Apple School ManagerでGoogle WorkspaceとのFederated Authenticationを使用する
Apple School Managerで、Federated Authenticationを使用してGoogle Workspaceをリンクすると、ユーザはGoogle Workspaceのユーザ名(通常はメールアドレス)とパスワードでAppleデバイスにサインインできるようになります。
これによりユーザは、Google Workspaceの認証情報を管理対象Apple IDとして利用できます。ユーザはその後、それらの認証情報を使用して、割り当て済みのiPhone、iPad、Mac、さらにWeb上のiCloudにサインインすることができます。
Google WorkspaceはIDプロバイダ(IdP)であり、Apple School Managerのユーザを認証し、認証トークンを発行するために使用します。この認証は、証明書認証と2ファクタ認証(2FA)をサポートしています。
開始する前に
Google Workspaceにリンクする前に、以下を検討してください。
Federated Authenticationでは、ユーザのメールアドレスをユーザ名として使用する必要があります。エイリアスはサポートされていません。
連携されたドメインにメールアドレスがある既存のユーザの場合、そのメールアドレスと一致するように管理対象Apple IDが自動的に変更されます。
必要に応じて、使用するドメインを構成し、確認します。「新しいドメインにリンクする」を参照してください。Google Workspaceと連携するドメインをすでに確認済みの場合は、このプロセスを省略できます。
Student Information System(SIS)との接続を解除するか、SFTPを使用したアップロードを停止する。
管理者、サイトマネージャ、ユーザマネージャの役割を持つユーザアカウントは、Federated Authenticationを使用してサインインできません。これらの役割では、連携プロセスの管理のみが可能です。
Google Workspaceの接続が期限切れになると、ユーザアカウントとGoogle Workspaceの連携と同期が停止します。連携と同期を引き続き使用するには、Google Workspaceに再接続する必要があります。
Federated Authenticationプロセス
このプロセスは、主に次の3つの手順で構成されます。
Federated Authenticationを設定する。
1つのGoogle WorkspaceユーザアカウントでFederated Authenticationをテストする。
Federated Authenticationを有効にする。
連携しようとしている確認済みのドメインが、他の組織によってすでに連携されている場合は、その組織と連絡を取り、ドメインを連携する権限がどちらにあるのかを判断する必要があります。「ドメインの競合について」を参照してください。
手順1:Federated Authenticationを設定する
このタスクを実行することで、Google WorkspaceはApple School Managerを信頼できるようになります。
注記: この手順を完了すると、ユーザは、構成したドメイン上で個人用Apple IDを新たに作成することができなくなります。これは、使用中のAppleのその他のサービスに影響を与える可能性があります。「連携時にAppleのサービスを移行する」を参照してください。
Apple School Manager
で、管理者、サイトマネージャ、またはユーザマネージャの役割を持つユーザでサインインします。サイドバーの下部にある自分の名前を選択し、「環境設定」
を選択し、「管理対象Apple ID」
を選択して、「ユーザサインインとディレクトリ同期」の下の「今すぐ始める」を選択します。「Google Workspace」を選択し、「続ける」を選択します。
「Googleでサインイン」を選択し、Google Workspace管理者のユーザ名を入力して、「次へ」を選択します。
アカウントのパスワードを入力してから、「次へ」を選択します。
必要に応じて、自動的に確認されたドメインのリストで、ドメインの競合がないか確認します。
利用規約を注意深く読み、利用規約に同意して、以下を確認します。
G Suiteドメインの監査レポートを確認する
顧客に関係するドメインを確認する
ドメイン内のユーザアカウントに関する情報を確認する
「続ける」を選択し、「完了」を選択します。
場合によっては、ドメインにサインインできないことがあります。一般的な理由は、以下のとおりです。
使用しているGoogle Workspaceの管理者アカウントに、ドメインを追加する権限がない。
手順4または5のアカウントのユーザ名またはパスワードが正しくない。
自分またはほかのGoogle Workspace管理者がデフォルトの属性を変更した。
手順2:1つのGoogle WorkspaceユーザアカウントでFederated Authenticationをテストする
重要: Federated Authenticationテストでは、デフォルトの管理対象Apple IDフォーマットも変更されます。Student Information System(SIS)で作成されたアカウント、またはSecure File Transfer Protocol(SFTP)を使用してアップロードされた新しいアカウントは、新しい管理対象Apple IDのフォーマットを使用します。
以下のタスクを完了したら、Federated Authenticationの接続をテストできます。
ユーザ名の競合チェック
管理対象Apple IDのデフォルトフォーマットのアップデート
ユーザアカウントの役割の変更は、Apple School ManagerをGoogle Workspaceにリンクした後に行うことができます。たとえば、ユーザアカウントの役割を職員の役割に変更したい場合があります。
Apple School Manager
で、職員または学生の役割を持たないユーザでサインインします。サインインしたユーザ名が見つかった場合、新しい画面にドメイン内のアカウントでサインインしていることが表示されます。
「続ける」を選択し、ユーザのパスワードを入力して、「サインイン」を選択します。
Apple School Managerからサインアウトします。
注記: ユーザは、まず別のAppleデバイスから管理対象Apple IDにサインインするまで、iCloud.comにサインインすることはできません。
場合によっては、ドメインにサインインできないことがあります。一般的な理由は、以下のとおりです。
連携用に選択したドメインのユーザ名またはパスワードが間違っている。
連携用に選択したドメインにアカウントが含まれていない。
手順3:Federated Authenticationを有効にする
Google WorkspaceをApple School Managerに同期する予定の場合は、同期の前にFederated Authenticationを有効にする必要があります。
Apple School Manager
で、管理者、サイトマネージャ、またはユーザマネージャの役割を持つユーザでサインインします。サイドバーの下部にある自分の名前を選択し、「環境設定」
を選択して、「管理対象Apple ID」を選択します。「ドメイン」セクションで、連携するドメインの横にある「管理」を選択し、「Google Workspaceでログインする」を選択します。
「Google Workspaceでサインインする」を有効にします。
必要な場合は、この段階でユーザアカウントをApple School Managerに同期できます。「Google Workspaceからユーザアカウントを同期する」を参照してください。