Összevont hitelesítés használata a Google Workspace szolgáltatással az Apple School Managerben
Az Apple School Managerben összevont hitelesítéssel kapcsolódhat a Google Workspace szolgáltatáshoz, ha engedélyezni szeretné a felhasználóknak, hogy Google Workspace-felhasználónevükkel (ez általában az e-mail-címük) és -jelszavukkal jelentkezhessenek be az Apple-készülékükre.
Így a felhasználók a Google Workspace hitelesítő adataikat használhatják felügyelt Apple-fiókként. A fenti hitelesítő adatokkal azután bejelentkezhetnek a hozzájuk rendelt iPhone, iPad, Mac, Apple Vision Pro és megosztott iPad eszközökre. Miután bejelentkeztek az egyik ilyen készülékre, bejelentkezhetnek az iCloudba is a weben (Az iCloud Windows-verziója nem támogatja a felügyelt Apple-fiókokat).
A Google Workspace az az Identitásszolgáltató (IdP), amely hitelesíti a felhasználót az Apple School Manager számára, és kiadja a hitelesítési tokeneket. Ez a hitelesítés a tanúsítványalapú és a kétlépéses hitelesítést (2FA) támogatja.
Megjegyzés: Soha nem történik meg az adatok visszaírása a Google Workspace-be.
Összevonási adatok beolvasása a Google Workspace-ből
A következő összevonási adatokat olvassa be a rendszer, amikor OpenID Connect (OIDC) használatával kapcsolódik a Google Workspace-hez:
Google rendszergazdai hozzájárulási kérelem | Az Apple által használt attribútumok és indoklás | API-lekérdezés vagy hatókör |
|---|---|---|
Attribútumok: id_token adatmezők:
Indoklás: Felhasználói hitelesítés a Federation OIDC protokoll használatával | API-lekérdezés: N/A Hatókör: openid | |
Attribútumok: id_token adatmezők:
Indoklás: Felhasználói hitelesítés a Federation OIDC protokoll használatával | API-lekérdezés: N/A Hatókör: profil | |
Elsődleges Google-fiókjához tartozó e-mail-címének megtekintése | Attribútumok: id_token adatmezők:
Indoklás: Felhasználói hitelesítés a Federation OIDC protokoll használatával | API-lekérdezés: N/A Hatókör: e-mail |
Attribútumok:
Indoklás: A Google Workspace-ben lévő felhasználói fiókokat érintő biztonsági események lekérése, majd megfelelő biztonsági intézkedések meghozatala az olyan fiókok tekintetében, amelyek be vannak jelentkezve Apple-készülékekre. Ha a Google módosít vagy érvénytelenít egy jelszót, megszakad a felügyelt Apple-fiókos munkamenet, és újra hitelesítésre lesz szükség. | API-lekérdezés:
Hatókör: https://www.googleapis.com/auth/admin.reports.audit.readonly | |
Attribútumok:
Indoklás: Igazolt tartományok szinkronizálása a Google Workspace-ből az Apple School Managerbe. | API-lekérdezés: N/A Hatókör: https://www.googleapis.com/auth/admin.directory.domain.readonly | |
Információk megtekintése a tartományában lévő felhasználóiról | Attribútumok:
Indoklás: A Google Workspace adminisztrátori felhasználói adatainak beszerzése címtár-szinkronizáláshoz. Megjegyzés: Ez a hatókör az alábbi táblázatban található címtár-szinkronizálási attribútumokhoz is használatos. | API-lekérdezés: N/A Hatókör: https://www.googleapis.com/auth/admin.directory.user.readonly |
Attribútumok: N/A Indoklás: Frissítési token kérése az engedélyezési kódfolyamat során. A frissítési token azután egy hozzáférési token kéréséhez használható. A hozzáférési token a következő beolvasására használható:
| API-lekérdezés: access_type=offline Hatókör: N/A |
A Google Workspace-ből származó összevonási adatok használata a címtár szinkronizálásához
A következő információkat olvassa be az Apple School Manager, amikor a Google Workspace-hez kapcsolódik a könyvtár-szinkronizáláshoz:
Google Workspace felhasználói attribútum | Apple School Manager felhasználói attribútumok | Kötelező |
|---|---|---|
givenName | Utónév |  |
familyName | Vezetéknév | |
id | Felügyelt Apple-fiók és e-mail-cím | |
primaryEmail | Felhasználói név |  |
részleg | Részleg | |
costCenter | Költségközpont | |
externalId | Külső azonosító | |
deletionTime | Törlés ideje | |
További információkért lásd a Google REST Resource: users documentation tartalmát.
Az összevont hitelesítés folyamata
A folyamat három fő lépésből áll:
Összevont hitelesítés konfigurálása.
Tesztelje az összevont hitelesítést egy Google Workspace-tartományba tartozó felhasználói fiókkal.
Az összevont hitelesítés bekapcsolása.
Ha olyan tartományt próbál meg összevonni, amelynek tulajdonjogát már igazolta, de egy másik szervezet már összevonta ugyanazt a tartományt, akkor kapcsolatba kell lépnie az adott szervezettel annak megállapítására, hogy ki jogosult a tartomány összevonására. Lásd: Tartományütközések.
Fontos: Ellenőrizze a következőket az összevont hitelesítés konfigurálása előtt.
1. lépés: Konfigurálja az összevont hitelesítést
Az első lépés a bizalmi viszony kiépítése a Google Workspace és az Apple School Manager között.
Megjegyzés: A művelet végrehajtása után a felhasználók nem tudnak létrehozni új nem felügyelt (személyes) Apple-fiókokat az Ön által konfigurált tartományon. Ez hatással lehet más olyan Apple-szolgáltatásokra is, amelyet a felhasználói használnak. Lásd: Apple-szolgáltatások átvitele.
Az Apple School Managerben
jelentkezzen be egy olyan felhasználóval, aki jogosult az összevont hitelesítés kezelésére.Válassza ki a saját nevét az oldalsáv alján, ezután válassza ki a Beállítások
, a Felügyelt Apple-fiókok 
, majd a Kezdés elemet a „Felhasználói bejelentkezés és könyvtár-szinkronizálás” szakaszban.Válassza ki a Google Workspace elemet, majd a Folytatás gombot.
Válassza ki a „Bejelentkezés a Google-lel” szöveget, adja meg a Google Workspace rendszergazdai felhasználónevét, majd válassza ki a Tovább gombot.
Adja meg a fiók jelszavát, majd válassza ki a Tovább gombot.
Szükség esetén tekintse át az automatikusan igazolt tartományok és az ütköző tartományok listáját.
Gondosan olvassa el a szerződést, fogadja el az általános szerződési feltételeket, majd ellenőrizze a következőket:
Nézze meg a Google Workspace-doménre vonatkozó auditálási jelentéseket
Nézze meg az ügyfeleire vonatkozó doméneket
Tekintse meg a tartományában lévő felhasználói fiókokra vonatkozó információkat.
Válassza ki a Folytatás, majd a Kész elemet.
Bizonyos esetekben előfordulhat, hogy nem tud bejelentkezni a tartományába. Íme néhány a leggyakoribb okok közül:
A használt Google Workspace adminisztrátori fióknak nincs jogosultsága tartományok hozzáadására.
A 4. vagy 5. lépésben megadott fiók felhasználóneve vagy jelszava hibás.
Ön vagy egy másik Google Workspace-adminisztrátor módosította az alapértelmezett attribútumokat.
2. lépés: Tesztelje az összevont hitelesítést egy Google Workspace-tartományba tartozó felhasználói fiókkal
Fontos: Az összevont hitelesítés tesztelése az alapértelmezett felügyelt Apple-fiók formátumot is módosítja. A Tanulói Információs Rendszerben (SIS) létrehozott vagy a biztonságos fájlátviteli protokoll (SFTP) használatával felöltött új fiókok az új felügyelt Apple-fiók formátumot használják.
Az alábbi feladatok elvégzését követően tesztelheti az összevont hitelesítési kapcsolatot:
A felhasználónév-ütközések ellenőrzése megtörtént.
Az alapértelmezett felügyelt Apple-fiók formátum frissítve lett.
Az Apple School Manager és a Google Workspace sikeres összekapcsolását követően egy adott fiókhoz tartozó szerepkört másik szerepkörre módosíthat. Egy felhasználói fiók szerepkörét például Munkatárs szerepkörre módosíthatja.
Az Apple School Managerben
jelentkezzen be olyan felhasználóval, aki nem rendelkezik Munkatárs vagy Tanuló szerepkörrel.Ha a rendszer megtalálja a felhasználónevet, amellyel bejelentkezett, akkor egy új képernyő jelzi, hogy a tartományban található egyik fiókkal jelentkezik be.
Válassza ki a Folytatás gombot, adja meg felhasználó jelszavát, majd válassza ki a Bejelentkezés gombot.
Jelentkezzen ki az Apple School Managerből.
Megjegyzés: A felhasználók csak akkor tudnak bejelentkezni az iCloud.com oldalra Macről, ha először egy másik Apple-készüléken bejelentkeznek a felügyelt Apple-fiókjukkal.
Bizonyos esetekben előfordulhat, hogy nem tud bejelentkezni a tartományába. Íme néhány a leggyakoribb okok közül:
Az összevonni kívánt tartományból származó felhasználónév vagy jelszó hibás.
A fiókot nem tartalmazza az összevonni kívánt tartomány.
3. lépés: Kapcsolja be az összevont hitelesítést
Ha a Google Workspace-t készül szinkronizálni az Apple School Managerrel, a szinkronizálás előtt be kell kapcsolnia az összevont hitelesítést.
Az Apple School Managerben
jelentkezzen be egy olyan felhasználóval, aki jogosult az összevont hitelesítés kezelésére.Válassza ki a saját nevét az oldalsáv alján, és válassza ki a Beállítások
, majd a Felügyelt Apple ID-k elemet.A Tartományok szakaszban válassza ki a Kezelés elemet az összevonni kívánt tartomány mellett, majd válassza „A Bejelentkezés Google Workspace használatával funkció bekapcsolása” elemet.
Kapcsolja be a „Bejelentkezés Google Workspace használatával” funkciót.
Szükség esetén most szinkronizálhatja a felhasználói fiókokat az Apple School Managerbe. Lásd: Felhasználói fiókok szinkronizálása a Google Workspace-ből.