Використання обʼєднаної автентифікації за допомогою Google Workspace в Apple School Manager
В Apple School Manager ви можете підʼєднатися до Google Workspace за допомогою обʼєднаної автентифікації, щоб дозволити користувачам входити в систему пристроїв Apple за допомогою свого імені користувача Google Workspace (зазвичай це е‑адреса користувача) і пароля.
Унаслідок цього користувачі зможуть використовувати свої облікові дані Google Workspace як керований обліковий запис Apple. За допомогою цих облікових даних вони можуть входити в систему призначених їм пристроїв iPhone, iPad, Mac, Apple Vision Pro та спільного iPad. Після входу на одному з цих пристроїв вони можуть також увійти в iCloud через інтернет (iCloud для Windows не підтримує керовані облікові записи Apple).
Google Workspace — це постачальник ідентифікаційних даних (IdP), що автентифікує користувачів в Apple School Manager та видає токени автентифікації. Такий тип автентифікації підтримує автентифікацію за допомогою сертифіката та двофакторну автентифікацію (2FA).
Примітка. Жодні дані не передаються назад у Google Workspace.
Дані обʼєднання, зчитані з Google Workspace
Після зʼєднання з Google Workspace за допомогою Open ID Connect (OIDC) зчитуються такі дані обʼєднання:
Запит на згоду адміністратора Google | Атрибути, що використовуються Apple, та причина | Запит або область застосування API |
|---|---|---|
Атрибути: параметри id_token:
Причина: автентифікація користувача за допомогою протоколу Federation OIDC | Запит API: немає даних Область застосування: openid | |
Атрибути: параметри id_token:
Причина: автентифікація користувача за допомогою протоколу Federation OIDC | Запит API: немає даних Область застосування: профіль | |
Перегляд основної адреси електронної пошти вашого облікового запису Google | Атрибути: параметри id_token:
Причина: автентифікація користувача за допомогою протоколу Federation OIDC | Запит API: немає даних Область застосування: електронна пошта |
Атрибути:
Причина: відновлення подій безпеки, що сталися з обліковими записами користувачів у Google Workspace, а потім ужиття заходів безпеки для відповідних облікових записів, які ввійшли на пристроях Apple. Якщо пароль змінено або визнано недійсним із боку Google, сеанс керованого облікового запису Apple буде завершено, і буде надіслано запит на повторну автентифікацію. | Запит API:
Область застосування: https://www.googleapis.com/auth/admin.reports.audit.readonly | |
Атрибути:
Причина: синхронізація перевірених доменів із Google Workspace до Apple School Manager. | Запит API: немає даних Область дії: https://www.googleapis.com/auth/admin.directory.domain.readonly | |
Атрибути:
Причина: отримання інформації про користувача-адміністратора Google Workspace для синхронізації каталогу. Примітка. Ця область також використовується для атрибутів синхронізації каталогу в таблиці нижче. | Запит API: немає даних Область дії: https://www.googleapis.com/auth/admin.directory.user.readonly | |
Атрибути: немає даних Причина: запит токена оновлення під час потоку коду авторизації. Токен оновлення потім використовується для запиту токена доступу. Токен доступу використовується для читання:
| Запит API: access_type=offline Область застосування: немає даних |
Як дані обʼєднання з Google Workspace використовуються для синхронізації каталогу
Наступна інформація зчитується Apple School Manager, коли ви підключаєтеся до Google Workspace для синхронізації каталогів:
Атрибут користувача Google Workspace | Атрибут користувача Apple School Manager | Обовʼязково |
|---|---|---|
givenName | Імʼя |  |
familyName | Прізвище | |
id | Керований обліковий запис Apple й адреса е‑пошти | |
primaryEmail | Ім’я користувача |  |
department | Департамент | |
costCenter | Центр витрат | |
externalId | Зовнішній ідентифікатор | |
deletionTime | Час видалення | |
Докладніше читайте в розділі Google REST Resource: документація користувача.
Процес обʼєднаної автентифікації
Процес складається із трьох основних кроків:
Налаштування об’єднаної автентифікації.
Перевірте об’єднану автентифікацію за допомогою одного облікового запису користувача Google Workspace.
Увімкнення обʼєднаної автентифікації.
Якщо ви намагаєтесь обʼєднати домен, для якого ви вже підтвердили право власності, але інша установа вже обʼєднала ідентичний домен, вам необхідно звʼязатися із цією установою, щоб зʼясувати, хто має право обʼєднувати домен. Див. розділ Конфлікти доменів.
Важливо! Перш ніж налаштовувати об’єднану автентифікацію, ознайомтеся з наведеними нижче пунктами.
Крок 1. Налаштування обʼєднаної автентифікації
Перший крок — установити надійний зв’язок між Google Workspace та Apple School Manager.
Примітка. Після виконання цього кроку користувачі не зможуть створювати некеровані (особисті) облікові записи Apple в сконфігурованому вами домені. Це може вплинути на інші служби Apple, до яких користувачі мають доступ. Див. розділ Перенесення сервісів Apple.
В Apple School Manager
увійдіть в обліковий запис, використовуючи дані користувача, що має повноваження керувати об’єднаною автентифікацією.У нижній частині бічної панелі виберіть своє ім’я, натисніть «Уподобання»
, виберіть Керовані облікові записи Apple 
, а потім — «Початок роботи» в розділі «Вхід користувача та синхронізація каталогів».Виберіть Google Workspace, а потім натисніть «Продовжити».
Виберіть «Увійти за допомогою Google», введіть ім’я користувача адміністратора Google Workspace, а потім натисніть «Далі».
Введіть пароль для облікового запису, а потім натисніть «Далі».
За потреби перегляньте список автоматично перевірених і конфліктних доменів.
Уважно ознайомтесь із текстом угоди, прийміть умови та положення, а потім виконайте наведені далі дії.
Перегляньте аудиторські звіти для свого домену Google Workspace.
Перегляньте повʼязані з вашими клієнтами домени.
Перегляньте відомості про облікові записи користувачів у вашому домені.
Натисніть «Продовжити», а потім — «Готово».
Інколи вам може не вдаватися ввійти у свій домен. Ось деякі поширені причини:
Обліковий запис адміністратора Google Workspace не має дозволу додати домени.
Неправильне імʼя користувача або пароль з облікового запису, указаного на кроці 4 або 5.
Ви або інший адміністратор Google Workspace змінили атрибути за замовчуванням.
Крок 2. Перевірка об’єднаної автентифікації за допомогою одного облікового запису користувача Google Workspace
Важливо! Перевірка обʼєднаної автентифікації також змінить стандартний формат керованих облікових засобів Apple. Нові облікові записи, створені в системі інформації про студентів (SIS) або закачані за допомогою протоколу SFTP, використовуватимуть новий формат керованих облікових записів Apple.
Ви можете перевірити зʼєднання обʼєднаної автентифікації після виконання таких завдань:
Перевірку на наявність конфліктів імен користувачів завершено.
Оновлено стандартний формат керованих облікових записів Apple.
Після успішного підʼєднання Apple School Manager до Google Workspace ви можете змінити роль облікового запису користувача на іншу роль. Наприклад, можливо, ви захочете змінити роль облікового запису користувача на роль «Персонал».
В Apple School Manager
увійдіть з обліковим записом користувача, якому не призначено роль «Персонал» або «Студент».Якщо знайдено імʼя користувача, з яким ви ввійшли, відобразиться новий екран, указуючи, що ви входите з обліковим записом у вашому домені.
Виберіть «Продовжити», введіть пароль для користувача, а потім натисніть «Увійти».
Вийдіть із Apple School Manager.
Примітка. Користувачі можуть увійти на сайті iCloud.com на комп’ютері Mac тільки за попереднього входу в обліковий запис за допомогою керованого облікового запису Apple на іншому пристрої Apple.
Інколи вам може не вдаватися ввійти у свій домен. Ось деякі поширені причини:
Неправильне імʼя користувача або пароль із домену, який ви обрали для обʼєднання.
Обліковий запис не знаходиться в домені, який ви вирішили обʼєднати.
Крок 3. Увімкнення обʼєднаної автентифікації
Якщо ви плануєте синхронізувати Google Workspace з Apple School Manager, перед цим необхідно ввімкнути об’єднану автентифікацію.
В Apple School Manager
увійдіть в обліковий запис, використовуючи дані користувача, що має повноваження керувати об’єднаною автентифікацією.У нижній частині бічної панелі виберіть своє ім’я, натисніть «Уподобання»
, а потім — «Керовані облікові записи Apple».У розділі «Домени» натисніть «Керування» поруч із доменом, який ви хочете об’єднати, а потім виберіть «Увімкнути вхід за допомогою Google Workspace».
Увімкніть «Вхід за допомогою Google Workspace».
За потреби ви можете синхронізувати облікові записи користувачів з Apple School Manager. Див. розділ Синхронізація облікових записів користувачів із Google Workspace.