Introduction à la synchronisation de répertoire dans Apple School Manager
Vous pouvez utiliser OpenID Connect (OIDC) avec Apple School Manager pour synchroniser des comptes utilisateur à partir des fournisseurs d’identité suivants :
Google Workspace
Microsoft Entra ID
Votre fournisseur d’identité
Certains fournisseurs d’identité peuvent également utiliser le système de gestion des identités interdomaines (SCIM).
Remarque : Vous pouvez effectuer une synchronisation avec Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité, mais un seul à la fois.
Avant de commencer
Avant d’effectuer une synchronisation avec Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité, tenez compte des informations suivantes :
La synchronisation des groupes d’utilisateurs n’est pas prise en charge.
Conditions requises
Si nécessaire, validez manuellement un domaine. Consultez la rubrique Ajouter et valider un domaine.
Vous devez activer l’authentification fédérée. Consultez la rubrique Introduction à l’authentification fédérée.
Demandez à un administrateur disposant des autorisations nécessaires de modifier les paramètres de Google Workspace, de Microsoft Entra ID ou d’un autre fournisseur d’identité.
Déconnectez‑vous de votre Système d’information pour la gestion de l’éducation (SIGE) ou arrêtez les chargements à l’aide du protocole SFTP.
Apple School Manager exige que l’attribut utilisé pour le compte Apple géré soit unique. Il s’agit normalement de l’adresse e‑mail de l’utilisateur. Si un utilisateur possède un attribut qui est exactement le même que celui d’un utilisateur d’Apple School Manager existant ayant le rôle Administrateur, aucune synchronisation n’est effectuée et le champ source reste inchangé.
Lorsque vous configurez la connexion initiale, vous devez utiliser l’adresse e-mail d’un utilisateur disposant du rôle d’administrateur, de gestionnaire de site ou de gestionnaire de personnes afin qu’il puisse recevoir des notifications de la part de Google Workspace, de Microsoft Entra ID ou d’un autre fournisseur d’identité avec lequel vous effectuez une synchronisation.
Conditions requises propres au fournisseur d’identité
Lors de la création d’un lien vers Microsoft Entra ID :
Pour utiliser OIDC avec Apple School Manager, votre organisation ne doit pas disposer du même locataire Microsoft Entra ID qu’une autre organisation Apple School Manager. Si vous souhaitez utiliser OIDC pour votre organisation, contactez votre administrateur général Microsoft Entra ID pour vous assurer qu’aucune autre organisation n’utilise votre locataire Entra ID pour OIDC.
Si un compte utilisateur possède un nom d’utilisateur principal identique à celui d’un compte utilisateur doté du rôle d’administrateur, de gestionnaire de site ou de gestionnaire de personnes, aucune synchronisation ne sera effectuée et le champ source ne sera pas modifié, et ce quel que soit le mode de synchronisation utilisé à l’origine (SIGE ou SFTP).
Lors de la création d’un lien vers un fournisseur d’identité autre que Google Workspace ou Microsoft Entra ID, vous devez disposer des informations suivantes :
Champ d’identifiant unique pour les utilisateurs : La valeur de cet attribut est normalement l’adresse e‑mail de l’utilisateur, qui permet de créer son compte Apple géré. Par exemple, il peut s’agir de userName.
Méthode d’authentification : SAML 2.0.
Mode d’authentification : OAuth 2.
URL d’authentification unique : Consultez la documentation de votre fournisseur d’identité.
URL de rappel d’autorisation : Consultez la documentation de votre fournisseur d’identité.
Modifications automatiques
Surveille les modifications apportées aux comptes utilisateur et les synchronise automatiquement avec Apple School Manager.
Remarque : Les chargements de fichiers dans Apple School Manager via SFTP ne prennent pas en charge la synchronisation automatique.
Supprime automatiquement les comptes Apple gérés lorsque les comptes utilisateur correspondants sont supprimés dans Google Workspace, dans Microsoft Entra ID ou auprès de votre fournisseur d’identité.
Lorsqu’un compte utilisateur est synchronisé avec Apple School Manager, le rôle d’étudiant est attribué par défaut. Une fois la synchronisation terminée, les attributs de compte utilisateur suivants peuvent être modifiés :
Rôles
Niveau scolaire
Nom d’utilisateur dans le Système d’information pour la gestion de l’éducation (SIGE)
Ces attributs sont conservés avec le compte utilisateur dans Apple School Manager et ne sont pas enregistrés dans Google Workspace, dans Microsoft Entra ID ni auprès de votre fournisseur d’identité.
Les informations des comptes synchronisés sont ajoutées en lecture seule jusqu’à ce que vous désactiviez la synchronisation. Les comptes deviennent alors des comptes manuels, et leurs attributs (comme leur nom d’utilisateur) peuvent être modifiés.
Remarque : La synchronisation initiale est plus longue que les cycles de synchronisation ultérieurs. Consultez la documentation de votre fournisseur d’identité pour savoir à quelle fréquence il synchronise les utilisateurs.
À propos de l’identifiant de personne
Pour identifier les comptes en conflit, lorsqu’un compte utilisateur est initialement synchronisé à l’aide d’OIDC ou de votre SIGE avec Apple School Manager, un identifiant de personne est généré automatiquement pour ce compte utilisateur.
Important : L’identifiant de personne n’est pas généré automatiquement pour les comptes utilisateur importés via SFTP, car ces identifiants sont créés dans les fichiers chargés dans Apple School Manager. Si vous vous déconnectez de Google Workspace, de Microsoft Entra ID ou de votre fournisseur d’identité et que vous chargez à nouveau des utilisateurs, de nouveaux utilisateurs sont créés sauf si l’identifiant de personne dans les fichiers de chargement SFTP correspond à l’identifiant de personne initialement attribué pr la synchronisation de répertoire initiale. Consultez la rubrique Charger les données d’un Système d’information pour la gestion de l’éducation.
Si vous modifiez l’identifiant de personne dans Apple School Manager pour un compte utilisateur précédemment synchronisé, ce compte utilisateur n’est plus associé à Google Workspace, à Microsoft Entra ID ou à votre fournisseur d’identité. Si vous souhaitez reconnecter le compte utilisateur, vous devez résoudre le conflit d’identifiants de personne.