OIDC cho tổ chức của mình, hãy liên hệ với Quản trị viên toàn cầu Microsoft Entra ID để đảm bảo rằng không có tổ chức nào khác đang sử dụng đối tượng thuê Entra ID của bạn cho OIDC.
Nếu tài khoản người dùng có Tên chính của người dùng (UPN) giống hệt với tài khoản người dùng hiện giữ vai trò Quản trị viên, Người quản lý tổ chức hoặc Quản lý người dùng thì quá trình đồng bộ hóa sẽ không diễn ra và trường nguồn sẽ không thay đổi. Tình huống này sẽ xảy ra bất kể ban đầu bạn dùng phương pháp đồng bộ nào (SIS hay SFTP).
Khi liên kết với IdP không phải Google Workspace hay Microsoft Entra ID, bạn cần những thông tin sau:
Trường mã nhận dạng duy nhất cho người dùng: Giá trị của thuộc tính này thường là địa chỉ email của người dùng. Trường này được dùng để tạo Tài khoản Apple được quản lý cho người dùng. Ví dụ: Đó có thể là userName.
Phương thức xác thực: SAML 2.0.
Chế độ xác thực: OAuth 2.
URL đăng nhập một lần: Tham khảo tài liệu của IdP.
URL gọi lại ủy quyền: Tham khảo tài liệu của IdP.
Thay đổi tự động
Theo dõi các thay đổi về tài khoản người dùng và tự động đồng bộ hóa những thay đổi đó với Apple School Manager.
Ghi chú: Quá trình tải tệp lên Apple School Manager bằng SFTP không hỗ trợ chức năng đồng bộ hóa tự động.
Tự động xóa Tài khoản Apple được quản lý khi tài khoản người dùng tương ứng bị xóa trong Google Workspace, ID Microsoft Entra hoặc IdP của bạn.
Khi tài khoản người dùng được đồng bộ hóa với Apple School Manager, thì vai trò mặc định sẽ là Học sinh/sinh viên. Sau khi quá trình đồng bộ hóa hoàn tất, bạn có thể sửa những thuộc tính tài khoản dùng sau đây:
Vai trò
Cấp lớp
Tên người dùng trong Hệ thống thông tin của Học sinh/Sinh viên (SIS)
Các thuộc tính này được lưu trữ cùng với tài khoản người dùng trong Apple School Manager và sẽ không được ghi lại vào Google Workspace, Microsoft Entra ID, hoặc IdP.
Thông tin tài khoản đã đồng bộ hóa sẽ được thêm vào dưới dạng chỉ đọc cho đến khi bạn tắt tính năng đồng bộ hóa. Khi đó, các tài khoản này sẽ trở thành tài khoản thủ công và bạn có thể sửa các thuộc tính trong đó (chẳng hạn như tên người dùng).
Ghi chú: Quá trình đồng bộ hóa ban đầu sẽ mất nhiều thời gian hơn các chu trình tiếp theo. Tham khảo tài liệu của IdP để biết tần suất họ đồng bộ hóa người dùng.
Giới thiệu về ID cá nhân
Để xác định các tài khoản xung đột, khi tài khoản người dùng được đồng bộ hóa lần đầu bằng OIDC hoặc SIS với Apple School Manager, một ID cá nhân sẽ tự động được tạo cho tài khoản người dùng đó.
Quan trọng: Không thể tự động tạo ID cá nhân cho tài khoản người dùng được nhập bằng SFTP vì những ID đó đã được tạo trong các tệp được tải lên Apple School Manager. Nếu bạn ngắt kết nối khỏi Google Workspace, Microsoft Entra ID hoặc IdP của mình và tải người dùng lên lần nữa, người dùng mới sẽ được tạo trừ phi ID cá nhân trong tệp tải lên SFTP khớp với ID cá nhân ban đầu được chỉ định bởi quá trình đồng bộ hóa danh mục ban đầu. Xem Tải lên dữ liệu Hệ thống thông tin học sinh/sinh viên.
Nếu bạn sửa đổi ID cá nhân trong Apple School Manager cho tài khoản người dùng đã đồng bộ hóa trước đó, tài khoản người dùng đó sẽ không còn được ghép đôi với Google Workspace, Microsoft Entra ID hoặc IdP của bạn nữa. Nếu muốn kết nối lại tài khoản người dùng, bạn phải giải quyết xung đột ID cá nhân.