Apple Business ManagerでGoogle WorkspaceとのFederated Authenticationを使用する
Apple Business Managerで、Federated Authenticationを使用してGoogle Workspaceをリンクすると、ユーザーはGoogle Workspaceのユーザー名(通常はメールアドレス)とパスワードでAppleデバイスにサインインできるようになります。
これによりユーザーは、Google Workspaceの認証情報を管理対象Apple Accountとして利用できます。ユーザーはその後、それらの認証情報を使用して、割り当て済みのiPhone、iPad、Mac、Apple Vision Pro、共有iPadにサインインすることができます。これらのデバイスのいずれかにサインインした後は、Web上のiCloudにもサインインできます(Windows用iCloudは管理対象Apple Accountに対応していません)。
Google WorkspaceはIDプロバイダー(IdP)であり、Apple Business Managerのユーザーを認証し、認証トークンを発行するために使用します。この認証は、証明書認証と2ファクタ認証(2FA)をサポートしています。
注記: データがGoogle Workspaceに書き戻されることはありません。
Google Workspaceから取得される連携データ
Open ID Connect (OIDC)を使用してGoogle Workspaceにリンクすると、以下の連携データが取得されます。
Google管理者に表示される同意リクエストの文言 | Appleで使用される属性と理由 | APIクエリまたはスコープ |
|---|---|---|
属性:id_tokenに含まれるクレーム内容:
理由:連携OIDCプロトコルを使用したユーザー認証のため | APIクエリ:該当なし スコープ:openid | |
属性:id_tokenに含まれるクレーム内容:
理由:連携OIDCプロトコルを使用したユーザー認証のため | APIクエリ:該当なし スコープ:profile | |
属性:id_tokenに含まれるクレーム内容:
理由:連携OIDCプロトコルを使用したユーザー認証のため | APIクエリ:該当なし スコープ:email | |
属性:
理由:Google Workspaceのユーザーアカウントで発生したセキュリティイベントを取得し、Appleデバイスにサインインしている該当アカウントに対して適切なセキュリティ対策を講じるため。 パスワードがGoogleによって変更または無効化された場合、管理対象Apple Accountのセッションは終了し、再認証が必要となります。 | APIクエリ:
スコープ:https://www.googleapis.com/auth/admin.reports.audit.readonly | |
属性:
理由:Google Workspaceの確認済みドメインをApple Business Managerに同期するため。 | APIクエリ:該当なし スコープ:https://www.googleapis.com/auth/admin.directory.domain.readonly | |
属性:
理由:ディレクトリの同期用にGoogle管理者ユーザーの情報を取得するため。 注記: このスコープは、ディレクトリ同期に使う属性(以下の表に記載)を取得する際にも使用されます。 | APIクエリ:該当なし スコープ:https://www.googleapis.com/auth/admin.directory.user.readonly | |
属性:該当なし 理由:認可コードフローの進行中に、リフレッシュトークンをリクエストするため。 リフレッシュトークンは、アクセストークンのリクエストに使用されます。 このアクセストークンは、以下の情報の読み取りに使用されます。
| APIクエリ:access_type=offline スコープ:該当なし |
ディレクトリ同期におけるGoogle Workspaceの連携データの使用方法
ディレクトリの同期を目的としてGoogle Workspaceにリンクする場合は、以下の情報がApple Business Managerによって読み取られます。
Googleのユーザー属性 | Apple Business Managerのユーザー属性 | 必須 |
|---|---|---|
givenName | 名 |  |
familyName | 姓 | |
id | 管理対象Apple Accountとメールアドレス | |
primaryEmail | ユーザー名 |  |
department | 学科 | |
costCenter | コストセンター | |
externalId | External Id (外部ID) | |
deletionTime | Deletion Time (削除時刻) | |
詳細については、Googleのドキュメント「REST Resource: users」を参照してください。
Federated Authenticationプロセス
このプロセスは、主に次の3つの手順で構成されます。
Federated Authenticationを設定する。
1つのGoogle WorkspaceユーザーアカウントでFederated Authenticationをテストする。
Federated Authenticationを有効にする。
連携しようとしている確認済みのドメインが、他の組織によってすでに連携されている場合は、その組織と連絡を取り、ドメインを連携する権限がどちらにあるのかを判断する必要があります。「ドメインの競合」を参照してください。
重要: Federated Authenticationを設定する前に、以下の事項を確認してください。
手順1:Federated Authenticationを設定する
最初に、Google WorkspaceとApple Business Managerの信頼関係を築きます。
注記: この手順を完了すると、ユーザーは、構成したドメイン上で管理対象外(個人用)Apple Accountを新たに作成することができなくなります。これは、ユーザーがアクセスしているAppleのその他のサービスに影響を与える可能性があります。「Appleのサービスを移行する」を参照してください。
Apple Business Manager
で、管理者またはユーザーマネージャーの役割を持つユーザーとしてサインインします。サイドバーの下部にある自分の名前を選択し、「環境設定」
を選択し、「管理対象Apple Account」
を選択して、「ユーザーサインインとディレクトリ同期」の下の「今すぐ始める」を選択します。「Google Workspace」を選択し、「続ける」を選択します。
「Googleでサインイン」を選択し、Google Workspace管理者のユーザー名を入力して、「次へ」を選択します。
アカウントのパスワードを入力してから、「次へ」を選択します。
必要に応じて、自動的に確認されたドメインのリストで、ドメインの競合がないか確認します。
利用規約を注意深く読み、利用規約に同意して、以下を確認します。
Google Workspaceドメインの監査レポートを確認する
顧客に関係するドメインを確認する
ドメイン内のユーザーアカウントに関する情報を確認する
「続ける」を選択し、「完了」を選択します。
場合によっては、ドメインにサインインできないことがあります。一般的な理由は、以下のとおりです。
使用しているGoogle Workspaceの管理者アカウントに、ドメインを追加する権限がない。
手順4または5のアカウントのユーザー名またはパスワードが正しくない。
自分またはほかのGoogle Workspace管理者がデフォルトの属性を変更した。
手順2:1つのGoogle WorkspaceユーザーアカウントでFederated Authenticationをテストする
重要: Federated Authenticationテストでは、デフォルトの管理対象Apple Accountフォーマットも変更されます。
以下のタスクを完了したら、Federated Authenticationの接続をテストできます。
ユーザー名の競合チェック
管理対象Apple Accountのデフォルトフォーマットのアップデート
ユーザーアカウントの役割の変更は、Apple Business ManagerをGoogle Workspaceにリンクした後に行うことができます。たとえば、ユーザーアカウントの役割を職員の役割に変更したい場合があります。
Apple Business Manager
で、アカウントを使用してサインインします。サインインしたユーザー名が見つかった場合、新しい画面にドメイン内のアカウントでサインインしていることが表示されます。
「続ける」を選択し、ユーザーのパスワードを入力して、「サインイン」を選択します。
Apple Business Managerからサインアウトします。
注記: ユーザーは、まず別のAppleデバイスから管理対象Apple Accountにサインインするまで、MacからiCloud.comにサインインすることはできません。
場合によっては、ドメインにサインインできないことがあります。一般的な理由は、以下のとおりです。
連携用に選択したドメインのユーザー名またはパスワードが間違っている。
連携用に選択したドメインにアカウントが含まれていない。
手順3:Federated Authenticationを有効にする
Google WorkspaceをApple Business Managerに同期する予定の場合は、同期の前にFederated Authenticationを有効にする必要があります。
Apple Business Manager
で、管理者またはユーザーマネージャーの役割を持つユーザーとしてサインインします。サイドバーの下部にある自分の名前を選択し、「環境設定」
を選択して、「管理対象Apple Account」を選択します。「ドメイン」セクションで、連携するドメインの横にある「管理」を選択し、「Google Workspaceでログインする」を選択します。
「Google Workspaceでサインインする」を有効にします。
必要な場合は、この段階でユーザーアカウントをApple Business Managerに同期できます。「Google Workspaceからユーザーアカウントを同期する」を参照してください。