שימוש באימות מאוחד עם Google Workspace ב‑‬Apple Business Manager

ב‑Apple Business Manager, ניתן ליצור קישור אל Google Workspace באמצעות אימות מאוחד כדי לאפשר למשתמשים להתחבר למכשירי Apple באמצעות שם המשתמש ב‑Google Workspace (בדרך כלל כתובת הדוא״ל) והסיסמה שלהם.

כתוצאה מכך, המשתמשים יכולים להשתמש בפרטי ההתחברות שלהם מ‑Google Workspace בתור חשבון Apple מנוהל. כך, משתמשים יכולים להשתמש באותם פרטי התחברות לצורך התחברות למכשיר ה‑iPhone, ה‑iPad, ה‑Mac או ה‑Apple Vision Pro ששויך אליהם, או ל‑iPad משותף. לאחר שהם התחברו לאחד מהמכשירים האלה, הם יכולים להתחבר גם ל-iCloud באינטרנט (‏iCoud ל-Windows לא תומך בחשבונות Apple מנוהלים).

Google Workspace הוא ספק הזהות (IdP) שמאמת את המשתמשים עבור Apple Business Manager ומנפיק אסימוני אימות. אימות זה תומך באימות אישורים וכן באימות בשני גורמים (2FA).

הערה: הנתונים לא מועברים חזרה אל Google Workspace באף שלב.

נתוני איחוד מ‑Google Workspace

נתוני האיחוד הבאים נקראים בזמן קישור אל Google Workspace באמצעות Open ID Connect (OIDC):

בקשת הסכמה של מנהל/ת מערכת ב‑Google	מאפיינים שנמצאים בשימוש על ידי Apple והסיבה	שאילתת API או טווח
משייך אותך למידע האישי שלך ב‑Google	מאפיינים: טענות id_token: iss aud sub iat exp given_name family_name email סיבה: אימות משתמשים באמצעות פרוטוקול OIDC של איחוד	שאילתת API: ‏NA טווח: openid
הצגת המידע האישי שלך, כולל כל מידע אישי שהפכת לזמין באופן ציבורי	מאפיינים: טענות id_token: iss aud sub iat exp given_name family_name email סיבה: אימות משתמשים באמצעות פרוטוקול OIDC של איחוד	שאילתת API: ‏NA טווח: profile
הצגת כתובת הדוא״ל הראשית של חשבון Google שלך	מאפיינים: טענות id_token: iss aud sub iat exp given_name family_name email סיבה: אימות משתמשים באמצעות פרוטוקול OIDC של איחוד	שאילתת API: ‏NA טווח: email
צפייה בדוחות ביקורת	מאפיינים: events.parameters.name events.parameters.value id.time actor.email actor.profileId סיבה: כדי לאחזר אירועי אבטחה שקרו לחשבונות משתמשים ב‑Google Workspace ולאחר מכן לנקוט באמצעי אבטחה נדרשים בחשבונות המתאימים שמחוברים למכשירי Apple. כאשר סיסמה משונה או מבוטלת על ידי Google, ההפעלה של חשבון Apple מנוהל תסתיים ויהיה צורך לבצע אימות מחדש.	שאילתת API: eventName הוא changePassword או passwordEdit startTime endTime טווח: https://www.googleapis.com/auth/admin.reports.audit.readonly
הצגת דומיינים	מאפיינים: domains.domainName domains.verified סיבה: לסנכרון דומיינים שאומתו מ‑Google Workspace אל Apple Business Manager.	שאילתת API: ‏NA טווח: https://www.googleapis.com/auth/admin.directory.domain.readonly
הצגת מידע על משתמשים בדומיין שלך	מאפיינים: primaryEmail מזהה isAdmin isDelegatedAdmin customerId סיבה: לקבלת פרטי המשתמש של מנהל/ת מערכת של Google Workspace עבור סנכרון ספריות. הערה: טווח זה משמש גם עבור מאפייני סנכרון הספריות בטבלה שלהלן.	שאילתת API: ‏NA טווח: https://www.googleapis.com/auth/admin.directory.user.readonly
שמירה על הגישה לנתונים	תכונות: NA סיבה: כדי לבקש אסימון רענון במהלך זרימת קוד האימות. אסימון הרענון משמש לאחר מכם לבקשת אסימון גישה. אסימון הגישה משמש לקריאה של: נתוני ביקורת עבור אירועי אבטחה דומיינים נתונים של ספריית המשתמש	שאילתת API: ‏access_type=offline טווח: NA

בקשת הסכמה של מנהל/ת מערכת ב‑Google

מאפיינים שנמצאים בשימוש על ידי Apple והסיבה

שאילתת API או טווח

משייך אותך למידע האישי שלך ב‑Google

מאפיינים: טענות id_token:

iss
aud
sub
iat
exp
given_name
family_name
email

סיבה: אימות משתמשים באמצעות פרוטוקול OIDC של איחוד

שאילתת API: ‏NA

טווח: openid

הצגת המידע האישי שלך, כולל כל מידע אישי שהפכת לזמין באופן ציבורי

מאפיינים: טענות id_token:

iss
aud
sub
iat
exp
given_name
family_name
email

סיבה: אימות משתמשים באמצעות פרוטוקול OIDC של איחוד

שאילתת API: ‏NA

טווח: profile

הצגת כתובת הדוא״ל הראשית של חשבון Google שלך

מאפיינים: טענות id_token:

iss
aud
sub
iat
exp
given_name
family_name
email

סיבה: אימות משתמשים באמצעות פרוטוקול OIDC של איחוד

שאילתת API: ‏NA

טווח: email

צפייה בדוחות ביקורת

מאפיינים:

events.parameters.name
events.parameters.value
id.time
actor.email
actor.profileId

סיבה: כדי לאחזר אירועי אבטחה שקרו לחשבונות משתמשים ב‑Google Workspace ולאחר מכן לנקוט באמצעי אבטחה נדרשים בחשבונות המתאימים שמחוברים למכשירי Apple.

כאשר סיסמה משונה או מבוטלת על ידי Google, ההפעלה של חשבון Apple מנוהל תסתיים ויהיה צורך לבצע אימות מחדש.

שאילתת API:

eventName הוא changePassword או passwordEdit
startTime
endTime

טווח: https://www.googleapis.com/auth/admin.reports.audit.readonly

הצגת דומיינים

מאפיינים:

domains.domainName
domains.verified

סיבה: לסנכרון דומיינים שאומתו מ‑Google Workspace אל Apple Business Manager.

שאילתת API: ‏NA

טווח: https://www.googleapis.com/auth/admin.directory.domain.readonly

הצגת מידע על משתמשים בדומיין שלך

מאפיינים:

primaryEmail
מזהה
isAdmin
isDelegatedAdmin
customerId

סיבה: לקבלת פרטי המשתמש של מנהל/ת מערכת של Google Workspace עבור סנכרון ספריות.

הערה: טווח זה משמש גם עבור מאפייני סנכרון הספריות בטבלה שלהלן.

שאילתת API: ‏NA

טווח: https://www.googleapis.com/auth/admin.directory.user.readonly

שמירה על הגישה לנתונים

תכונות: NA

סיבה: כדי לבקש אסימון רענון במהלך זרימת קוד האימות.

אסימון הרענון משמש לאחר מכם לבקשת אסימון גישה.

אסימון הגישה משמש לקריאה של:

נתוני ביקורת עבור אירועי אבטחה
דומיינים
נתונים של ספריית המשתמש

שאילתת API: ‏access_type=offline

טווח: NA

כיצד נתוני איחוד מ‑Google Workspace משמשים לסנכרון ספריות

המידע הבא נקרא על ידי Apple Business Manager אם בחרת ליצור קישור אל Google Workspace עבור סנכרון ספריות:

מאפיין משתמש ב‑Google Workspace	מאפייני משתמש של Apple Business Manager	נדרש
givenName	שם פרטי
familyName	שם משפחה
מזהה	חשבון Apple מנוהל וכתובת דוא״ל
primaryEmail	שם משתמש/ת
מחלקה	מחלקה
costCenter	מרכז עלות
externalId	External Id
deletionTime	זמן מחיקה

לקבלת מידע נוסף, ניתן לעיין במסמך Google REST Resource: users documentation.

תהליך האימות המאוחד

התהליך כולל שלושה שלבים עיקריים:

הגדרת אימות מאוחד.
בדיקת האימות המאוחד באמצעות חשבון משתמש יחיד של Google Workspace.
הפעלת אימות מאוחד.
אם ניסית לאחד דומיין שכבר אימתת, אבל ארגון אחר כבר איחד את הדומיין הזה, יש ליצור קשר עם אותו ארגון כדי להחליט בידי מי נתונה הסמכות לאחד את הדומיין . ניתן לעיין בעמוד התנגשויות דומיינים.

חשוב: יש לבדוק את האפשרויות הבאות לפני הגדרת התצורה של אימות מאוחד.

שלב 1: הגדרת אימות מאוחד

השלב הראשון הוא יצירת קשר אמון בין Google Workspace לבין Apple Business Manager.

הערה: לאחר השלמת שלב זה, משתמשים לא יוכלו ליצור חשבונות Apple (אישיים) לא מנוהלים חדשים בדומיין שהגדרת. פעולה זו עשויה להשפיע על שירותי Apple אחרים אליהם למשתמשים יש גישה. ניתן לעיין בעמוד העברת שירותי Apple.

ב‑Apple Business Manager‏ , יש להתחבר באמצעות משתמש/ת בעל/ת תפקיד של מנהל/ת מערכת או מנהל/ת כח אדם.
יש לבחור בשמך בתחתית סרגל הצד, לבחור ״העדפות״ , לבחור ״חשבונות Apple מנוהלים״ ואז לבחור ״להתחלה״ תחת ״התחברות משתמשים וסנכרון ספריה״.
יש לבחור Google Workspace ואז לבחור ״המשך״.
יש לבחור באפשרות ״התחברות עם Google״, להזין את שם המשתמש של מנהל המערכת ב‑Google Workspace ולאחר מכן לבחור ב״הבא״.
יש להזין את הסיסמה עבור החשבון ולאחר מכן לבחור ב״הבא״.
במקרה הצורך, יש לעבור על רשימת הדומיינים שאומתו באופן אוטומטי ולבדוק אם יש דומיינים מתנגשים.
יש לקרוא בקפידה את ההסכם, לאשר את התנאים וההתניות ולאחר מכן לבדוק את הפרטים הבאים:
- הצגת דוחות ביקורת עבור הדומיין של Google Workspace
- הצגת דומיינים הקשורים ללקוחות שלך
- הצגת מידע על חשבונות המשתמשים בדומיין שלך
יש לבחור ב״המשך״ ולאחר מכן לבחור ב״סיום״.

ייתכן שבחלק מהמקרים לא ניתן יהיה להתחבר לדומיין. להלן כמה מהסיבות הנפוצות לכך:

לחשבון מנהל המערכת ב‑Google Workspace שבו נעשה שימוש, אין הרשאה להוסיף דומיינים
שם המשתמש או הסיסמה של החשבון משלבים ד׳ או ה׳ שגויים
תכונות ברירת המחדל של Google Workspace שונו על ידך או על ידי מנהל מערכת אחר

שלב 2: בדיקת האימות המאוחד באמצעות חשבון משתמש יחיד של Google Workspace

חשוב: במסגרת בדיקת האימות המאוחד, מתבצע גם שינוי בפורמט ברירת המחדל של חשבון ה‑Apple המנוהל.

ניתן לבדוק את חיבור האימות המאוחד לאחר ביצוע המשימות הבאות:

בדיקת ההתנגשויות בין שמות משתמשים הושלמה
פורמט ברירת המחדל עבור חשבון Apple מנוהל עודכן

לאחר שקישרת בהצלחה את Apple Business Manager ל‑Google Workspace, ניתן לשנות את תפקיד חשבון המשתמש לתפקיד אחר. למשל, באפשרותך לשנות את התפקיד של חשבון המשתמש לתפקיד ״צוות״.

ב‑Apple Business Manager‏ , יש להתחבר באמצעות חשבון.
אם שם המשתמש שאיתו התחברת נמצא, יוצג מסך חדש עם הודעה המציינת שהתחברת עם חשבון בדומיין שלך.
יש לבחור ב״המשך״, להזין את הסיסמה עבור המשתמש ולאחר מכן לבחור ב״התחברות״.
יש להתנתק מ‑Apple Business Manager.
הערה: משתמשים לא יכולים להתחבר אל iCloud.com מ-Mac מבלי להתחבר קודם באמצעות חשבון ה‑Apple המנוהל שלהם במכשיר Apple אחר.

ייתכן שבחלק מהמקרים לא ניתן יהיה להתחבר לדומיין. להלן כמה מהסיבות הנפוצות לכך:

שם המשתמש או הסיסמה עבור הדומיין שבחרת לאחד שגויים
החשבון אינו נמצא בדומיין שבחרת לאחד

שלב 3: הפעלת אימות מאוחד

אם בכוונתך לסנכרן את Google Workspace עם Apple Business Manager, יש להפעיל אימות מאוחד לפני הסנכרון.

ב‑Apple Business Manager‏ , יש להתחבר באמצעות משתמש/ת בעל/ת תפקיד של מנהל/ת מערכת או מנהל/ת כח אדם.
יש לבחור בשמך בתחתית סרגל הצד, לבחור ב״העדפות״ , ולאחר מכן לבחור באפשרות ״חשבונות Apple מנוהלים״ .
במקטע ״דומיינים״ יש לבחור ״ניהול״ לצד הדומיין שברצונך לאחד, ואז לבחור ״הפעלת התחברות בעזרת Google Workspace״.
יש להפעיל את ״התחברות בעזרת Google Workspace״.
במידת הצורך, אפשר בשלב זה לסנכרן חשבונות משתמשים אל Apple Business Manager. ניתן לעיין בעמוד סנכרון חשבונות משתמשים מ‑Google Workspace.

ראה/י גםיצירה קודי גישה עבור iPad משותף ב‑Apple Business Manager מידע על חשבונות Apple מנוהלים ב‑Apple Business Manager שינוי פרטי דומיין משתמש עם Apple Business Manager הצגת סכומים כוללים בחשבון באמצעות הדומיין שלך ב-Apple Business Manager

מועיל?

המדריך למשתמש ב-Apple Business Manager

שימוש באימות מאוחד עם Google Workspace ב‑‬Apple Business Manager

נתוני איחוד מ‑Google Workspace

כיצד נתוני איחוד מ‑Google Workspace משמשים לסנכרון ספריות

תהליך האימות המאוחד

שלב 1: הגדרת אימות מאוחד

שלב 2: בדיקת האימות המאוחד באמצעות חשבון משתמש יחיד של Google Workspace

שלב 3: הפעלת אימות מאוחד