Korzystanie z uwierzytelniania federacyjnego za pomocą Google Workspace w usłudze MS Azure AD w usłudze Apple School Manager
W usłudze Apple School Manager możesz nawiązać połączenie z usługą Google Workspace przy użyciu uwierzytelniania federacyjnego, aby umożliwić użytkownikom logowanie się do urządzeń Apple za pomocą ich nazwy użytkownika (zazwyczaj adresu email) i hasła z usługi Google Workspace.
W rezultacie użytkownicy mogą używać swoich danych uwierzytelniających usługi Google Workspace jako zarządzanych kont Apple. Mogą oni następnie używać tych danych uwierzytelniających do logowania się do przydzielonego iPhone’a, iPada, Maca, Apple Vision Pro oraz do Wspólnego iPada. Po zalogowaniu się na jednym z tych urządzeń mogą oni również zalogować się do usługi iCloud w Internecie (aplikacja iCloud dla Windows nie obsługuje zarządzanych kont Apple).
Google Workspace to dostawca tożsamości (IdP), który uwierzytelnia użytkownika w usłudze Apple School Manager i wystawia tokeny uwierzytelniania. To uwierzytelnianie obsługuje uwierzytelnianie za pomocą certyfikatu oraz uwierzytelnianie dwupoziomowe (2FA).
Proces uwierzytelniania federacyjnego
Ten proces obejmuje trzy główne etapy:
Konfigurowanie uwierzytelniania federacyjnego.
Przetestuj uwierzytelnianie federacyjne za pomocą jednego konta użytkownika Google Workspace.
Włączanie uwierzytelniania federacyjnego.
Jeśli próbujesz sfederować domenę, której własność została już przez Ciebie potwierdzona, ale inna organizacja już sfederowała identyczną domenę, musisz skontaktować się z tą organizacją, aby ustalić, kto ma uprawnienia do sfederowania domeny. Zobacz Konflikty domen.
Ważne: Przed skonfigurowaniem uwierzytelniania federacyjnego zapoznaj się z następującymi informacjami.
Krok 1. Skonfiguruj uwierzytelnianie federacyjne
Pierwszym krokiem jest ustanowienie relacji zaufania między usługami Google Workspace i Apple School Manager.
Uwaga: Po wykonaniu tego kroku użytkownicy nie mogą tworzyć nowych osobistych kont Apple w skonfigurowanej domenie. Może to mieć wpływ na inne usługi Apple, z których korzystają użytkownicy. Zobacz Przenoszenie usług Apple do zarządzanego konta Apple.
W usłudze Apple School Manager
zaloguj się jako użytkownik z rolą administratora, menedżera placówki lub menedżera użytkowników.Wybierz swoje imię i nazwisko u dołu paska bocznego, wybierz opcję Preferencje
, wybierz opcję Zarządzane konta Apple 
, a następnie wybierz opcję Rozpocznij w obszarze „Logowanie użytkownika i synchronizacja katalogu”.Wybierz Google Workspace, a następnie wybierz polecenie Kontynuuj.
Wybierz przycisk „Zaloguj się za pomocą konta Google”, wprowadź nazwę użytkownika administratora usługi Google Workspace, a następnie wybierz przycisk Dalej.
Wprowadź hasło do konta, a następnie wybierz przycisk Dalej.
W razie potrzeby sprawdź listę automatycznie zweryfikowanych domen oraz wszelkie domeny będące w konflikcie.
Uważnie przeczytaj umowę, zaakceptuj warunki korzystania z usługi, a następnie zaznacz następujące opcje:
Wyświetlanie raportów z audytu dla domeny Google Workspace
Wyświetlanie domen powiązanych z Twoimi klientami
Wyświetlanie informacji o kontach użytkowników w Twojej domenie
Wybierz opcję Kontynuuj, a następnie przycisk Gotowe.
W niektórych przypadkach zalogowanie się do domeny może nie być możliwe. Oto kilka często spotykanych powodów:
Konto administratora Google Workspace nie ma uprawnienia do dodawania domen.
Nazwa użytkownika lub hasło z konta w kroku 4 lub 5 są nieprawidłowe.
Atrybuty domyślne zostały zmodyfikowane — przez Ciebie lub innego administratora usługi Google Workspace.
Krok 2. Przetestuj uwierzytelnianie federacyjne za pomocą jednego konta użytkownika Google Workspace
Ważne: Test uwierzytelniania federacyjnego spowoduje też zmianę domyślnego formatu zarządzanego konta Apple. Nowe konta utworzone w systemie informacji o studentach (SIS) lub przesłane przy użyciu protokołu bezpiecznego transferu plików (SFTP) wykorzystują nowy format zarządzanego konta Apple.
Możesz przetestować połączenie uwierzytelniania federacyjnego po wykonaniu następujących zadań:
Ukończono sprawdzenie pod kątem konfliktów nazw użytkowników.
Domyślny format zarządzanego konta Apple został uaktualniony.
Po pomyślnym połączeniu usługi Apple School Manager z usługą Google Workspace możesz zmienić rolę konta użytkownika na inną. Możesz na przykład zmienić rolę konta użytkownika na rolę personelu.
W usłudze Apple School Manager
zaloguj się jako użytkownik, które nie ma roli personelu lub ucznia.Jeśli nazwa użytkownika, za pomocą której się logujesz, zostanie znaleziona, będzie wyświetlony nowy ekran wskazujący, że logujesz się przy użyciu konta w swojej domenie.
Wybierz przycisk Kontynuuj, wpisz hasło użytkownika, a następnie wybierz przycisk Zaloguj.
Wyloguj się z usługi Apple School Manager.
Uwaga: Użytkownicy nie mogą zalogować się na stronie iCloud.com, jeśli najpierw nie zalogują się za pomocą zarządzanego konta Apple na innym urządzeniu Apple.
W niektórych przypadkach zalogowanie się do domeny może nie być możliwe. Oto kilka często spotykanych powodów:
Nazwa użytkownika lub hasło z domeny wybranej do federacji jest nieprawidłowe.
Konto nie znajduje się w domenie wybranej do federacji.
Krok 3. Włącz uwierzytelnianie federacyjne
Jeśli planujesz synchronizację usługi Google Workspace z usługą Apple School Manager, przed synchronizacją musisz włączyć uwierzytelnianie federacyjne.
W usłudze Apple School Manager
zaloguj się jako użytkownik z rolą administratora, menedżera placówki lub menedżera użytkowników.Wybierz swoje imię i nazwisko u dołu paska bocznego, wybierz opcję Preferencje
, a następnie wybierz opcję Zarządzane konta Apple .W sekcji Domeny wybierz przycisk Zarządzaj obok domeny, którą chcesz sfederować, a następnie wybierz opcję „Włącz logowanie za pomocą Google Workspace”.
Włącz „Zaloguj się za pomocą Google Workspace”.
W razie potrzeby możesz teraz zsynchronizować konta użytkowników z usługą Apple School Manager. Zobacz Synchronizowanie kont użytkowników z usługi Google Workspace.