Sử dụng tính năng xác thực có liên kết với Google Workspace trong Apple School Manager
Trong Apple School Manager, bạn có thể liên kết với Google Workspace bằng tính năng xác thực có liên kết để cho phép người dùng đăng nhập vào thiết bị Apple bằng tên người dùng (thường là địa chỉ email) và mật khẩu Google Workspace của họ.
Nhờ đó, người dùng của bạn có thể tận dụng thông tin đăng nhập Google Workspace làm Tài khoản Apple được quản lý. Sau đó, họ có thể sử dụng những thông tin đăng nhập đó để đăng nhập vào iPhone, iPad, máy Mac, Apple Vision Pro và iPad dùng chung đã chỉ định. Sau khi đăng nhập vào một trong những thiết bị đó, người dùng cũng có thể đăng nhập vào iCloud trên web (iCloud dành cho Windows không hỗ trợ Tài khoản Apple được quản lý).
Google Workspace là nhà cung cấp nhận dạng (IdP) giúp xác thực người dùng cho Apple School Manager và phát hành mã thông báo xác thực. Tính năng xác thực này hỗ trợ quá trình xác thực chứng chỉ và xác thực hai yếu tố (2FA).
Ghi chú: Không có bất kỳ dữ liệu nào được ghi lại vào Google Workspace.
Dữ liệu liên kết được đọc từ Google Workspace
Dữ liệu liên kết sau đây sẽ được đọc khi bạn kết nối với Google Workspace bằng Open ID Connect (OIDC):
Yêu cầu chấp thuận của quản trị viên Google | Các thuộc tính được Apple sử dụng và lý do | Truy vấn API hoặc phạm vi |
|---|---|---|
Thuộc tính: các claim id_token:
Lý do: Người dùng xác thực bằng giao thức OIDC có liên kết | Truy vấn API: không áp dụng Phạm vi: openid | |
Xem thông tin cá nhân của bạn, bao gồm bất kỳ thông tin nào bạn đã công khai | Thuộc tính: các claim id_token:
Lý do: Người dùng xác thực bằng giao thức OIDC có liên kết | Truy vấn API: không áp dụng Phạm vi: profile |
Thuộc tính: các claim id_token:
Lý do: Người dùng xác thực bằng giao thức OIDC có liên kết | Truy vấn API: không áp dụng Phạm vi: email | |
Thuộc tính:
Lý do: Để truy xuất các sự kiện bảo mật đã xảy ra với tài khoản người dùng trong Google Workspace, sau đó thực hiện các biện pháp bảo mật phù hợp cho từng tài khoản đã đăng nhập vào thiết bị Apple. Khi mật khẩu bị Google thay đổi hoặc vô hiệu hóa, phiên Tài khoản Apple được quản lý sẽ chấm dứt và yêu cầu người dùng xác thực lại. | Truy vấn API:
Phạm vi: https://www.googleapis.com/auth/admin.reports.audit.readonly | |
Thuộc tính:
Lý do: Để đồng bộ hóa các tên miền đã xác minh từ Google Workspace với Apple School Manager. | Truy vấn API: không áp dụng Phạm vi: https://www.googleapis.com/auth/admin.directory.domain.readonly | |
Thuộc tính:
Lý do: Để lấy thông tin người dùng quản trị viên Google Workspace nhằm đồng bộ hóa danh mục. Ghi chú: Phạm vi này cũng được áp dụng cho các thuộc tính đồng bộ hóa danh mục trong bảng bên dưới. | Truy vấn API: không áp dụng Phạm vi: https://www.googleapis.com/auth/admin.directory.user.readonly | |
Thuộc tính: không áp dụng Lý do: Để yêu cầu mã thông báo làm mới trong luồng mã ủy quyền. Sau đó, mã thông báo làm mới được sử dụng để yêu cầu mã thông báo truy cập. Mã thông báo truy cập được sử dụng để đọc:
| Truy vấn API: access_type=offline Phạm vi: không áp dụng |
Cách dữ liệu có liên kết từ Google Workspace được sử dụng để đồng bộ hóa danh mục
Apple School Manager sẽ đọc những thông tin sau đây khi bạn liên kết với Google Workspace để đồng bộ hóa danh mục:
Thuộc tính người dùng Google Workspace | Thuộc tính người dùng trong Apple School Manager | Bắt buộc |
|---|---|---|
givenName | Tên |  |
familyName | Họ | |
id | Tài khoản Apple được quản lý và địa chỉ email | |
primaryEmail | Tên người dùng |  |
department | Khu vực | |
costCenter | Trung tâm chi phí | |
externalId | Mã nhận dạng bên ngoài | |
deletionTime | Thời gian xóa | |
Để biết thêm thông tin chi tiết, vui lòng xem tài liệu của Google: REST Resource: users.
Quy trình xác thực có liên kết
Quy trình này bao gồm ba bước chính:
Cấu hình tính năng xác thực có liên kết.
Kiểm tra xác thực có liên kết bằng một tài khoản người dùng Google Workspace.
Bật xác thực có liên kết.
Nếu bạn đang cố gắng liên kết một tên miền mà bạn đã xác minh nhưng có tổ chức khác đã liên kết tên miền giống như vậy, bạn sẽ cần liên hệ với tổ chức đó để xác định người có thẩm quyền liên kết tên miền. Xem Xung đột miền.
Quan trọng: Hãy xem xét những mục sau trước khi bạn định cấu hình xác thực có liên kết.
Bước 1: Cấu hình xác thực có liên kết
Bước đầu tiên là thiết lập mối quan hệ tin cậy giữa Google Workspace và Apple School Manager.
Ghi chú: Sau khi bạn hoàn thành bước này, người dùng sẽ không thể tạo Tài khoản Apple không được quản lý (cá nhân) mới trên tên miền mà bạn cấu hình. Điều này có thể ảnh hưởng đến các dịch vụ Apple khác mà người dùng của bạn truy cập. Hãy xem phần Chuyển dịch vụ Apple.
Trong Apple School Manager
, hãy đăng nhập với tư cách người dùng có đặc quyền quản lý xác thực có liên kết.Chọn tên của bạn ở cuối thanh bên, chọn Tùy chọn hệ thống
, chọn Tài khoản Apple được quản lý 
, sau đó chọn Bắt đầu trong “Thông tin đăng nhập người dùng và đồng bộ hóa danh mục”.Chọn Google Workspace, sau đó chọn Tiếp tục.
Chọn “Đăng nhập bằng Google”, nhập tên người dùng của quản trị viên Google Workspace, sau đó chọn Tiếp theo.
Nhập mật khẩu tài khoản, sau đó chọn Tiếp theo.
Nếu cần, hãy xem lại danh sách tên miền được xác minh tự động và mọi tên miền xung đột.
Đọc kỹ thỏa thuận, chấp nhận các Điều khoản và điều kiện, sau đó xem những nội dung sau:
Xem báo cáo kiểm tra cho tên miền Google Workspace
Xem các tên miền liên quan đến khách hàng
Xem thông tin về tài khoản người dùng trên miền của bạn.
Chọn Tiếp tục, rồi chọn Xong.
Trong một số trường hợp, bạn có thể không đăng nhập được vào tên miền của mình. Dưới đây là một số lý do phổ biến:
Tài khoản quản trị viên Google Workspace đã dùng không có quyền thêm tên miền.
Tên người dùng hoặc mật khẩu của tài khoản ở bước 4 hoặc 5 không chính xác.
Bạn hoặc quản trị viên Google Workspace khác đã sửa đổi các thuộc tính mặc định.
Bước 2: Kiểm tra xác thực có liên kết bằng một tài khoản người dùng Google Workspace
Quan trọng: Việc kiểm tra tính năng xác thực có liên kết cũng sẽ thay đổi định dạng Tài khoản Apple được quản lý mặc định của bạn. Tài khoản mới được tạo trong Hệ thống thông tin học sinh/sinh viên (SIS) hoặc được tải lên bằng Giao thức truyền tệp an toàn (SFTP) sẽ sử dụng định dạng Tài khoản Apple được quản lý mới.
Bạn có thể kiểm tra kết nối xác thực có liên kết sau khi thực hiện các tác vụ sau:
Quá trình kiểm tra xung đột tên người dùng đã hoàn tất.
Định dạng mặc định của Tài khoản Apple được quản lý đã được cập nhật.
Sau khi liên kết thành công Apple School Manager với Google Workspace, bạn có thể chuyển tài khoản người dùng sang vai trò khác. Ví dụ: bạn có thể thay đổi vai trò của một tài khoản người dùng thành vai trò Nhân viên.
Trong Apple School Manager
, đăng nhập bằng người dùng không có vai trò Nhân viên hoặc Học sinh/Sinh viên.Nếu hệ thống tìm thấy tên người dùng mà bạn đăng nhập, một màn hình mới sẽ cho biết bạn đang đăng nhập bằng tài khoản trong tên miền của mình.
Chọn Tiếp tục, nhập mật khẩu cho người dùng, sau đó chọn Đăng nhập.
Đăng xuất khỏi Apple School Manager.
Ghi chú: Nếu người dùng chưa từng sử dụng Tài khoản Apple được quản lý để đăng nhập trên một thiết bị Apple khác, thì họ sẽ không thể đăng nhập từ máy Mac vào iCloud.com.
Trong một số trường hợp, bạn có thể không đăng nhập được vào tên miền của mình. Dưới đây là một số lý do phổ biến:
Tên người dùng hoặc mật khẩu từ tên miền bạn chọn để liên kết không chính xác.
Tài khoản không thuộc tên miền bạn chọn để liên kết.
Bước 3: Bật tính năng xác thực có liên kết
Nếu dự định đồng bộ hóa Google Workspace với Apple School Manager thì bạn cần bật tính năng xác thực có liên kết trước khi đồng bộ hóa.
Trong Apple School Manager
, hãy đăng nhập với tư cách người dùng có đặc quyền quản lý xác thực có liên kết.Chọn tên của bạn ở cuối thanh bên, chọn Tùy chọn hệ thống
, sau đó chọn Tài khoản Apple được quản lý .Trong phần Miền, hãy chọn Quản lý bên cạnh miền bạn muốn liên kết, sau đó chọn “Bật Đăng nhập bằng Google Workspace”.
Bật “Đăng nhập bằng Google Workspace”.
Nếu cần, bạn có thể đồng bộ hóa tài khoản người dùng với Apple School Manager ngay lúc này. Xem phần Đồng bộ hóa tài khoản người dùng từ Google Workspace.