Používanie overenia združenej identity so službou Google Workspace v Apple School Manageri
V Apple School Manageri môžete pomocou overenia združenej identity vytvoriť prepojenie so službou Google Workspace a umožniť tak používateľom prihlasovať sa do zariadení Apple pomocou svojho používateľského mena (zvyčajne emailovej adresy) a hesla služby Google Workspace.
Používatelia tak budú môcť používať svoje prihlasovacie údaje služby Google Workspace ako spravované Apple účty. Pomocou týchto prihlasovacích údajov sa potom môžu prihlásiť do priradeného iPhonu, iPadu, Macu, Apple Vision Pro alebo zdieľaného iPadu. Po prihlásení na jednom z týchto zariadení sa potom môžu prihlásiť aj do iCloudu na webe (iCloud pre Windows spravované Apple účty nepodporuje).
Služba Google Workspace je poskytovateľom identity, ktorý overuje používateľov Apple School Managera a vydáva im overovacie tokeny. Toto overenie podporuje overovanie certifikátom a dvojfaktorovú autentifikáciu (2FA).
Poznámka: Dáta sa však nikdy nezapisujú späť do služby Google Workspace.
Údaje združenej identity načítané zo služby Google Workspace
Pri prepojení so službou Google Workspace pomocou služby Open ID Connect (OIDC) sa načítajú nasledujúce údaje združenej identity:
Žiadosť o súhlas správcu Googlu | Atribúty používané spoločnosťou Apple a dôvod | Dopyt alebo rozsah API |
|---|---|---|
Atribúty: id_token claims:
Dôvod: Autentifikácia používateľa pomocou protokolu OIDC združenej identity | Dopyt API: Nie je k dispozícii Rozsah: openid | |
Zobraziť vaše osobné údaje vrátane všetkých osobných údajov, ktoré ste zverejnili | Atribúty: id_token claims:
Dôvod: Autentifikácia používateľa pomocou protokolu OIDC združenej identity | Dopyt API: Nie je k dispozícii Rozsah: profil |
Atribúty: id_token claims:
Dôvod: Autentifikácia používateľa pomocou protokolu OIDC združenej identity | Dopyt API: Nie je k dispozícii Rozsah: email | |
Atribúty:
Dôvod: Aby bolo možné načítať bezpečnostné udalosti, týkajúce sa používateľských účtov zo služby Google Workspace, a potom v súvislosti s konkrétnymi účtami prihlásenými na zariadeniach Apple zaviesť náležité bezpečnostné opatrenia. Keď na strane spoločnosti Google dôjde k zmene hesla alebo zrušeniu prebiehajúceho prihlásenia pomocou neho, relácia spravovaného Apple účtu sa ukončí a zobrazí sa výzva na opätovné overenie. | Dopyt rozhrania API:
Rozsah: https://www.googleapis.com/auth/admin.reports.audit.readonly | |
Atribúty:
Dôvod: Aby bolo možné synchronizovať do Apple School Managera overené domény zo služby Google Workspace. | Dopyt API: Nie je k dispozícii Rozsah: https://www.googleapis.com/auth/admin.directory.domain.readonly | |
Atribúty:
Dôvod: Získanie informácií o používateľovi administrátora služby Google Workspace na synchronizáciu adresárov. Poznámka: Tento rozsah sa používa aj pre atribúty synchronizácie adresárov v tabuľke nižšie. | Dopyt API: Nie je k dispozícii Rozsah: https://www.googleapis.com/auth/admin.directory.user.readonly | |
Atribúty: Nie je k dispozícii Dôvod: Aby bolo možné požiadať počas procesu overovacieho kódu o token obnovenia. Token obnovenia sa potom použije na vyžiadanie prístupového tokenu. Prostredníctvom prístupového tokenu je možné čítať tieto informácie:
| Dopyt API: access_type=offline Rozsah: Nie je k dispozícii |
Ako sa údaje združenej identity zo služby Google Workspace používajú na synchronizáciu adresárov
Keď nastavíte prepojenie so službou Google Workspace na synchronizáciu adresárov, Apple School Manager môže čítať tieto informácie:
Atribút používateľa v službe Google Workspace | Atribút používateľa v Apple School Manageri | Povinné |
|---|---|---|
givenName | Meno |  |
familyName | Priezvisko | |
id | Spravovaný Apple účet a emailová adresa | |
primaryEmail | Používateľské meno |  |
department | Oddelenie | |
costCenter | Nákladové stredisko | |
externalId | Externé ID | |
deletionTime | Čas vymazania | |
Viac informácií nájdete v užívateľskej dokumentácii pre Google REST.
Proces overenia združenej identity
Tento proces pozostáva z troch hlavných krokov:
Konfigurácia overenia združenej identity.
Otestovanie overenia združenej identity s jedným používateľským účtom služby Google Workspace.
Zapnutie funkcie Overenie združenej identity.
Ak sa pokúšate o združenie domény, ktorú ste už overili, ale iná organizácia už združila rovnakú doménu, musíte kontaktovať túto organizáciu a určiť, kto má oprávnenie na združenie domény. Pozrite si tému Konflikty domén.
Dôležité: Pred konfiguráciou overenia združenej identity si prečítajte tieto informácie.
1. krok: Konfigurácia overenia združenej identity
Prvým krokom je vytvorenie dôveryhodného vzťahu medzi službou Google Workspace a Apple School Managerom.
Poznámka: Po dokončení tohto kroku už používatelia nebudú môcť v nakonfigurovanej doméne vytvárať nové nespravované (osobné) Apple účty. Môže to mať vplyv na ostatné služby Apple, ku ktorým používatelia získavajú prístup. Pozrite si tému Prevod služieb Apple.
V Apple School Manageri
sa prihláste do účtu s oprávneniami na spravovanie overenia združenej identity.Vyberte svoje meno v dolnej časti bočného panela, vyberte položku Nastavenia
, vyberte položku Spravované Apple účty 
a potom vyberte položku Začať v časti „Prihlásenie používateľa a synchronizácia adresára“.Vyberte Google Workspace a potom Pokračovať.
Vyberte položku Prihlásiť sa cez Google, zadajte používateľské meno správcu služby Google Workspace a potom vyberte položku Ďalej.
Zadajte heslo účtu a vyberte položku Ďalej.
Ak to bude potrebné, skontrolujte zoznam automaticky overených domén a prípadné konflikty domén.
Pozorne si prečítajte zmluvu, prijmite zmluvné podmienky a potom skontrolujte nasledovné:
Pozrite si prehľady protokolu auditovania pre doménu Google Workspace
Zobraziť domény spojené so zákazníkmi
Pozrite si informácie o používateľských účtoch vo vašej doméne.
Vyberte položku Pokračovať a potom položku Hotovo.
V niektorých prípadoch sa môže stať, že sa do domény nebudete môcť prihlásiť. Tu je niekoľko bežných príčin:
Používate účet administrátora služby Google Workspace, ktorý nemá povolenie na pridávanie domén.
Používateľské meno alebo heslo účtu z kroku 4 alebo 5 je nesprávne.
Vy alebo iný administrátor služby Google Workspace ste upravili predvolené atribúty.
2. krok: Otestovanie overenia združenej identity s jedným používateľským účtom služby Google Workspace
Dôležité: Test overenia združenej identity zároveň zmení predvolený formát spravovaného Apple účtu. Nové účty vytvorené v študentskom informačnom systéme (SIS) alebo nahraté pomocou protokolu SFTP (Secure File Transfer Protocol) používajú nový formát spravovaného Apple účtu.
Spojenie overenia združenej identity môžete otestovať v prípade, že ste predtým vykonali nasledujúce kroky:
Kontrola konfliktov používateľských mien je hotová.
Aktualizovali ste predvolený formát spravovaného Apple účtu.
Po úspešnom prepojení Apple School Managera so službou Google Workspace môžete zmeniť pozíciu používateľského účtu na inú. Môžete napríklad zmeniť pozíciu používateľského účtu na pozíciu Zamestnanec.
V Apple School Manageri
sa prihláste pomocou účtu, ktorý má inú pozíciu ako personál alebo študent.Ak sa používateľské meno, pomocou ktorého ste sa prihlásili, podarí nájsť, zobrazí sa nová obrazovka, ktorá ukáže, že sa prihlasujete do svojej domény pomocou daného účtu.
Vyberte položku Pokračovať, zadajte heslo používateľa a potom vyberte položku Prihlásiť sa.
Odhláste sa z Apple School Managera.
Poznámka: Aby sa používatelia mohli pomocou Macu prihlásiť na stránke iCloud.com, musia sa najskôr na inom zariadení Apple prihlásiť pomocou svojho spravovaného Apple účtu.
V niektorých prípadoch sa môže stať, že sa do domény nebudete môcť prihlásiť. Tu je niekoľko bežných príčin:
Používateľské meno alebo heslo z domény, ktoré ste na združenie vybrali, je nesprávne.
Účet sa nenachádza v doméne, ktorú ste na združenie vybrali.
3. krok: Zapnutie funkcie Overenie združenej identity
Ak službu Google Workspace plánujete synchronizovať s Apple School Managerom, musíte zapnúť overenie združenej identity pred synchronizáciou.
V Apple School Manageri
sa prihláste do účtu s oprávneniami na spravovanie overenia združenej identity.Vyberte svoje meno v dolnej časti bočného panela, vyberte položku Nastavenia
a potom vyberte položku Spravované Apple účty .V časti Domény vyberte možnosť Spravovať vedľa domény, ktorú chcete združiť, a potom vyberte možnosť Zapnúť prihlásenie cez Google Workspace.
Zapnite možnosť Prihlásiť sa cez Google Workspace.
V prípade potreby môžete teraz synchronizovať používateľské účty do Apple School Managera. Pozrite si tému Synchronizácia používateľských účtov zo služby Google Workspace.