Összevont hitelesítés használata a Google Workspace szolgáltatással az Apple Business Managerben
Az Apple Business Managerben összevont hitelesítéssel kapcsolódhat a Google Workspace szolgáltatáshoz, ha engedélyezni szeretné a felhasználóknak, hogy Google Workspace-felhasználónevükkel (ez általában az e-mail-címük) és -jelszavukkal jelentkezhessenek be az Apple-készülékükre.
Így a felhasználók a Google Workspace hitelesítő adataikat használhatják felügyelt Apple-fiókként. A fenti hitelesítő adatokkal azután bejelentkezhetnek a hozzájuk rendelt iPhone, iPad, Mac, Apple Vision Pro és megosztott iPad eszközökre. Miután bejelentkeztek az egyik ilyen készülékre, bejelentkezhetnek az iCloudba is a weben (Az iCloud Windows-verziója nem támogatja a felügyelt Apple-fiókokat).
A Google Workspace az az Identitásszolgáltató (IdP), amely hitelesíti a felhasználót az Apple Business Manager számára, és kiadja a hitelesítési tokeneket. Ez a hitelesítés a tanúsítványalapú és a kétlépéses hitelesítést (2FA) támogatja.
Megjegyzés: Soha nem történik meg az adatok visszaírása a Google Workspace-be.
Összevonási adatok beolvasása a Google Workspace-ből
A következő összevonási adatokat olvassa be a rendszer, amikor OpenID Connect (OIDC) használatával kapcsolódik a Google Workspace-hez:
Google rendszergazdai hozzájárulási kérelem | Az Apple által használt attribútumok és indoklás | API-lekérdezés vagy hatókör |
|---|---|---|
Attribútumok: id_token adatmezők:
Indoklás: Felhasználói hitelesítés a Federation OIDC protokoll használatával | API-lekérdezés: N/A Hatókör: openid | |
Attribútumok: id_token adatmezők:
Indoklás: Felhasználói hitelesítés a Federation OIDC protokoll használatával | API-lekérdezés: N/A Hatókör: profil | |
Elsődleges Google-fiókjához tartozó e-mail-címének megtekintése | Attribútumok: id_token adatmezők:
Indoklás: Felhasználói hitelesítés a Federation OIDC protokoll használatával | API-lekérdezés: N/A Hatókör: e-mail |
Attribútumok:
Indoklás: A Google Workspace-ben lévő felhasználói fiókokat érintő biztonsági események lekérése, majd megfelelő biztonsági intézkedések meghozatala az olyan fiókok tekintetében, amelyek be vannak jelentkezve Apple-készülékekre. Ha a Google módosít vagy érvénytelenít egy jelszót, megszakad a felügyelt Apple-fiókos munkamenet, és újra hitelesítésre lesz szükség. | API-lekérdezés:
Hatókör: https://www.googleapis.com/auth/admin.reports.audit.readonly | |
Attribútumok:
Indoklás: Igazolt tartományok szinkronizálása a Google Workspace-ből az Apple Business Managerbe. | API-lekérdezés: N/A Hatókör: https://www.googleapis.com/auth/admin.directory.domain.readonly | |
Információk megtekintése a tartományában lévő felhasználóiról | Attribútumok:
Indoklás: A Google Workspace adminisztrátori felhasználói adatainak beszerzése címtár-szinkronizáláshoz. Megjegyzés: Ez a hatókör az alábbi táblázatban található címtár-szinkronizálási attribútumokhoz is használatos. | API-lekérdezés: N/A Hatókör: https://www.googleapis.com/auth/admin.directory.user.readonly |
Attribútumok: N/A Indoklás: Frissítési token kérése az engedélyezési kódfolyamat során. A frissítési token azután egy hozzáférési token kéréséhez használható. A hozzáférési token a következő beolvasására használható:
| API-lekérdezés: access_type=offline Hatókör: N/A |
A Google Workspace-ből származó összevonási adatok használata a címtár szinkronizálásához
A következő információkat olvassa be az Apple Business Manager, amikor a Google Workspace-hez kapcsolódik a könyvtár-szinkronizáláshoz:
Google Workspace felhasználói attribútum | Apple Business Manager felhasználói attribútumok | Kötelező |
|---|---|---|
givenName | Utónév |  |
familyName | Vezetéknév | |
id | Felügyelt Apple-fiók és e-mail-cím | |
primaryEmail | Felhasználói név |  |
részleg | Részleg | |
costCenter | Költségközpont | |
externalId | Külső azonosító | |
deletionTime | Törlés ideje | |
További információkért lásd a Google REST Resource: users documentation tartalmát.
Az összevont hitelesítés folyamata
A folyamat három fő lépésből áll:
Összevont hitelesítés konfigurálása.
Tesztelje az összevont hitelesítést egy Google Workspace-tartományba tartozó felhasználói fiókkal.
Az összevont hitelesítés bekapcsolása.
Ha olyan tartományt próbál meg összevonni, amelynek tulajdonjogát már igazolta, de egy másik szervezet már összevonta ugyanazt a tartományt, akkor kapcsolatba kell lépnie az adott szervezettel annak megállapítására, hogy ki jogosult a tartomány összevonására. Lásd: Tartományütközések.
Fontos: Ellenőrizze a következőket az összevont hitelesítés konfigurálása előtt.
1. lépés: Konfigurálja az összevont hitelesítést
Az első lépés a bizalmi viszony kiépítése a Google Workspace és az Apple Business Manager között.
Megjegyzés: A művelet végrehajtása után a felhasználók nem tudnak létrehozni új nem felügyelt (személyes) Apple-fiókokat az Ön által konfigurált tartományon. Ez hatással lehet más olyan Apple-szolgáltatásokra is, amelyet a felhasználói használnak. Lásd: Apple-szolgáltatások átvitele.
Az Apple Business Managerben
jelentkezzen be egy olyan felhasználóval, amely Adminisztrátor vagy Személykezelő jogosultsággal rendelkezik.Válassza ki a saját nevét az oldalsáv alján, ezután válassza ki a Beállítások
, a Felügyelt Apple-fiókok 
, majd a Kezdés elemet a „Felhasználói bejelentkezés és könyvtár-szinkronizálás” szakaszban.Válassza ki a Google Workspace elemet, majd a Folytatás gombot.
Válassza ki a „Bejelentkezés a Google-lel” szöveget, adja meg a Google Workspace rendszergazdai felhasználónevét, majd válassza ki a Tovább gombot.
Adja meg a fiók jelszavát, majd válassza ki a Tovább gombot.
Szükség esetén tekintse át az automatikusan igazolt tartományok és az ütköző tartományok listáját.
Gondosan olvassa el a szerződést, fogadja el az általános szerződési feltételeket, majd ellenőrizze a következőket:
Nézze meg a Google Workspace-doménre vonatkozó auditálási jelentéseket
Nézze meg az ügyfeleire vonatkozó doméneket
Tekintse meg a tartományában lévő felhasználói fiókokra vonatkozó információkat.
Válassza ki a Folytatás, majd a Kész elemet.
Bizonyos esetekben előfordulhat, hogy nem tud bejelentkezni a tartományába. Íme néhány a leggyakoribb okok közül:
A használt Google Workspace adminisztrátori fióknak nincs jogosultsága tartományok hozzáadására.
A 4. vagy 5. lépésben megadott fiók felhasználóneve vagy jelszava hibás.
Ön vagy egy másik Google Workspace-adminisztrátor módosította az alapértelmezett attribútumokat.
2. lépés: Tesztelje az összevont hitelesítést egy Google Workspace-tartományba tartozó felhasználói fiókkal
Fontos: Az összevont hitelesítés tesztelése az alapértelmezett felügyelt Apple-fiók formátumot is módosítja.
Az alábbi feladatok elvégzését követően tesztelheti az összevont hitelesítési kapcsolatot:
A felhasználónév-ütközések ellenőrzése megtörtént.
Az alapértelmezett felügyelt Apple-fiók formátum frissítve lett.
Az Apple Business Manager és a Google Workspace sikeres összekapcsolását követően egy adott fiókhoz tartozó szerepkört másik szerepkörre módosíthat. Egy felhasználói fiók szerepkörét például Munkatárs szerepkörre módosíthatja.
Az Apple Business Managerben
jelentkezzen be egy fiókkal.Ha a rendszer megtalálja a felhasználónevet, amellyel bejelentkezett, akkor egy új képernyő jelzi, hogy a tartományban található egyik fiókkal jelentkezik be.
Válassza ki a Folytatás gombot, adja meg felhasználó jelszavát, majd válassza ki a Bejelentkezés gombot.
Jelentkezzen ki az Apple Business Managerből.
Megjegyzés: A felhasználók csak akkor tudnak bejelentkezni az iCloud.com oldalra Macről, ha először egy másik Apple-készüléken bejelentkeznek a felügyelt Apple-fiókjukkal.
Bizonyos esetekben előfordulhat, hogy nem tud bejelentkezni a tartományába. Íme néhány a leggyakoribb okok közül:
Az összevonni kívánt tartományból származó felhasználónév vagy jelszó hibás.
A fiókot nem tartalmazza az összevonni kívánt tartomány.
3. lépés: Kapcsolja be az összevont hitelesítést
Ha a Google Workspace-t készül szinkronizálni az Apple Business Managerrel, a szinkronizálás előtt be kell kapcsolnia az összevont hitelesítést.
Az Apple Business Managerben
jelentkezzen be egy olyan felhasználóval, amely Adminisztrátor vagy Személykezelő jogosultsággal rendelkezik.Válassza ki a saját nevét az oldalsáv alján, és válassza ki a Beállítások
, majd a Felügyelt Apple ID-k elemet.A Tartományok szakaszban válassza ki a Kezelés elemet az összevonni kívánt tartomány mellett, majd válassza „A Bejelentkezés Google Workspace használatával funkció bekapcsolása” elemet.
Kapcsolja be a „Bejelentkezés Google Workspace használatával” funkciót.
Szükség esetén most szinkronizálhatja a felhasználói fiókokat az Apple Business Managerbe. Lásd: Felhasználói fiókok szinkronizálása a Google Workspace-ből.