Synchroniser des comptes utilisateur Microsoft Entra ID avec Apple School Manager
Vous pouvez utiliser OIDC (Open ID Connect) pour synchroniser des comptes utilisateur avec Apple School Manager. Ce système vous permet d’ajouter des propriétés Apple School Manager (comme le niveau scolaire et les rôles) avec des données de comptes utilisateur importées depuis Microsoft Entra ID. Lorsque vous utilisez OIDC pour synchroniser des comptes utilisateur, les informations des comptes sont ajoutées en lecture seule jusqu’à ce que vous vous déconnectiez de Microsoft Entra ID. Les comptes utilisateur deviennent alors des comptes manuels et leurs attributs peuvent être modifiés.
Avant de commencer
Avant d’effectuer la synchronisation avec Microsoft Entra ID à l’aide d’une connexion OIDC, vous devez effectuer les opérations suivantes :
Si nécessaire, configurez et validez le domaine que vous souhaitez utiliser. Consultez la rubrique Connexion à de nouveaux domaines. Si vous avez déjà validé le domaine que vous souhaitez fédérer avec Google Workspace, vous pouvez ignorer ce processus.
Déconnectez-vous de votre Système d’information pour la gestion de l’éducation (SIGE) ou arrêtez les chargements à l’aide du protocole SFTP.
Configurez, fédérez et activez un domaine. Consultez la rubrique Utiliser l’authentification fédérée avec Microsoft Entra ID.
Lorsque vous configurez la connexion, vous devez utiliser l’adresse e-mail d’un utilisateur disposant du rôle d’administrateur, de gestionnaire de site ou de gestionnaire de personnes afin qu’il puisse recevoir des notifications de la part de Microsoft Entra ID.
Demandez à un administrateur général Microsoft Entra ID disposant des autorisations nécessaires de modifier les paramètres Microsoft Entra ID.
Comptes utilisateur Microsoft Entra ID et Apple School Manager
Lorsqu’un compte utilisateur Microsoft Entra ID est synchronisé avec Apple School Manager à l’aide d’OIDC, le rôle d’étudiant est attribué par défaut. Une fois la synchronisation terminée, les attributs de compte utilisateur suivants peuvent être modifiés :
Rôles
Niveau scolaire
Nom d’utilisateur dans le Système d’information pour la gestion de l’éducation (SIGE)
Ces attributs sont conservés avec le compte utilisateur dans Apple School Manager et ne sont pas enregistrés dans Microsoft Entra ID.
Important : Ne gardez pas le même nom d’utilisateur pendant plus de 120 jours dans l’app Apple School Manager d’Entra ID.
Attribut de connexion
Apple School Manager exige que l’attribut utilisé pour l’identifiant Apple géré soit unique. Il s’agit normalement de l’adresse e‑mail de l’utilisateur. Si un utilisateur possède un attribut qui est exactement le même que celui d’un utilisateur d’Apple School Manager existant ayant le rôle Administrateur, aucune synchronisation n’est effectuée et le champ source reste inchangé.
Nom d’utilisateur principal
Si un compte utilisateur possède un nom d’utilisateur principal identique à celui d’un compte utilisateur doté du rôle d’administrateur, de gestionnaire de site ou de gestionnaire de personnes, aucune synchronisation ne sera effectuée et le champ source ne sera pas modifié, et ce quel que soit le mode de synchronisation utilisé à l’origine (SIGE ou SFTP).
Identifiant de la personne
Lorsqu’un compte utilisateur Microsoft Entra ID est synchronisé avec Apple School Manager, un identifiant de personne est créé pour le compte utilisateur Apple School Manager. L’identifiant de personne permet d’identifier les comptes utilisateur en conflit. En outre, l’identifiant de personne est automatiquement généré pour les utilisateurs synchronisés à l’aide d’OIDC ou de l’intégration d’un système SIGE. Toutefois, cet identifiant n’est pas automatiquement généré pour les utilisateurs importés à l’aide du protocole SFTP.
Si Microsoft Entra ID est déconnecté et que des utilisateurs sont à nouveau chargés à l’aide du protocole SFTP, d’autres utilisateurs seront créés, sauf si l’identifiant de personne présent dans le fichier de chargement SFTP correspond à l’identifiant de personne qui a été attribué par la synchronisation OIDC. Consultez la rubrique Charger les données d’un Système d’information pour la gestion de l’éducation dans Apple School Manager.
Points importants à prendre en compte si vous modifiez l’identifiant de personne :
Si vous modifiez l’identifiant de personne d’un compte utilisateur précédemment importé depuis Microsoft Entra ID, ce dernier ne sera plus associé à Microsoft Entra ID.
Si vous modifiez l’identifiant de personne d’un compte utilisateur précédemment importé depuis Microsoft Entra ID et que vous souhaitez reconnecter ce dernier, consultez la rubrique Résoudre les conflits de comptes utilisateur OIDC Microsoft Entra ID.
Locataires Microsoft Entra ID
Pour utiliser OIDC avec Apple School Manager, votre organisation ne doit pas disposer du même locataire Microsoft Entra ID qu’une autre organisation Apple School Manager. Si vous souhaitez utiliser OIDC pour votre organisation, contactez votre administrateur général Microsoft Entra ID pour vous assurer qu’aucune autre organisation n’utilise votre locataire Entra ID pour OIDC.
Groupes Microsoft Entra ID
Dans Microsoft Entra ID, l’interface utilisateur vous permet de synchroniser des comptes de groupe, mais seuls les comptes utilisateur appartenant à ces groupes sont pris en charge pour la synchronisation.
Si vous possédez un compte de groupe configuré dans Microsoft Entra ID, vous pouvez ajouter ce groupe à l’app Apple School Manager d’Entra ID plutôt que d’ajouter chaque utilisateur.
Remarque : Les sous-groupes ne sont pas pris en charge dans l’app Apple School Manager d’Entra ID.
Mappage des attributs utilisateur OIDC
Lorsqu’un compte utilisateur Microsoft Entra ID est synchronisé avec Apple School Manager à l’aide de SCIM, les attributs utilisateur suivants sont enregistrés en lecture seule. Le tableau indique également si l’attribut utilisateur est requis ou non.
Important : L’ajout d’attributs ne figurant pas dans le tableau peut rompre la connexion OIDC.
Attribut utilisateur Microsoft Entra ID | Attribut utilisateur dans Apple School Manager | Requis |
|---|---|---|
givenName | Prénom |
|
surname | Nom |
|
Nom d’utilisateur principal | Identifiant Apple géré et adresse e-mail |
|
objectId | (N’apparaît pas dans Apple School Manager. Cet attribut permet d’identifier les comptes en conflit.) |
|
Département | Département |
|
Identifiant d’employé | Numéro personnel |
|
employeeOrgData.costCenter | Centre de coût |
|
employeeOrgData.division | Division |
|
Activer Microsoft Entra Connect Sync
Dans Apple School Manager
, connectez‑vous avec un compte disposant du rôle Administrateur, Gestionnaire de site ou Gestionnaire de personnes.Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences
, puis sélectionnez Identifiants Apple gérés
.Activez Microsoft Entra Connect Sync, puis sélectionnez Synchroniser.
Synchronisation manuelle
Vous pouvez synchroniser manuellement Apple School Manager avec Microsoft Entra ID pour importer toute modification apportée dans Microsoft Entra ID.
Dans Apple School Manager
, connectez‑vous avec un compte disposant du rôle Administrateur, Gestionnaire de site ou Gestionnaire de personnes.Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences
, puis sélectionnez Identifiants Apple gérés.Sélectionnez Synchroniser sous Microsoft Entra ID.