ใข้การรับรองความถูกต้องแบบรวมศูนย์กับ Google Workspace ใน Apple Business Manager
ใน Apple Business Manager คุณสามารถเชื่อมโยงไปยัง Google Workspace โดยใช้การรับรองความถูกต้องแบบรวมศูนย์เพื่อให้ผู้ใช้สามารถลงชื่อเข้าใช้อุปกรณ์ Apple ด้วยชื่อผู้ใช้ (โดยทั่วไปคือที่อยู่อีเมล) และรหัสผ่าน Google Workspace ของตนเองได้
ด้วยเหตุนี้ ผู้ใช้ของคุณจึงสามารถใช้ข้อมูลประจำตัว Google Workspace เป็นบัญชี Apple ที่มีการจัดการได้ จากนั้นผู้ใช้สามารถใช้ข้อมูลประจำตัวเหล่านั้นเพื่อลงชื่อเข้าใช้ iPhone, iPad, Mac, Apple Vision Pro และ iPad ที่แชร์ที่ได้รับมอบหมายได้ หลังจากลงชื่อเข้าในอุปกรณ์เหล่านี้แล้ว ผู้ใช้ยังสามารถลงชื่อเข้า iCloud บนเว็บไซต์ได้ด้วย (iCloud สำหรับ Windows ไม่รองรับบัญชี Apple ที่มีการจัดการ)
Google Workspace เป็นผู้ให้บริการข้อมูลประจำตัว (IdP) ซึ่งรับรองความถูกต้องของผู้ใช้ให้กับ Apple Business Manager และออกโทเค็นการรับรองความถูกต้อง การรับรองความถูกต้องนี้รองรับการรับรองความถูกต้องของใบรับรองและการตรวจสอบสิทธิ์สองปัจจัย (2FA)
หมายเหตุ: ไม่มีการเขียนข้อมูลกลับไปยัง Google Workspace เด็ดขาด
ข้อมูลการทำระบบแบบรวมศูนย์ที่อ่านจาก Google Workspace
ข้อมูลการทำระบบแบบรวมศูนย์ต่อไปนี้จะถูกอ่าน เมื่อคุณเชื่อมต่อกับ Google Workspace โดยใช้ Open ID Connect (OIDC):
คำขอความยินยอมจากผู้ดูแลระบบ Google | คุณลักษณะที่ Apple ใช้และเหตุผล | คิวรี API หรือขอบเขต |
|---|---|---|
คุณลักษณะ: id_token claims:
เหตุผล: ผู้ใช้กำลังยืนยันตัวตนโดยใช้โปรโตคอล OIDC แบบรวมศูนย์ | คิวรี API:NA ขอบเขต: openid | |
ดูข้อมูลส่วนตัวของคุณ รวมถึงข้อมูลส่วนตัวใดๆ ที่คุณได้เปิดเผยต่อสาธารณะ | คุณลักษณะ: id_token claims:
เหตุผล: ผู้ใช้กำลังยืนยันตัวตนโดยใช้โปรโตคอล OIDC แบบรวมศูนย์ | คิวรี API:NA ขอบเขต: profile |
คุณลักษณะ: id_token claims:
เหตุผล: ผู้ใช้กำลังยืนยันตัวตนโดยใช้โปรโตคอล OIDC แบบรวมศูนย์ | คิวรี API:NA ขอบเขต: email | |
คุณลักษณะ:
เหตุผล: เพื่อดึงข้อมูลเหตุการณ์ด้านการรักษาความปลอดภัย ที่เกิดขึ้นกับบัญชีผู้ใช้ใน Google Workspace จากนั้นจึงใช้มาตรการรักษาความปลอดภัยที่เหมาะสมกับบัญชีที่เกี่ยวข้อง ซึ่งลงชื่อเข้าในอุปกรณ์ Apple เมื่อ Google เปลี่ยนรหัสผ่านหรือทำให้รหัสผ่านไม่ถูกต้อง เซสชันบัญชี Apple ที่มีการจัดการจะสิ้นสุดลง และจะขอให้ยืนยันตัวตนอีกครั้ง | คิวรี API:
ขอบเขต: https://www.googleapis.com/auth/admin.reports.audit.readonly | |
คุณลักษณะ:
เหตุผล: เพื่อซิงค์โดเมนที่ตรวจสอบยืนยันแล้วจาก Google Workspace ไปยัง Apple Business Manager | คิวรี API:NA ขอบเขต: https://www.googleapis.com/auth/admin.directory.domain.readonly | |
คุณลักษณะ:
เหตุผล: เพื่อขอรับข้อมูลผู้ดูแลระบบ Google Workspace สำหรับการซิงค์ไดเร็กทอรี หมายเหตุ: ขอบเขตนี้ยังใช้กับคุณสมบัติการซิงค์ไดเร็กทอรีในตารางด้านล่างด้วย | คิวรี API:NA ขอบเขต: https://www.googleapis.com/auth/admin.directory.user.readonly | |
คุณลักษณะ: NA เหตุผล: เพื่อขอโทเค็นการรีเฟรชในระหว่างขั้นตอนส่งรหัสการรับรองตัวตน จากนั้นจะใช้โทเค็นการรีเฟรชเพื่อขอโทเค็นการเข้าถึง ระบบใช้โทเค็นการเข้าถึงเพื่ออ่าน:
| คิวรี API: access_type=offline ขอบเขต: NA |
วิธีใช้ข้อมูลการทำระบบแบบรวมศูนย์จาก Google Workspace สำหรับการซิงค์ไดเร็กทอรี
Apple Business Manager จะอ่านข้อมูลต่อไปนี้เมื่อคุณเชื่อมโยงกับ Google Workspace เพื่อซิงค์ไดเรกทอรี:
คุณลักษณะผู้ใช้ Google Workspace | คุณลักษณะผู้ใช้ของ Apple Business Manager | บังคับ |
|---|---|---|
ชื่อ | ชื่อ |  |
familyName | นามสกุล | |
ID | บัญชี Apple ที่มีการจัดการและที่อยู่อีเมล | |
primaryEmail | ชื่อผู้ใช้ |  |
department | แผนก | |
costCenter | ศูนย์ต้นทุน | |
externalId | รหัสภายนอก | |
deletionTime | เวลาลบ | |
สำหรับข้อมูลเพิ่มเติม โปรดดูเอกสารประกอบการใช้งาน Google REST Resource: users
กระบวนการรับรองความถูกต้องแบบรวมศูนย์
กระบวนการนี้ประกอบด้วย 3 ขั้นตอนหลัก ได้แก่
กำหนดค่าการรับรองความถูกต้องแบบรวมศูนย์
ทดสอบการรับรองความถูกต้องแบบรวมศูนย์ด้วยบัญชีผู้ใช้ Google Workspace 1 บัญชี
เปิดใช้การรับรองความถูกต้องแบบรวมศูนย์
หากคุณกำลังพยายามทำระบบแบบรวมศูนย์สำหรับโดเมนที่คุณได้ยืนยันแล้ว แต่มีองค์กรอื่นได้ทำระบบแบบรวมศูนย์สำหรับโดเมนเดียวกันดังกล่าวไปแล้ว คุณต้องติดต่อองค์กรนั้นเพื่อระบุว่าผู้ใดมีอำนาจในการทำระบบแบบรวมศูนย์สำหรับโดเมนดังกล่าว โปรดดู ข้อขัดแย้งเกี่ยวกับโดเมน
สิ่งสำคัญ: ตรวจสอบสิ่งต่อไปนี้ก่อนที่จะกำหนดค่าการรับรองความถูกต้องแบบรวมศูนย์
ขั้นตอนที่ 1: กำหนดค่าการรับรองความถูกต้องแบบรวมศูนย์
ขั้นตอนแรกคือการสร้างความสัมพันธ์ที่เชื่อถือได้ระหว่าง Google Workspace กับ Apple Business Manager
หมายเหตุ: หลังจากที่คุณทำขั้นตอนนี้เสร็จสมบูรณ์ ผู้ใช้จะไม่สามารถสร้างบัญชี Apple (ส่วนตัว) ที่ไม่ได้รับการจัดการใหม่บนโดเมนที่คุณกำหนดค่าได้ ซึ่งอาจส่งผลกระทบต่อบริการของ Apple อื่นๆ ที่ผู้ใช้ของคุณเข้าถึงได้ โปรดดู โอนย้ายบริการของ Apple
ใน Apple Business Manager
ให้ลงชื่อเข้าด้วยผู้ใช้ที่มีบทบาทเป็นผู้ดูแลระบบหรือผู้จัดการบุคคลเลือกชื่อของคุณทางด้านล่างของแถบข้าง เลือก “การตั้งค่า”
เลือก “บัญชี Apple ที่มีการจัดการ” 
จากนั้นเลือก “เริ่มต้น” ภายใต้ “การลงชื่อเข้าของผู้ใช้และการซิงค์ไดเรกทอรี”เลือก Google Workspace จากนั้นเลือก “ดำเนินการต่อ”
เลือก “ลงชื่อเข้าด้วย Google” แล้วป้อนชื่อผู้ใช้ของผู้ดูแลระบบ Google Workspace ของคุณ จากนั้นเลือก “ถัดไป”
ป้อนรหัสผ่านของบัญชี จากนั้นเลือก “ถัดไป”
หากจำเป็น ให้ตรวจสอบรายการโดเมนที่ยืนยันโดยอัตโนมัติและโดเมนใดๆ ที่มีความขัดแย้ง
อ่านข้อตกลงอย่างถี่ถ้วน จากนั้นยอมรับข้อกำหนดและเงื่อนไข แล้วตรวจสอบสิ่งต่อไปนี้
ดูรายงานการตรวจสอบของโดเมน Google Workspace ของคุณ
ดูโดเมนที่เกี่ยวข้องกับลูกค้าของคุณ
ดูข้อมูลเกี่ยวกับบัญชีผู้ใช้ในโดเมนของคุณ
เลือก “ดำเนินการต่อ” แล้วเลือก “เสร็จสิ้น”
ในบางกรณี คุณอาจไม่สามารถลงชื่อเข้าใช้โดเมนของคุณได้ ตัวอย่างของเหตุผลที่พบบ่อยมีดังนี้:
บัญชีผู้ดูแลระบบ Google Workspace ที่ใช้ไม่มีสิทธิ์เพิ่มโดเมน
ชื่อผู้ใช้หรือรหัสผ่านจากบัญชีในขั้นตอนที่ 4 หรือ 5 ไม่ถูกต้อง
คุณหรือผู้ดูแลระบบ Google Workspace คนอื่นได้แก้ไขคุณลักษณะเริ่มต้น
ขั้นตอนที่ 2: ทดสอบการรับรองความถูกต้องแบบรวมศูนย์ด้วยบัญชีผู้ใช้ Google Workspace 1 บัญชี
สิ่งสำคัญ: การทดสอบการรับรองความถูกต้องแบบรวมศูนย์ยังเปลี่ยนรูปแบบเริ่มต้นของบัญชี Apple ที่มีการจัดการด้วย
คุณสามารถทดสอบการเชื่อมต่อการรับรองความถูกต้องแบบรวมศูนย์หลังจากดำเนินการดังต่อไปนี้:
ตรวจสอบความขัดแย้งของชื่อผู้ใช้เสร็จเรียบร้อยแล้ว
อัปเดตรูปแบบเริ่มต้นของบัญชี Apple ที่มีการจัดการแล้ว
หลังจากที่คุณเชื่อมโยง Apple Business Manager กับ Google Workspace แล้ว คุณสามารถเปลี่ยนบทบาทของบัญชีผู้ใช้เป็นบทบาทอื่นได้ ตัวอย่างเช่น คุณอาจต้องการเปลี่ยนบทบาทของบัญชีผู้ใช้เป็นบทบาทเจ้าหน้าที่
ใน Apple Business Manager
ลงชื่อเข้าด้วยบัญชีใดบัญชีหนึ่งหากพบชื่อผู้ใช้ที่คุณใช้ลงชื่อเข้า หน้าจอใหม่จะระบุว่าคุณกำลังลงชื่อเข้าด้วยบัญชีหนึ่งในโดเมนของคุณ
เลือก “ดำเนินการต่อ” แล้วป้อนรหัสผ่านของผู้ใช้นั้น จากนั้นเลือก “ลงชื่อเข้า”
ลงชื่อออกจาก Apple Business Manager
หมายเหตุ: ผู้ใช้จะไม่สามารถลงชื่อเข้าสู่ iCloud.com จาก Mac ได้ เว้นแต่ว่าผู้ใช้จะลงชื่อเข้าด้วยบัญชี Apple ที่มีการจัดการในอุปกรณ์ Apple เครื่องอื่นก่อน
ในบางกรณี คุณอาจไม่สามารถลงชื่อเข้าใช้โดเมนของคุณได้ ตัวอย่างของเหตุผลที่พบบ่อยมีดังนี้:
ชื่อผู้ใช้หรือรหัสผ่านจากโดเมนที่คุณเลือกทำระบบแบบรวมศูนย์ไม่ถูกต้อง
บัญชีไม่ได้อยู่ในโดเมนที่คุณเลือกทำระบบแบบรวมศูนย์
ขั้นตอนที่ 3: เปิดใช้การรับรองความถูกต้องแบบรวมศูนย์
หากคุณวางแผนที่จะซิงค์ Google Workspace กับ Apple Business Manager คุณต้องเปิดใช้การรับรองความถูกต้องแบบรวมศูนย์ก่อนที่จะซิงค์
ใน Apple Business Manager
ให้ลงชื่อเข้าด้วยผู้ใช้ที่มีบทบาทเป็นผู้ดูแลระบบหรือผู้จัดการบุคคลเลือกชื่อของคุณทางด้านล่างของแถบข้าง แล้วเลือก “การตั้งค่า”
จากนั้นเลือก “บัญชี Apple ที่มีการจัดการ” ในส่วน “โดเมน” ให้เลือก “จัดการ” ถัดจากโดเมนที่คุณต้องการทำระบบแบบรวมศูนย์ จากนั้นเลือก “เปิดใช้การลงชื่อเข้าด้วย Google Workspace”
เปิดใช้ “ลงชื่อเข้าด้วย Google Workspace”
หากจำเป็น คุณจะสามารถซิงค์บัญชีผู้ใช้กับ Apple Business Manager ได้แล้วในตอนนี้ โปรดดูซิงค์บัญชีผู้ใช้จาก Google Workspace