Bruk forent autentisering med Google Workspace i Apple School Manager
I Apple School Manager kan du koble til Google Workspace med forent autentisering, slik at brukere kan logge på Apple-enheter med Google Workspace-brukernavnene (vanligvis e-postadresser) og -passordene sine.
Dette gjør at brukerne dine kan bruke Google Workspace-legitimasjonen sin som administrert Apple-konto. De kan deretter bruke denne legitimasjonen til å logge på sin tildelte iPhone, iPad, Mac eller Apple Vision Pro samt på Delt iPad. Når de har logget seg på en av disse enhetene, kan de også logge seg på iCloud på nettet (iCloud for Windows støtter ikke administrerte Apple-kontoer).
Google Workspace er identitetsleverandøren (IdP) som godkjenner brukeren for Apple School Manager og utsteder autentiseringstokener. Denne autentiseringen støtter sertifikatautentisering og tofaktorautentisering (2FA).
Merk: Ikke på noe som helst tidspunkt skrives noe data tilbake til Google Workspace.
Forente data lest fra Google Workspace
Følgende forente data leses når du kobler til Google Workspace ved hjelp av Open ID Connect (OIDC):
Forespørsel om samtykke for Google-administrator | Attributter brukt av Apple og årsak | API-spørring eller omfang |
|---|---|---|
Attributter: id_token-krav:
Årsak: Brukerautentisering ved hjelp av OIDC-protokoll for forening | API-spørring: NA Omfang: openid | |
Attributter: id_token-krav:
Årsak: Brukerautentisering ved hjelp av OIDC-protokoll for forening | API-spørring: NA Omfang: profil | |
Attributter: id_token-krav:
Årsak: Brukerautentisering ved hjelp av OIDC-protokoll for forening | API-spørring: NA Omfang: e-post | |
Attributter:
Årsak: For å hente sikkerhetshendelser som skjer vedrørende brukerkontoer i Google Workspace og deretter treffe passende sikkerhetstiltak for de respektive kontoene som er pålogget Apple-enheter. Når et passord endres eller gjøres ugyldig av Google, blir økten for den administrerte Apple-kontoen avsluttet og bedt om å autentiseres på nytt. | API-spørring:
Omfang: https://www.googleapis.com/auth/admin.reports.audit.readonly | |
Attributter:
Årsak: For å synkronisere verifiserte domener fra Google Workspace til Apple School Manager. | API-spørring: NA Omfang: https://www.googleapis.com/auth/admin.directory.domain.readonly | |
Attributter:
Årsak: For å hente brukerinformasjon for Google Workspace-administrator til en katalogsynkronisering. Merk: Dette omfanget brukes også til attributtene for katalogsynkronisering i tabellen nedenfor. | API-spørring: NA Omfang: https://www.googleapis.com/auth/admin.directory.user.readonly | |
Attributter: NA Årsak: For å be om et oppdateringstoken under arbeidsflyten for autorisasjonskode. Oppdateringstokenet brukes da til å be om et tilgangstoken. Tilgangstokenet brukes til å lese:
| API-spørring: access_type=offline Omfang: Ikke tilgjengelig |
Hvordan forente data fra Google Workspace brukes til katalogsynkronisering
Følgende informasjon leses av Apple School Manager når du kobler til Google Workspace for katalogsynkronisering:
Google Workspace-brukerattributt | Apple School Manager-brukerattributt | Påkrevd |
|---|---|---|
givenName | Fornavn |  |
familyName | Etternavn | |
id | Administrert Apple-konto og e-postadresse | |
primaryEmail | Brukernavn |  |
avdeling | Avdeling | |
costCenter | Kostnadssenter | |
externalId | Ekstern ID | |
deletionTime | Slettingstidspunkt | |
Hvis du vil ha mer informasjon, kan du lese Google REST Resource: users documentation.
Prosess for forent autentisering
Denne prosessen består av tre hovedtrinn:
Konfigurer forent autenti-sering.
Test forent autentisering med en enkelt Google Workspace-brukerkonto.
Slå på forent autentisering.
Hvis du prøver å forene et domene du allerede har verifisert, men en annen organisasjon allerede har forent det samme domenet, må du ta kontakt med den aktuelle organisasjonen for å finne ut hvem som har rett til å forene domenet. Se Domenekonflikter.
Viktig: Se gjennom følgende før du konfigurerer forent autentisering.
Trinn 1: Konfigurer forent autentisering
Det første trinnet er å etablere et tillitsforhold mellom Google Workspace og Apple School Manager.
Merk: Når du har fullført dette trinnet, kan ikke brukere opprette nye, ikke-administrerte (personlige) Apple-kontoer på domenet du konfigurerer. Dette kan påvirke andre Apple-tjenester som brukerne dine bruker. Se Overfør Apple-tjenester.
Logg på Apple School Manager
med en bruker som har tillatelse til å administrere forent autentisering.Velg navnet ditt nederst i sidepanelet, velg Valg
, velg Administrerte Apple-kontoer 
, og velg Kom i gang under «Brukerpålogging og katalogsynkronisering».Velg Google Workspace, og deretter velger du Fortsett.
Velg «Logg på med Google», skriv inn administratorbrukernavnet ditt for Google Workspace, og velg Neste.
Oppgi passordet for kontoen, og velg Neste.
Om nødvendig går du gjennom listen over automatisk verifiserte domener og eventuelle domenekonflikter.
Les avtalen nøye, godta vilkårene, og kontroller følgende:
Se revisjonsrapportene for Google Workspace-domenet ditt
Se domener relatert til kundene dine
Se informasjon om brukerkontoer på domenet ditt.
Velg Fortsett og deretter Ferdig.
I enkelte tilfeller kan du kanskje ikke logge på domenet ditt. Her er noen vanlige årsaker:
Google Workspace-administratorkontoen som brukes, har ikke tillatelse til å legge til domener.
Brukernavnet eller passordet for kontoen i trinn 4 eller 5 er feil.
Du eller en annen Google Workspace-administrator har endret standardattributtene.
Trinn 2: Test forent autentisering med en enkelt Google Workspace-brukerkonto
Viktig: Testen av forent autentisering endrer også standardformatet ditt for administrerte Apple-kontoer. Nye kontoer som opprettes i studentinformasjonssystemet (SIS) eller lastes opp via Secure File Transfer Protocol (SFTP), bruker det nye formatet for administrerte Apple-kontoer.
Du kan teste tilkoblingen for forent autentisering når du har utført følgende oppgaver:
Kontrollen av brukernavnkonflikter er fullført.
Standardformatet for administrerte Apple-kontoer er oppdatert.
Når du har koblet Apple School Manager til Google Workspace, kan du endre rollen for brukerkontoer til andre roller. Det kan for eksempel hende du vil endre rollen for en brukerkonto til personale-rollen.
Logg på Apple School Manager
med en bruker som ikke har rollen personale eller elev/student.Hvis brukernavnet du logger på med blir funnet, ser du et nytt vindu som indikerer at du logger på med en konto i domenet ditt.
Velg Fortsett, skriv inn passordet for brukeren, og velg Logg på.
Logg av Apple School Manager.
Merk: Brukere kan ikke logge på iCloud.com fra en Mac med mindre de først logger på en annen Apple-enhet med den administrerte Apple-kontoen sin.
I enkelte tilfeller kan du kanskje ikke logge på domenet ditt. Her er noen vanlige årsaker:
Brukernavnet eller passordet fra domenet du velger å forene er feil.
Kontoen er ikke i domenet du har valgt å forene.
Trinn 3: Slå på forent autentisering
Hvis du planlegger å synkronisere Google Workspace med Apple School Manager, må du slå på forent autentisering før du synkroniserer.
Logg på Apple School Manager
med en bruker som har tillatelse til å administrere forent autentisering.Velg navnet ditt nederst i sidepanelet, velg Valg
, og velg Administrerte Apple-kontoer .Velg Administrer ved siden av domenet du vil forene i Domener-delen, deretter velger du «Slå på Logg på med Google Workspace».
Slå på «Logg på med Google Workspace».
Om nødvendig kan du nå synkronisere brukerkontoer med Apple School Manager. Se Synkroniser brukerkontoer fra Google Workspace.