Sincronizar cuentas de usuario del proveedor de identidad en Apple School Manager

En Apple School Manager, puedes usar OpenID Connect (OIDC) o el Sistema para la gestión de identidades entre dominios (SCIM) para sincronizar cuentas de usuarios del proveedor de identidad (IdP). Con este sistema, puedes fusionar las propiedades de Apple School Manager (como el curso y las funciones) con los datos de la cuenta del usuario importados desde el proveedor de identidad. Si utilizas SCIM para sincronizar usuarios, la información de la cuenta se añadirá como información de solo lectura hasta que interrumpas la conexión. En ese momento, las cuentas pasarán a ser manuales y sus atributos, como los nombres de usuario, se podrán editar. La primera sincronización tarda más tiempo en completarse que las siguientes. Consulta la documentación del proveedor de identidad para conocer la frecuencia con la que se sincronizan los usuarios en Apple School Manager.

Importante: Solo tienes cuatro días naturales para completar la transferencia del identificador al proveedor de identidad y establecer correctamente una conexión; de lo contrario, deberás volver a iniciar el proceso.

Antes de empezar

Antes de sincronizar con el proveedor de identidad mediante una conexión OIDC, debes hacer lo siguiente:

Configura y verifica el dominio que quieras utilizar. Consulta Enlazar a nuevos dominios.
Desconéctate de tu Sistema de Información de Estudiantes (SIE) o detén las cargas que usen SFTP.
Configura, vincula y activa un dominio. Consulta Utilizar la autenticación vinculada con un proveedor de identidad.
Habla con un administrador del proveedor de identidad con permisos para modificar la configuración.

Asegúrate de disponer de la siguiente información antes de ponerte en contacto con el proveedor de identidad:

Campo de identificador único para los usuarios: el valor de este atributo suele ser la dirección de correo electrónico del usuario. Se utiliza para crear el ID de Apple gestionado del usuario. Por ejemplo, NombreUsuario.
Método de autenticación: SAML 2.0.
Modo de autenticación: OAuth 2.
URL de inicio de sesión único: consulta la documentación del proveedor de identidad.
URL de devolución de llamada de autorización: consulta la documentación del proveedor de identidad.

Cuentas de usuario del proveedor de identidad y Apple School Manager

Cuando se copia un usuario del proveedor de identidad en Apple School Manager mediante SCIM, la función predeterminada es la de Estudiante.

Nota: Los grupos de usuarios del proveedor de identidad no se sincronizan con Apple School Manager.

Atributo de inicio de sesión

Apple School Manager exige que el atributo utilizado para el ID de Apple gestionado sea único. Suele ser la dirección de correo electrónico del usuario. Si un usuario tiene un atributo exactamente igual que un usuario existente de Apple School Manager con la función de administrador, no se completa la sincronización y el campo de origen no se modifica.

ID personal

Al sincronizar una cuenta de usuario del proveedor de identidad en Apple School Manager, se crea un ID personal para la cuenta de usuario de Apple School Manager. Este ID se utiliza para identificar cuentas en conflicto. Además, el ID personal se genera automáticamente para los usuarios importados mediante SCIM o la integración con el SIE, pero no se genera automáticamente a partir de los usuarios importados mediante SFTP.

Si SCIM está desconectado y se usa SFTP para cargar usuarios otra vez, se crearán usuarios nuevos a no ser que el ID personal del archivo cargado en SFTP coincida con el ID personal asignado por SCIM. Consulta Subir datos del Sistema de Información de Estudiantes a Apple School Manager.

Si modificas el ID personal, es importante tener en cuenta estas consideraciones:

Si modificas el ID personal de una cuenta de usuario importada previamente desde el proveedor de identidad, esa cuenta de usuario dejará de estar enlazada con el proveedor.
Si modificas el ID personal de una cuenta de usuario importada previamente desde el proveedor de identidad y quieres volver a conectar la cuenta, tendrás que resolver el conflicto.

Iniciar sesión en el proveedor de identidad

Inicia sesión en el proveedor de identidad como administrador y haz una de las siguientes acciones:
- Localiza la app que ha creado el proveedor de identidad. Puedes saltarte algunos pasos de esta tarea.
- Dirígete a la sección en la que puedas crear una app o una conexión.
Crea la app con la siguiente información:
Importante: Anota el nombre de la app de SCIM porque es posible que lo necesites para la URL de devolución de llamada de autorización.
- Apple School Manager: utiliza AppleSchoolManagerSCIM.
- Tipo de app: utiliza SCIM.
- Método de autenticación: utiliza SAML 2.0.
- URL de inicio de sesión único utilizada para el destinatario y el destino: consulta la documentación del proveedor de identidad.
- URI de audiencia: utiliza el ID de entidad.
Guarda los cambios.

Configurar los ajustes de aprovisionamiento de la app de SCIM

Localiza la sección de aprovisionamiento de la app de SCIM de tu proveedor de identidad e introduce los siguientes valores:
- URL base del conector de SCIM: https://federation.apple.com/feeds/school/scim
- URI de identificador de acceso: https://appleid.apple.com/auth/oauth2/v2/token
- URI de autorización: https://appleid.apple.com/auth/oauth2/v2/authorize
- ID de cliente: 123
- Secreto de cliente: 123
  Importante: Como todavía no sabes cuáles son el ID de cliente y el secreto de cliente de SCIM, se utiliza 123 a modo de marcador de posición. Reemplazarás estos valores más tarde.
- Modo de autenticación: OAuth 2.
- Campo de identificador único para los usuarios: consulta la documentación del proveedor de identidad.
  Importante: Asegúrate de usar las mismas mayúsculas y minúsculas del identificador.
- Acciones de aprovisionamiento compatibles:
  - Importar nuevos usuarios y actualizar los perfiles.
  - Insertar nuevos usuarios.
  - Iniciar la actualización de perfiles.
Guarda los cambios.

Crear la URL de devolución de llamada de autorización

Para que Apple School Manager obtenga registros de usuarios del proveedor de identidad mediante SCIM, debes crear una URL de devolución de llamada de autorización. Esta URL se basa en el nombre de la app de SCIM que creaste en el proveedor.

Recuerda el nombre de tu app de SCIM. Por ejemplo:
- Apple School Manager: AppleSchoolManagerSCIM
Pega el nombre de la app dentro de la siguiente URL. Por ejemplo:
- https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Guarda la URL de devolución de llamada de autorización.
En la siguiente tarea la pegaremos en Apple School Manager.

Crear y copiar la información del cliente de SCIM en tu proveedor de identidad

En Apple School Manager , inicia sesión con un usuario que tenga la función de administrador, gestor de sede o gestor de personas.
Selecciona tu nombre en la parte inferior de la barra lateral, luego, Preferencias y, por último, ID de Apple gestionados.
Selecciona Activar junto a Sincronización personalizada.
Pega la URL de devolución de llamada de autorización de la tarea anterior y selecciona Crear.
Selecciona Aplicación de SCIM y luego Crear.
Abre un nuevo archivo de texto u hoja de cálculo e introduce los siguientes valores de Apple School Manager:
- En el ID de cliente de OIDC, pegue el ID de cliente de SCIM.
- En el secreto de cliente de OIDC, pegue el secreto de cliente de SCIM.
Selecciona Copiar junto a ID de cliente y luego pega el ID de cliente en el archivo.
Selecciona Secreto de cliente, decide cuánto tiempo estará activo antes de que caduque (6, 9 o 12 meses) y luego pega el secreto de cliente en el archivo.
Importante: Si eliminas u olvidas el secreto de cliente antes de pegarlo en la app de SCIM del proveedor de identidad, tendrás que crear otro.
Selecciona Aceptar.

Pegar el ID de cliente y el secreto de cliente en la app de SCIM del proveedor de identidad y comprobar la conexión

Vuelve a la sección de aprovisionamiento de la app de SCIM de tu proveedor de identidad y pega los siguientes valores:
- ID de cliente de SCIM de Apple School Manager
- Secreto de cliente de SCIM de Apple School Manager
Guarda los cambios.
Si tu proveedor de identidad permite probar la autenticación mediante una cuenta de administrador del proveedor, puedes hacerlo ahora. Por ejemplo, puede que veas un botón similar a “Autenticar mediante [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM],” o cualquier otro nombre que hayas asignado a la app de SCIM.
Introduce tu nombre y contraseña de administrador del proveedor de identidad y luego introduce el valor de la autenticación de doble factor.
Si aparece información de autorización, léela detenidamente. Si estás de acuerdo, selecciona Continuar.
Si es necesario, puedes activar ahora la autenticación vinculada para este dominio.

Ya has configurado tu proveedor de identidad y Apple School Manager para sincronizar cambios de atributo específicos de usuarios del proveedor de identidad con Apple School Manager.

Véase tambiénUtilizar la autenticación vinculada con un proveedor de identidad en Apple School Manager Acerca de la URL de devolución de llamada de autorización en Apple School Manager Resolver conflictos de cuentas de usuarios de OIDC o SCIM del proveedor de identidad en Apple School Manager

T'ha sigut útil?

Manual de uso de Apple School Manager