Apple BusinessでGoogle WorkspaceとのFederated Authenticationを使用する
概要
Apple Businessで、Federated Authenticationを使用してGoogle Workspaceをリンクすると、ユーザーはGoogle Workspaceのユーザー名(通常はメールアドレス)とパスワードでAppleデバイスにサインインできるようになります。
これによりユーザーは、Google Workspaceの認証情報を管理対象Apple Accountとして利用できます。ユーザーはその後、それらの認証情報を使用して、割り当て済みのiPhone、iPad、Mac、Apple Vision Pro、共有iPadにサインインすることができます。これらのデバイスのいずれかにサインインした後は、Web上のiCloudにもサインインできます(Windows用iCloudは管理対象Apple Accountに対応していません)。
Google Workspaceは、Apple Business用にユーザーを認証し、認証トークンを発行するIDプロバイダー(IdP)です。この認証は、証明書認証と2ファクタ認証(2FA)をサポートしています。
注記: データがGoogle Workspaceに書き戻されることはありません。
Google Workspaceから読み込まれるのは、どのような連携データですか?
OpenID Connect (OIDC)を使用してGoogle Workspaceにリンクすると、以下の連携データが取得されます。
Google管理者に表示される同意リクエストの文言 | Appleで使用される属性と理由 | APIクエリまたはスコープ |
|---|---|---|
属性:id_tokenに含まれるクレーム内容:
理由:連携OIDCプロトコルを使用したユーザー認証のため | APIクエリ:該当なし スコープ:openid | |
属性:id_tokenに含まれるクレーム内容:
理由:連携OIDCプロトコルを使用したユーザー認証のため | APIクエリ:該当なし スコープ:profile | |
属性:id_tokenに含まれるクレーム内容:
理由:連携OIDCプロトコルを使用したユーザー認証のため | APIクエリ:該当なし スコープ:email | |
属性:
理由:Google Workspaceのユーザーアカウントで発生したセキュリティイベントを取得し、Appleデバイスにサインインしている該当アカウントに対して適切なセキュリティ対策を講じるため。 パスワードがGoogleによって変更または無効化された場合、管理対象Apple Accountのセッションは終了し、再認証が必要となります。 | APIクエリ:
スコープ:https://www.googleapis.com/auth/admin.reports.audit.readonly | |
属性:
理由:Google Workspaceの確認済みドメインをApple Businessに同期するため。 | APIクエリ:該当なし スコープ:https://www.googleapis.com/auth/admin.directory.domain.readonly | |
属性:
理由:ディレクトリの同期用にGoogle管理者ユーザーの情報を取得するため。 注記: このスコープは、ディレクトリ同期に使う属性にも使用されます。「Google Workspaceの連携データはディレクトリ同期でどのように使用されますか?」を参照してください。 | APIクエリ:該当なし スコープ:https://www.googleapis.com/auth/admin.directory.user.readonly | |
属性:該当なし 理由:認可コードフローの進行中に、リフレッシュトークンをリクエストするため。 リフレッシュトークンは、アクセストークンのリクエストに使用されます。 このアクセストークンは、以下の情報の読み取りに使用されます。
| APIクエリ:access_type=offline スコープ:該当なし |
Federated Authenticationプロセス
このプロセスは、主に次の3つの手順で構成されます。
Federated Authenticationを設定する。
1つのGoogle WorkspaceユーザーアカウントでFederated Authenticationをテストする。
Federated Authenticationを有効にする。
連携しようとしている確認済みのドメインが、他の組織によってすでに連携されている場合は、その組織と連絡を取り、ドメインを連携する権限がどちらにあるのかを判断する必要があります。「ドメインの競合とは何ですか?」を参照してください。
重要: Federated Authenticationを設定する前に、以下の事項を確認してください。
手順1:Federated Authenticationを設定する
最初に、Google WorkspaceとApple Businessの信頼関係を築きます。
注記: この手順を完了すると、ユーザーは、構成したドメイン上で管理対象外(個人用) Apple Accountを新たに作成することができなくなります。これは、ユーザーがアクセスしているAppleのその他のサービスに影響を与える可能性があります。「Appleのサービスを移行する」を参照してください。
Apple Businessで、連携の設定と構成、およびIDプロバイダー(IdP)への接続を行う権限を持つ役割のユーザーとしてサインインします。
役割と権限の確認方法については、「役割と権限について」を参照してください。
「ユーザサインインとディレクトリ同期」の横にある「開始する」を選択します。
「Google Workspace」を選択し、「続ける」を選択します。
「Googleでサインイン」を選択し、Google Workspace管理者のユーザー名を入力して、「次へ」を選択します。
アカウントのパスワードを入力してから、「次へ」を選択します。
必要に応じて、自動的に確認されたドメインのリストで、ドメインの競合がないか確認します。
利用規約を注意深く読み、利用規約に同意して、以下を確認します。
Google Workspaceドメインの監査レポートを確認する
顧客に関係するドメインを確認する
ドメイン内のユーザーアカウントに関する情報を確認する
「続ける」を選択し、「完了」を選択します。
場合によっては、ドメインにサインインできないことがあります。一般的な理由は、以下のとおりです。
使用しているGoogle Workspaceの管理者アカウントに、ドメインを追加する権限がない。
Google Workspace管理者のユーザー名またはパスワードが正しくない。
自分またはほかのGoogle Workspace管理者がデフォルトの属性を変更した。
手順2:1つのGoogle WorkspaceユーザーアカウントでFederated Authenticationをテストする
重要: Federated Authenticationテストでは、デフォルトの管理対象Apple Accountフォーマットも変更されます。
以下のタスクを完了したら、Federated Authenticationの接続をテストできます。
ユーザー名の競合チェック
管理対象Apple Accountのデフォルトフォーマットのアップデート
ユーザーアカウントの役割の変更は、Apple BusinessをGoogle Workspaceにリンクした後に行うことができます。たとえば、ユーザーアカウントの役割を職員の役割に変更したい場合があります。
注記: 連携の設定、構成、およびGoogle Workspaceへの接続に関する権限を付与されているユーザーは、Federated Authenticationを使用してサインインすることはできません。連携プロセスの管理のみが可能です。
Apple Businessで、Google Workspaceアカウントを使用してサインインします。
サインインしたユーザー名が見つかった場合、新しい画面にドメイン内のアカウントでサインインしていることが表示されます。
「続ける」を選択し、ユーザーのパスワードを入力して、「サインイン」を選択します。
Apple Businessからサインアウトします。
注記: ユーザーは、まず別のAppleデバイスから管理対象Apple Accountにサインインするまで、MacからiCloud.comにサインインすることはできません。
場合によっては、ドメインにサインインできないことがあります。一般的な理由は、以下のとおりです。
連携用に選択したドメインのユーザー名またはパスワードが間違っている。
連携用に選択したドメインにアカウントが含まれていない。
手順3:Federated Authenticationを有効にする
Google WorkspaceをApple Businessに同期する予定の場合は、同期の前にFederated Authenticationを有効にする必要があります。
Apple Businessで、連携の設定と構成、およびIDプロバイダー(IdP)への接続を行う権限を持つ役割のユーザーとしてサインインします。
役割と権限の確認方法については、「役割と権限について」を参照してください。
「ドメイン」セクションで、連携するドメインの横にある「管理」を選択し、「Google Workspaceでログインする」を選択します。
「Google Workspaceでサインインする」を有効にします。
必要な場合に応じて、この段階でユーザーアカウントをApple Businessに同期できます。「Google Workspaceからユーザーアカウントを同期する」を参照してください。