Yhdistetyn todennuksen käyttö Google Workspacen kanssa: Apple Business Manager
Voit yhdistää Apple Business Managerin ja Google Workspacen yhdistetyllä todennuksella, jotta käyttäjät voivat kirjautua sisään Apple-laitteisiinsa Google Workspacen käyttäjätunnuksella (yleensä käyttäjän sähköpostiosoite) ja salasanalla.
Tämän ansiosta käyttäjät voivat käyttää Google Workspace ‑käyttäjätunnuksia ja ‑salasanoja hallittuina Apple‑tileinä. Sen jälkeen he voivat kirjautua sisään näillä kirjautumistiedoilla heille määritettyyn iPhoneen, iPadiin, Maciin, Apple Vision Prohon ja jaettuun iPadiin. Kun he ovat kirjautuneet sisään yhdelle näistä laitteista, he voivat myös kirjautua sisään iCloudiin verkossa (iCloud Windowsille ei tue hallittuja Apple-tilejä).
Google Workspace on henkilöllisyyden tarjoaja (IdP), joka todentaa käyttäjän Apple Business Manageriin ja myöntää todennustunnukset. Tämä todennus tukee todennussertifikaattia ja kaksiosaista todennusta (2FA).
Huomaa: Tietoja ei missään vaiheessa kirjoiteta uudelleen Google Workspaceen.
Liittämisdatan lukeminen Google Workspacesta
Seuraavat liittämistiedot luetaan, kun yhdistät Google Workspacen Open ID Connectin (OIDC) avulla:
Google-järjestelmänvalvojan suostumuspyyntö | Applen käyttämät ominaisuudet ja syy | API-kysely tai -laajuus |
|---|---|---|
Määritteet: id_token-väitteet:
Syy: käyttäjä todennetaan Federation OIDC -protokollan avulla | API-kysely: Ei sovelleta Laajuus: openid | |
Tarkista henkilötietosi, mukaan lukien kaikki julkisesti saataville asettamasi henkilötiedot | Määritteet: id_token-väitteet:
Syy: käyttäjä todennetaan Federation OIDC -protokollan avulla | API-kysely: Ei sovelleta Laajuus: profiili |
Määritteet: id_token-väitteet:
Syy: käyttäjä todennetaan Federation OIDC -protokollan avulla | API-kysely: Ei sovelleta Laajuus: sähköposti | |
Ominaisuudet:
Syy: hakea turvallisuustapahtumia, jotka liittyvät Google Workspace -käyttäjätileihin, ja ryhtyä asianmukaisiin turvatoimiin niillä tileillä, joilla on kirjauduttu sisään Apple-laitteille. Kun salasana vaihdetaan tai Google mitätöi sen, hallitun Apple-tilin istunto päätetään ja todentautumista pyydetään uudelleen. | Ohjelmointirajapintakysely:
Laajuus: https://www.googleapis.com/auth/admin.reports.audit.readonly | |
Ominaisuudet:
Syy: vahvistettujen verkkotunnusten synkronointi Google Workspacesta Apple Business Manageriin. | API-kysely: Ei sovelleta Laajuus: https://www.googleapis.com/auth/admin.directory.domain.readonly | |
Ominaisuudet:
Syy: Google Workspace -järjestelmänvalvojan käyttäjätietojen hankkiminen hakemistojen synkronointia varten. Huomaa: Tätä laajuutta käytetään myös alla olevan taulukon hakemistojen ominaisuuksien synkronointiin. | API-kysely: Ei sovelleta Laajuus: https://www.googleapis.com/auth/admin.directory.user.readonly | |
Ominaisuudet: Ei sovelleta Syy: päivitystunnuksen pyytäminen valtuutuskoodivirran aikana. Päivitystunnusta käytetään sitten käyttötunnuksena. Käyttötunnusta käytetään seuraavien lukemiseen:
| API-kysely: access_type=offline Laajuus: Ei sovelleta |
Kuinka Google Workspacen liittämistietoja käytetään hakemistojen synkronointiin
Apple Business Manager lukee seuraavat tiedot, kun yhdistät Google Workspaceen hakemistojen synkronointia varten:
Google Workspace ‑käyttäjämäärite | Käyttäjämäärite: Apple Business Manager | Pakollinen |
|---|---|---|
givenName | Etunimi |  |
familyName | Sukunimi | |
id | Hallittu Apple-tili ja sähköpostiosoite | |
primaryEmail | Käyttäjätunnus |  |
osasto | Osasto | |
costCenter | Kustannuspaikka | |
externalId | Ulkoinen tunnus | |
deletionTime | Poistoaika | |
Lisätietoja on saatavilla Google REST -resurssissa käyttäjien dokumentaatio.
Yhdistetyn todennuksen prosessi
Tässä prosessissa on kolme päävaihetta:
Määritä yhdistetty todennus.
Testaa yhdistetty todennus yksittäisellä Google Workspace ‑käyttäjätilillä.
Yhdistetyn todennuksen ottaminen käyttöön.
Jos yrität yhdistää domainin, jonka olet vahvistanut, mutta toinen organisaatio on jo yhdistänyt samannimisen domainin, sinun on otettava yhteys kyseiseen organisaatioon sen määrittämiseksi, kenellä on valtuudet domainin yhdistämiseen. Lue lisätietoja kohdasta Domainristiriidat.
Tärkeää: Tarkista seuraavat ennen yhdistetyn todennuksen määrittämistä.
Vaihe 1: määritä yhdistetty todennus
Ensimmäinen vaihe on muodostaa luottamussuhde Google Workspacen ja Apple Business Managerin välille.
Huomaa: Kun suoritat tämän vaiheen, käyttäjät eivät voi enää luoda uusia hallitsemattomia (henkilökohtaisia) Apple‑tilejä määrittämässäsi domainissa. Tämä voi vaikuttaa muihin käyttäjiesi käyttämiin Applen palveluihin. Katso Applen palvelujen siirtäminen.
Kirjaudu Apple Business Managerissa
sisään tilillä, jonka roolina on ylläpitäjä tai henkilöhallinnoija.Valitse nimesi sivupalkin alaosassa, valitse Asetukset
, valitse Hallitut Apple‑tilit 
ja valitse sitten Käyttäjien kirjautuminen ja hakemistosynkronointi -kohdan alta Aloita.Valitse Google Workspace ja valitse sitten Jatka.
Valitse Google-tilillä kirjautumisen kohta, anna Google Workspace ‑ylläpitäjän tiedot ja valitse sitten Seuraava.
Anna tilin salasana ja valitse sitten Seuraava.
Tarkasta tarvittaessa automaattisesti vahvistettujen domainien luettelo ja mahdolliset ristiriitaiset domainit.
Lue sopimus huolellisesti, hyväksy käyttöehdot ja tarkista sitten seuraavat:
Tarkista Google Workspace ‑domainisi auditointiraportit.
Tarkista asiakkaisiisi liittyvät domainit.
Tarkista tiedot domainisi käyttäjätileistä.
Valitse Jatka ja valitse sitten Valmis.
Joissakin tapauksissa et ehkä voi kirjautua sisään domainillesi. Seuraavassa on joitain yleisiä syitä:
Google Workspace -ylläpitäjän tilillä ei ole oikeutta lisätä domaineja.
Vaiheen 4 tai 5 tilin käyttäjätunnus tai salasana on virheellinen.
Sinä tai joku muu Google Workspace -ylläpitäjä muokkasi oletusarvo.
Vaihe 2: testaa yhdistetty todennus yksittäisellä Google Workspace ‑käyttäjätilillä.
Tärkeää: Yhdistetyn todentamisen testi myös muuttaa hallitun Apple‑tilin oletusmuotoa.
Voit testata yhdistetyn todennuksen yhteyttä, kun olet suorittanut seuraavat toiminnot:
Käyttäjätunnusristiriitojen tarkistus on valmis.
Hallitun Apple‑tilin oletusmuoto päivitetään.
Kun olet yhdistänyt Apple Business Managerin Google Workspaceen, voit muuttaa käyttäjätilin roolin toiseksi. Voit esimerkiksi haluta muuttaa käyttäjätilin rooliksi Henkilökunta.
Kirjaudu Apple Business Managerissa
sisään tilillä.Jos käyttäjätunnus löytyy, uusi näyttö ilmaisee, että olet kirjautumassa sisään domainiisi kuuluvalla tilillä.
Valitse Jatka, anna käyttäjän salasana ja valitse Kirjaudu sisään.
Kirjaudu ulos Apple Business Managerista.
Huomaa: Käyttäjät eivät voi kirjautua iCloud.comiin Macilta, jos he eivät ensin kirjaudu hallitulla Apple‑tilillään toisessa Apple-laitteessa.
Joissakin tapauksissa et ehkä voi kirjautua sisään domainillesi. Seuraavassa on joitain yleisiä syitä:
Yhdistettävän domainin käyttäjätunnus tai salasana on virheellinen.
Tili ei ole domainissa, jonka haluat yhdistää.
Vaihe 3: ota käyttöön yhdistetty todennus
Jos aiot synkronoida Google Workspacen Apple Business Managerin kanssa, sinun täytyy ottaa yhdistetty todennus käyttöön ennen synkronointia.
Kirjaudu Apple Business Managerissa
sisään tilillä, jonka roolina on ylläpitäjä tai henkilöhallinnoija.Valitse nimesi sivupalkin alaosassa, valitse Asetukset
ja valitse sitten Hallitut Apple‑tilit .Valitse Domainit-osiossa Hallitse sen domainin vierestä, jonka haluat yhdistää, ja valitse sitten Ota Google Workspace -kirjautuminen käyttöön.
Ota Google Workspace -kirjautuminen käyttöön.
Voit nyt tarvittaessa synkronoida käyttäjätilit Apple Business Manageriin. Katso lisätietoja kohdasta Käyttäjätilien synkronointi Google Workspacesta.