Korzystanie z uwierzytelniania federacyjnego za pomocą Google Workspace w usłudze MS Azure AD w usłudze Apple Business Manager
W usłudze Apple Business Manager możesz nawiązać połączenie z usługą Google Workspace przy użyciu uwierzytelniania federacyjnego, aby umożliwić użytkownikom logowanie się do urządzeń Apple za pomocą ich nazwy użytkownika (zazwyczaj adresu email) i hasła z usługi Google Workspace.
W rezultacie użytkownicy mogą używać swoich danych uwierzytelniających usługi Google Workspace jako zarządzanych Apple ID. Mogą oni następnie używać tych danych uwierzytelniających do logowania się do przydzielonego iPhone’a, iPada lub Maca, a nawet usługi iCloud w przeglądarce.
Google Workspace to dostawca tożsamości (IdP), który uwierzytelnia użytkownika w usłudze Apple Business Manager i wystawia tokeny uwierzytelniania. To uwierzytelnianie obsługuje uwierzytelnianie za pomocą certyfikatu oraz uwierzytelnianie dwupoziomowe (2FA).
Przed rozpoczęciem
Zanim nawiążesz połączenie z usługą Google Workspace, rozważ następujące kwestie:
W przypadku uwierzytelniania federacyjnego jako nazwy użytkownika należy używać adresu email użytkownika. Aliasy nie są obsługiwane.
W przypadku istniejących użytkowników z adresem email w domenie federacyjnej ich zarządzany Apple ID jest automatycznie zmieniany, aby pasował do tego adresu email.
W razie potrzeby skonfiguruj i potwierdź własność domeny, z której chcesz korzystać. Zobacz Łączenie z nowymi domenami. Jeśli domena, którą chcesz sfederować z Google Workspace, została już przez Ciebie zweryfikowana, możesz pominąć ten proces.
Konta użytkowników z rolą administratora lub menedżera użytkowników nie mogą logować się za pomocą uwierzytelniania federacyjnego; mogą jedynie zarządzać procesem federowania.
Gdy połączenie z Google Workspace wygaśnie, federacja i synchronizacja kont użytkowników z Google Workspace przestaje działać. Aby nadal korzystać z federacji i synchronizacji, musisz ponownie połączyć się z Google Workspace.
Proces uwierzytelniania federacyjnego
Ten proces obejmuje trzy główne etapy:
Konfigurowanie uwierzytelniania federacyjnego.
Przetestuj uwierzytelnianie federacyjne za pomocą jednego konta użytkownika Google Workspace.
Włączanie uwierzytelniania federacyjnego.
Jeśli próbujesz sfederować domenę, której własność została już przez Ciebie potwierdzona, ale inna organizacja już sfederowała identyczną domenę, musisz skontaktować się z tą organizacją, aby ustalić, kto ma uprawnienia do sfederowania domeny. Zobacz Informacje o konfliktach domen.
Krok 1. Skonfiguruj uwierzytelnianie federacyjne
Zadanie to pozwala usłudze Google Workspace zaufać usłudze Apple Business Manager.
Uwaga: Po wykonaniu tego kroku użytkownicy nie mogą tworzyć nowych osobistych Apple ID w skonfigurowanej domenie. Może to mieć wpływ na inne usługi Apple, z których korzystasz. Zobacz Przenoszenie usług Apple w procesie federacji.
W usłudze Apple Business Manager zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.
Wybierz swoje imię i nazwisko na dole paska bocznego, wybierz opcję Preferencje , wybierz opcję Zarządzane Apple ID, a następnie wybierz opcję Rozpocznij w obszarze „Logowanie użytkownika i synchronizacja katalogu”.
Wybierz Google Workspace, a następnie wybierz polecenie Dalej.
Wybierz przycisk „Zaloguj się za pomocą konta Google”, wprowadź nazwę użytkownika administratora usługi Google Workspace, a następnie wybierz przycisk Dalej.
Wprowadź hasło do konta, a następnie wybierz przycisk Dalej.
W razie potrzeby sprawdź listę automatycznie zweryfikowanych domen oraz wszelkie domeny będące w konflikcie.
Uważnie przeczytaj umowę, zaakceptuj warunki korzystania z usługi, a następnie zaznacz następujące opcje:
Wyświetlanie raportów z audytu dla domeny G Suite
Wyświetlanie domen powiązanych z Twoimi klientami
Wyświetlanie informacji o kontach użytkowników w Twojej domenie
Wybierz opcję Kontynuuj, a następnie przycisk Gotowe.
W niektórych przypadkach zalogowanie się do domeny może nie być możliwe. Oto kilka często spotykanych powodów:
Konto administratora Google Workspace nie ma uprawnienia do dodawania domen.
Nazwa użytkownika lub hasło z konta w kroku 4 lub 5 są nieprawidłowe.
Atrybuty domyślne zostały zmodyfikowane — przez Ciebie lub innego administratora usługi Google Workspace.
Krok 2. Przetestuj uwierzytelnianie federacyjne za pomocą jednego konta użytkownika Google Workspace
Ważne: Test uwierzytelniania federacyjnego spowoduje też zmianę domyślnego formatu zarządzanego Apple ID.
Możesz przetestować połączenie uwierzytelniania federacyjnego po wykonaniu następujących zadań:
Ukończono sprawdzenie pod kątem konfliktów nazw użytkowników.
Domyślny format zarządzanego Apple ID został uaktualniony.
Po pomyślnym połączeniu usługi Apple Business Manager z usługą Google Workspace możesz zmienić rolę konta użytkownika na inną. Możesz na przykład zmienić rolę konta użytkownika na rolę personelu.
W usłudze Apple Business Manager zaloguj się za pomocą konta.
Jeśli nazwa użytkownika, za pomocą której się logujesz, zostanie znaleziona, zostanie wyświetlony nowy ekran wskazujący, że logujesz się przy użyciu konta w swojej domenie.
Wybierz przycisk Kontynuuj, wpisz hasło użytkownika, a następnie wybierz przycisk Zaloguj.
Wyloguj się z usługi Apple Business Manager.
Uwaga: Użytkownicy nie mogą zalogować się na stronie iCloud.com, jeśli najpierw nie zalogują się za pomocą zarządzanego Apple ID na innym urządzeniu Apple.
W niektórych przypadkach zalogowanie się do domeny może nie być możliwe. Oto kilka często spotykanych powodów:
Nazwa użytkownika lub hasło z domeny wybranej do federacji jest nieprawidłowe.
Konto nie znajduje się w domenie wybranej do federacji.
Krok 3. Włącz uwierzytelnianie federacyjne
Jeśli planujesz synchronizację usługi Google Workspace z usługą Apple Business Manager, przed synchronizacją musisz włączyć uwierzytelnianie federacyjne.
W usłudze Apple Business Manager zaloguj się jako użytkownik z rolą administratora lub menedżera użytkowników.
Wybierz swoje imię i nazwisko na dole paska bocznego, wybierz opcję Preferencje , a następnie wybierz opcję Zarządzane Apple ID .
W sekcji Domeny wybierz przycisk Zarządzaj obok domeny, którą chcesz sfederować, a następnie wybierz opcję „Włącz logowanie za pomocą Google Workspace”.
Włącz „Zaloguj się za pomocą Google Workspace”.
W razie potrzeby możesz teraz zsynchronizować konta użytkowników z usługą Apple Business Manager. Zobacz Synchronizowanie kont użytkowników z usługi Google Workspace.