在「Apple 校務管理」使用 Google Workspace 的聯合驗證
在 Apple 校務管理中,你可以使用聯合驗證連結至 Google Workspace,讓使用者透過其 Google Workspace 使用者名稱 (通常是其電子郵件地址) 和密碼登入 Apple 裝置。
因此,你的使用者可以利用其 Google Workspace 憑證作為管理式 Apple 帳號。然後他們可以使用這些憑證來登入指派給他們的 iPhone、iPad、Mac、Apple Vision Pro 和共享的 iPad。登入其中一部裝置之後,他們還可以接著登入網頁版 iCloud(Windows 版 iCloud 不支援管理式 Apple 帳號)。
Google Workspace 為身分提供者 (IdP),可為 Apple 校務管理驗證使用者,並核發驗證代號。此種驗證支援憑證驗證以及雙重認證 (2FA)。
【注意】任何資料都永不會寫回至 Google Workspace。
自 Google Workspace 讀取的聯合驗證資料
當你使用 OpenID Connect (OIDC) 連結至 Google Workspace 時,Apple 會讀取下列聯合驗證資料:
Google 管理員同意要求 | Apple 使用的屬性與理由 | API 查詢或範圍 |
|---|---|---|
屬性:id_token 會索取:
理由:使用聯合驗證 OIDC 通訊協定進行使用者驗證 | API 查詢:不適用 範圍:openid | |
屬性:id_token 會索取:
理由:使用聯合驗證 OIDC 通訊協定進行使用者驗證 | API 查詢:不適用 範圍:profile | |
屬性:id_token 會索取:
理由:使用聯合驗證 OIDC 通訊協定進行使用者驗證 | API 查詢:不適用 範圍:email | |
屬性:
理由:擷取 Google Workspace 中使用者帳號發生的安全性事件,然後針對登入 Apple 裝置的個別帳號採取適當的安全措施。 當 Google 變更或作廢密碼時,管理式 Apple 帳號階段作業會遭到終止並要求重新驗證。 | API 查詢:
範圍:https://www.googleapis.com/auth/admin.reports.audit.readonly | |
屬性:
理由:將已驗證的網域從 Google Workspace 同步至「Apple 校務管理」。 | API 查詢:不適用 範圍:https://www.googleapis.com/auth/admin.directory.domain.readonly | |
屬性:
理由:取得 Google Workspace 管理員使用者資訊以進行目錄同步。 【注意】此範圍也用於下表中的目錄同步屬性。 | API 查詢:不適用 範圍:https://www.googleapis.com/auth/admin.directory.user.readonly | |
屬性:不適用 理由:在授權碼流程期間要求一份重新整理權杖。 然後使用重新整理權杖來要求存取權杖。 存取權杖會用於讀取:
| API 查詢:access_type=offline 範圍:不適用 |
自 Google Workspace 取得的聯合驗證資料如何用來進行目錄同步
當你連結至 Google Workspace 進行目錄同步時,「Apple 校務管理」會讀取下列資訊:
Google Workspace 使用者屬性 | 「Apple 校務管理」使用者屬性 | 必備 |
|---|---|---|
givenName | 名字 |  |
familyName | 姓氏 | |
id | 管理式 Apple 帳號和電子郵件地址 | |
primaryEmail | 使用者名稱 |  |
department | 部門 | |
costCenter | 成本中心 | |
externalId | 外部 ID | |
deletionTime | 刪除時間 | |
如需更多資訊,請參閱〈Google REST Resource: users〉(Google REST 資源:users)說明文件。
聯合驗證程序
步驟 1:設定聯合驗證
第一步是要在 Google Workspace 與 Apple 校務管理之間建立信任關係。
【注意】完成此步驟後,使用者將無法在你設定的網域上建立新的未受管理(個人)Apple 帳號。這可能會影響你的使用者所存取的其他 Apple 服務。請參閱〈移轉 Apple 服務〉。
以具有聯合驗證管理權限的使用者身分,登入「Apple 校務管理」
。在側邊欄底部選取你的姓名,接著依序選取「偏好設定」
、「管理式 Apple 帳號」
,以及「使用者登入和目錄同步」底下的「開始使用」。選取「Google Workspace」,再選取「繼續」。
選取「使用 Google 登入」,並輸入你的 Google Workspace 管理員使用者名稱,再選取「下一步」。
輸入該帳號的密碼,再選取「下一步」。
如有必要,請檢視自動驗證網域以及任何衝突網域的列表。
仔細閱讀協議,然後接受條款與約定,再確認下列事項:
檢視 Google Workspace 網域的稽核報告
檢視與客戶相關網域
查看網域上的使用者帳號相關資訊。
選取「繼續」,然後選取「完成」。
在某些情況下可能無法登入你的網域。常見原因包含:
使用的 Google Workspace 管理員帳號沒有權限新增網域。
在步驟 4 或 5 輸入的帳號使用者名稱或密碼不正確。
你或其他 Google Workspace 管理員修改過預設屬性。
步驟 2:使用單一 Google Workspace 使用者帳號測試聯合驗證
【重要事項】聯合驗證測試也會變更你的預設管理式 Apple 帳號格式。在學生資訊系統 (SIS) 中建立,或透過安全檔案傳輸通訊協定 (SFTP) 上傳的新帳號會使用新的管理式 Apple 帳號格式。
你可以在執行下列事項後測試聯合驗證連線:
已完成使用者名稱衝突檢查。
已更新管理式 Apple 帳號預設格式。
在你成功將 Apple 校務管理連結至 Google Workspace 後,即可將使用者帳號的職務變更為其他職務。例如,你可能想要將某使用者帳號的職務變更為職員職務。
以不具備職員或學生職務的使用者身分登入 Apple 校務管理
。若系統找到你登入時所使用的使用者名稱,即會顯示新畫面,表示你正在使用你網域中的帳號登入。
選取「繼續」,輸入該使用者的密碼,再選取「登入」。
登出 Apple 校務管理。
【注意】使用者必須先以自己的管理式 Apple 帳號登入另一部 Apple 裝置,否則無法從 Mac 登入 iCloud.com。
在某些情況下可能無法登入你的網域。常見原因包含:
你選擇要建立聯合驗證的網域使用者名稱或密碼不正確。
帳號不屬於你選擇要建立聯合驗證的網域。
步驟 3:開啟聯合驗證
如果你打算將 Google Workspace 與「Apple 校務管理」同步,在同步之前,則需開啟聯合驗證。
以具有聯合驗證管理權限的使用者身分,登入「Apple 校務管理」
。在側邊欄底部選取你的姓名,接著選取「偏好設定」
,然後選取「管理式 Apple 帳號」。在「網域」區段中所要建立聯合驗證的網域旁邊,選取「管理」,然後選取「開啟『使用 Google Workspace 登入』」。
開啟「使用 Google Workspace 登入」。
如有必要,你現在可以將使用者帳號同步至 Apple 校務管理。請參閱〈從 Google Workspace 同步使用者帳號〉。