Die verknüpfte Authentifizierung mit Google Workspace in Apple Business verwenden
Übersicht
In Apple Business kannst du mittels verknüpfter Authentifizierung eine Verbindung zu Google Workspace herstellen, damit sich die Benutzer:innen mit ihrem Google Workspace-Benutzernamen (in der Regel ihre E‑Mail-Adresse) und -Passwort auf Apple-Geräten anmelden können.
Damit können deine Benutzer:innen ihre Google Workspace-Anmeldedaten als verwalteten Apple Account verwenden. Mit diesen Anmeldedaten können sie sich dann auf dem ihnen zugewiesenen iPhone, iPad, Mac, Apple Vision Pro und auf einem geteilten iPad anmelden. Nachdem sie sich auf einem dieser Geräte angemeldet haben, können sie sich auch bei iCloud im Internet anmelden (iCloud für Windows unterstützt keine verwalteten Apple Accounts).
Google Workspace ist der Identitätsprovider (IdP), der Benutzer:innen für Apple Business authentifiziert und Authentifizierungs-Tokens ausgibt. Diese Authentifizierung unterstützt die Zertifikatsauthentifizierung und die Zwei-Faktor-Authentifizierung (2FA).
Hinweis: Daten werden zu keinem Zeitpunkt in Google Workspace zurückgeschrieben.
Welche Verknüpfungsdaten werden aus Google Workspace gelesen?
Die folgenden Informationen werden gelesen, wenn du eine Verknüpfung mit Google Workspace mittels OpenID Connect (OIDC) herstellst:
Einwilligungsanfrage für Google-Administrator:innen | Von Apple verwendete Attribute und Begründung | API-Abfrage oder -Bereich |
|---|---|---|
Verknüpfung deines Accounts mit deinen persönlichen Google-Informationen | Attribute: ID-Token-Ansprüche:
Begründung: Um Benutzer:innen mit dem OIDC-Verknüpfungsprotokoll zu authentifizieren. | API-Abfrage: Nicht zutreffend Bereich: openid |
Attribute: ID-Token-Ansprüche:
Begründung: Um Benutzer:innen mit dem OIDC-Verknüpfungsprotokoll zu authentifizieren. | API-Abfrage: Nicht zutreffend Bereich: profile | |
Attribute: ID-Token-Ansprüche:
Begründung: Um Benutzer:innen mit dem OIDC-Verknüpfungsprotokoll zu authentifizieren. | API-Abfrage: Nicht zutreffend Bereich: email | |
Attribute:
Begründung: Um Sicherheitsereignisse abzurufen, die in Benutzeraccounts in Google Workspace aufgetreten sind, und dann geeignete Sicherheitsmaßnahmen für die jeweiligen Accounts zu treffen, die bei Apple-Geräten angemeldet sind. Wenn Google ein Passwort ändert oder ungültig macht, wird die Sitzung des verwalteten Apple Accounts beendet und der:die Benutzer:in wird zur erneuten Authentifizierung aufgefordert. | API-Abfrage:
Bereich: https://www.googleapis.com/auth/admin.reports.audit.readonly | |
Attribute:
Begründung: Um bestätigte Domains aus Google Workspace mit Apple Business zu synchronisieren. | API-Abfrage: Nicht zutreffend Bereich: https://www.googleapis.com/auth/admin.directory.domain.readonly | |
Anzeige von Informationen über Benutzer:innen auf deiner Domain | Attribute:
Begründung: Um Benutzerinformationen des:der Administrator:in des Google Workspace für eine Verzeichnissynchronisierung abzurufen. Hinweis: Dieser Bereich wird auch für die Attribute der Verzeichnissynchronisierung verwendet. Siehe Wie werden Verknüpfungsdaten von Google Workspace für die Verzeichnissynchronisierung verwendet?. | API-Abfrage: Nicht zutreffend Bereich: https://www.googleapis.com/auth/admin.directory.user.readonly |
Attribute: nicht zutreffend Begründung: Um einen Aktualisierungstoken während des Ablaufs des Autorisierungscodes anzufordern. Der Aktualisierungstoken wird dann verwendet, um einen Zugriffstoken anzufordern. Mit dem Zugriffstoken wird Folgendes gelesen:
| API-Abfrage: access_type=offline Bereich: nicht zutreffend |
Vorgang der verknüpften Authentifizierung
Dieser Vorgang umfasst drei Hauptschritte:
Verknüpfte Authentifizierung konfigurieren.
Die verknüpfte Authentifizierung mit einem einzigen Google Workspace-Benutzeraccount testen.
Verknüpfte Authentifizierung aktivieren.
Wenn du versuchst, eine Domain zu verknüpfen, die du bereits bestätigt hast, aber eine andere Organisation dieselbe Domain bereits verknüpft hat, musst du dich an diese Organisation wenden, um zu klären, wer zur Verknüpfung der Domain berechtigt ist. Siehe Was sind Domainkonflikte?.
Wichtig: Beachte Folgendes, bevor du die verknüpfte Authentifizierung konfigurierst.
Schritt 1: Verknüpfte Authentifizierung konfigurieren
Der erste Schritt dient dazu, eine Vertrauensbeziehung zwischen Google Workspace und Apple Business herzustellen.
Hinweis: Nachdem du diesen Schritt abgeschlossen hast, können Benutzer:innen keine neuen nicht verwalteten (persönlichen) Apple Accounts in der von dir konfigurierten Domain erstellen. Dies könnte andere Apple-Dienste beeinträchtigen, auf die Benutzer:innen zugreifen. Siehe Apple-Dienste übertragen.
Melde dich in Apple Business mit einem Benutzeraccount an, dessen Rolle über Zugriffsrechte zum Einrichten und Konfigurieren einer Verknüpfung und zum Herstellen einer Verbindung mit einem Identitätsprovider (IdP) verfügt.
Informationen zu Rollen und Zugriffsrechten findest du unter Einführung in Rollen und Zugriffsrechte.
Wähle „Erste Schritte“ neben „Identitätsprovider des Drittanbieter-Partners“ aus.
Wähle „Google Workspace“ und dann „Weiter“ aus.
Wähle „Mit Google anmelden“ aus, gib deinen Google Workspace-Administratorbenutzernamen ein und wähle dann die Option „Weiter“ aus.
Gib das Passwort für den Account ein und wähle „Weiter“ aus.
Überprüfe gegebenenfalls die Liste der automatisch bestätigten Domains und konfliktbehafteten Domains.
Lies die Vereinbarung sorgfältig durch, akzeptiere die allgemeinen Geschäftsbedingungen und prüfe dann Folgendes:
Zeige Audit-Berichte für deine Google Workspace-Domain an.
Zeige Domains im Zusammenhang mit deinen Kund:innen an.
Zeige Informationen zu den Benutzeraccounts in deiner Domain an.
Wähle „Weiter“ und anschließend „Fertig“ aus.
In einigen Fällen kannst du dich möglicherweise nicht bei deiner Domain anmelden. Das kann hieran liegen:
Der verwendete Google Workspace-Administrator-Account hat nicht die Berechtigung, Domains hinzuzufügen.
Der Benutzername oder das Passwort des Accounts in Schritt vier oder fünf ist falsch.
Du oder ein:e andere:r Google Workspace-Administrator:in hat die Standardattribute geändert.
Schritt 2: Verknüpfte Authentifizierung mit einem einzelnen Google Workspace-Benutzeraccount testen
Wichtig: Beim Testen der verknüpften Authentifizierung wird auch das standardmäßige Format für verwaltete Apple Accounts geändert.
Du kannst die verknüpfte Authentifizierung testen, nachdem du die folgenden Schritte ausgeführt hast:
Die Prüfung auf Namenskonflikte ist abgeschlossen.
Das Standardformat für verwaltete Apple Accounts wurde aktualisiert.
Nachdem du Apple Business erfolgreich mit Google Workspace verknüpft hast, kannst du die Rolle eines Benutzeraccounts in eine andere Rolle ändern. Du kannst z. B. die Rolle eines Benutzeraccounts in die Rolle „Mitarbeiter:in“ ändern.
Hinweis: Benutzer:innen, deren Rolle über Zugriffsrechte zum Einrichten und Konfigurieren der Verknüpfung und zum Herstellen einer Verbindung mit Google Workspace verfügt, können sich nicht mit der verknüpften Authentifizierung anmelden. Sie können nur den Vorgang der Verknüpfung verwalten.
Melde dich in Apple Business mit einem Google Workspace-Account an.
Wird der eingegebene Benutzername erkannt, erscheint eine neue Ansicht mit dem Hinweis, dass du dich mit einem Account in deiner Domain anmeldest.
Wähle „Weiter“ aus, gib das Passwort für den:die Benutzer:in ein und wähle anschließend „Anmelden“ aus.
Melde dich von Apple Business ab.
Hinweis: Benutzer:innen können sich auf einem Mac nur dann auf iCloud.com anmelden, wenn sie sich vorher auf einem anderen Apple-Gerät mit ihrem verwalteten Apple Account angemeldet haben.
In einigen Fällen kannst du dich möglicherweise nicht bei deiner Domain anmelden. Das kann hieran liegen:
Der Benutzername oder das Passwort der Domain, die du verknüpfen möchtest, ist falsch.
Der Account befindet sich nicht in der Domain, die du verknüpfen möchtest.
Schritt 3: Verknüpfte Authentifizierung aktivieren
Wenn du eine Synchronisierung von Google Workspace mit Apple Business planst, musst du vor der Synchronisierung die verknüpfte Authentifizierung aktivieren.
Melde dich in Apple Business mit einem Benutzeraccount an, dessen Rolle über Zugriffsrechte zum Einrichten und Konfigurieren einer Verknüpfung und zum Herstellen einer Verbindung mit einem Identitätsprovider (IdP) verfügt.
Informationen zu Rollen und Zugriffsrechten findest du unter Einführung in Rollen und Zugriffsrechte.
Wähle im Bereich „Domains“ neben der Domain, die du verknüpfen möchtest, die Option „Verwalten“ aus, und wähle dann die Option „Anmeldung mit Google Workspace aktivieren“ aus.
Aktiviere die Option „Mit Google Workspace anmelden“.
Bei Bedarf kannst du jetzt Benutzeraccounts mit Apple Business synchronisieren. Siehe Benutzeraccounts aus Google Workspace synchronisieren.