Sincronize contas de usuário do seu provedor de identidade no Apple School Manager
No Apple School Manager é possível usar o OpenID Connect (OIDC) ou System for Cross-domain Identity Management (SCIM) para sincronizar contas de usuário de seu fornecedor de identidade (IdP). Com esse sistema, você combinará as propriedades do Apple School Manager (como nível de escolaridade e funções) com dados de conta de usuário importados do IdP. Quando você usa o SCIM para importar usuários, as informações da conta são adicionadas como somente leitura até que você se desconecte do SCIM. Nesse momento, as contas se tornam contas manuais e os atributos nessas contas (como nomes de usuário) podem então ser editados. A sincronização inicial demora mais do que ciclos subsequentes. Consulte a documentação do seu IdP para saber com que frequência os usuários são sincronizados para o Apple School Manager.
Importante: Você tem apenas 4 dias corridos para concluir a transferência do token para seu IdP e estabelecer uma conexão com sucesso. Caso contrário, você deverá iniciar o processo novamente.
Antes de começar
Antes de sincronizar para o IdP por meio de uma conexão OIDC, faça o seguinte:
Configure e verifique o domínio que você deseja usar. Consulte Adicione e verifique um domínio.
Desconecte-se do Sistema de informações do aluno (SIS) ou pare de fazer upload usando SFTP.
Configure, faça a federação e ative um domínio. Consulte Use a autenticação federada com seu provedor de identidade.
Tenha um administrador do IdP disponível com permissões para editar configurações.
Confira se você tem as seguintes informações e depois entre em contato com o IdP:
Campo de identificação exclusivo para usuários: em geral, o valor deste atributo é o endereço de e-mail do usuário. Ele é usado para criar a Conta Apple gerenciada do usuário. Por exemplo, ele poderá ser userName.
Método de autenticação: SAML 2.0.
Modo de autenticação: OAuth 2.
URL de single sign-on: consulte a documentação do seu IdP.
URL da callback de autorização: consulte a documentação do seu IdP.
Contas de usuário do IdP e do Apple School Manager
Quando um usuário é copiado do seu IdP usando SCIM para o Apple School Manager, a função predefinida é Aluno.
Nota: Os grupos de usuários do seu IdP não estão sincronizados ao Apple School Manager.
Atributo de início de sessão
O Apple School Manager exige que o atributo usado para a Conta Apple gerenciada seja exclusivo. Esse dado costuma ser o endereço de e-mail. Se um usuário tiver um atributo idêntico ao de um usuário existente do Apple School Manager com a função de Administrador, a sincronização não ocorrerá e o campo fonte permanecerá inalterado.
ID de pessoa
Quando uma conta de usuário do IdP for sincronizada com o Apple School Manager, será criado um ID de pessoa para a conta de usuário do Apple School Manager. Esse ID é usado para identificar contas com conflito. Além disso, o ID da pessoa é gerado automaticamente para usuários importados usando o SCIM ou a integração com SIS, mas não é gerado automaticamente de usuários importados usando o SFTP.
Se o SCIM for desconectado e o SFTP for usado para fazer upload de usuários novamente, novos usuários serão criados, a menos que o ID de pessoa no arquivo de upload do SFTP corresponda ao ID de pessoa que foi atribuído pelo SCIM. Confira: Carregar dados do Sistema de informações do estudante para o Apple School Manager.
Considerações importantes no caso de modificação do ID da pessoa:
Se você modificar o ID da pessoa para uma conta de usuário importada anteriormente do IdP, essa conta não será mais emparelhada com o IdP.
Se você modificar o ID de pessoa de uma conta de usuário importada anteriormente do IdP e quiser reconectar a conta de usuário, será necessário resolver o conflito.
Iniciar sessão no IdP
Inicie sessão com seu IdP como administrador e faça um dos seguintes:
Localize o app criado pelo IdP. Você pode ignorar várias etapas nessa tarefa.
Navegue para onde você cria um app ou uma conexão.
Crie o app com as seguintes informações:
Importante: Lembre-se do nome do app SCIM porque talvez ele seja necessário para o URL da callback de autorização.
Apple School Manager: use o AppleSchoolManagerSCIM.
Tipo do app: use o SCIM.
Método de autenticação: use o SAML 2.0.
URL de single sign-on usado para o destinatário e destino: consulte a documentação do IdP.
URI de público: use o ID de entidade.
Salve as alterações.
Configurar os ajustes de provisionamento do app SCIM
Localize a seção de provisionamento do app SCIM do IdP e insira os seguintes valores:
URL de conexão base do SCIM: https://federation.apple.com/feeds/school/scim
URI de token de acesso: https://appleaccount.apple.com/auth/oauth2/v2/token
URI de autorização: https://appleaccount.apple.com/auth/oauth2/v2/authorize
ID de cliente: 123
Segredo do cliente: 123
Importante: Como você ainda não sabe o real ID de cliente SCIM e o segredo de cliente, 123 é usado como um espaço reservado. Você substituirá esses valores em uma tarefa posterior.
Modo de autenticação: OAuth 2.
Campo de identificador exclusivo para usuários: consulte a documentação do seu IdP.
Importante: Certifique-se de corresponder as letras maiúsculas e minúsculas.
Ações de provisionamento compatíveis:
Importar novos usuários e atualizações de perfil.
Enviar novos usuários.
Enviar atualizações de perfil.
Salve as alterações.
Criar o URL da callback de autorização
É necessário criar um URL da callback de autorização para o Apple School Manager para obter registros de usuários do seu IdP que usa o SCIM. Esse URL de callback é baseado no nome do app SCIM criado no IdP.
Lembre-se do nome para o seu app SCIM. Por exemplo:
Apple School Manager: AppleSchoolManagerSCIM
Cole o nome dentro do seguinte URL. Por exemplo:
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Salve o URL da callback de autorização.
Você colará o URL no Apple School Manager na próxima tarefa.
Criar e copiar informações do cliente SCIM no IdP
No Apple School Manager
, inicie sessão com uma conta que tenha a função de Administrador, Gerente de site ou Gerente de pessoas.Selecione seu nome na parte inferior da barra lateral, selecione Preferências
e depois Contas Apple gerenciadas 
.Selecione Ativar ao lado de Sincronização personalizada.
Cole o URL da callback de autorização da tarefa anterior e selecione Criar.
Selecione o aplicativo SCIM e depois, Criar.
Abra um novo arquivo de texto ou uma nova planilha e insira os seguintes valores do Apple School Manager:
Para o ID do cliente OIDC, cole o ID do cliente SCIM.
Para o segredo do ID do cliente OIDC, cole o segredo do ID do cliente SCIM.
Selecione Copiar ao lado do ID do cliente e depois cole o ID do cliente no arquivo.
Selecione Segredo do cliente, escolha por quanto tempo o segredo precisa estar ativo antes de expirar (6, 9 ou 12 meses) e depois cole o segredo do cliente no arquivo.
Importante: Se você apagar ou esquecer o segredo do cliente antes de colá-lo no app SCIM do IdP, será necessário criar um novo segredo de cliente.
Selecione Concluído.
Cole o ID do cliente e o segredo do cliente em seu app SCIM do IdP e verifique a conexão
Volte à seção de provisionamento do app SCIM do IdP e insira os seguintes valores:
ID do cliente SCIM do Apple School Manager
Segredo do cliente SCIM do Apple School Manager
Salve as alterações.
Se seu IdP permitir testar a autenticação usando uma conta de administrador do IdP, teste-a agora. Por exemplo, pode haver um botar “Autenticar com [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM]” ou o nome de sua escolha para o app SCIM.
Insira seu nome e senha de administrador do IdP e, em seguida, insira o valor da autenticação de dois fatores.
Leia as informações de autorização com atenção. Se concordar, selecione Continuar.
Se necessário, agora será possível ativar a autenticação federada para este domínio.
Agora, o IdP e o Apple School Manager estão configurados para sincronizar alterações específicas de atributos de usuário em seu IdP para o Apple School Manager.