添加 Google 工作区设备管理器

在线编辑

将 Google Workspace® 设置为您的设备管理器。

准备工作

注意: 设备管理器的 mtlsidaas 全局租户现已弃用,并将于 2024 年 3 月后移除。 请转至 “申请自定义主机名 ”页面以申请自定义域名。 如需了解更多信息,请参阅 “添加设备管理器 ”。
  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录管理控制台 IBM Verify

过程

  1. 选择 “身份验证 ”> “设备管理器 ”。
  2. 选择 “添加设备管理器 ”。
  3. 选择“ Google 工作区 ”作为您要设置的设备管理器类型。
  4. 选择 “下一步”
  5. “常规设置 ”页面中,请填写以下信息。
    • 在相应的字段中输入设备管理器的名称
    • 从菜单中选择身份提供商
    • 从菜单中选择信托类型。 在选择设备信任时,用户需要使用其已配置的第一因素身份验证机制进行登录。 设备信任仅用于确认身份验证是否来自受管设备。
      注: 设备信任功能 CI-114829 可根据要求启用。 如需申请此功能,请联系您的 IBM 销售代表或 IBM 联系人,并表明您希望启用此功能的意愿。 如果您有权限,请提交支持工单。 IBM Verify 试用订阅用户无法创建支持工单。
    • 选择是否为用户帐户启用即时供应。
      注意: 用户账户的“及时(JIT)”配置仅适用于 “用户和设备信任 ”选项。
    • 选择客户端证书的有效期。 默认情况下,选择范围为3年。
    • 指定每个设备的最大证书数量。
    • 指定用户和设备信息的保留分钟数。
  6. 选择 “下一步”
  7. 在“API 凭据 ”页面上,输入您在 Google 工作区中的应用程序的 API 详细信息。
    • 如果您已经有该应用程序,请选择仅表单
      1. 提供应用程序标识、私钥和租户名称。
      2. 从预定义的属性列表中选择 Unique user identifier ,或选择 “自定义规则 ”以指定属性映射。 如果您选择使用自定义规则,可以添加自定义属性及规则。 请输入用于计算属性值的规则。 例如,
        requestContext.email[0].split('@')[0]
        注意: 自定义规则的选择不适用于 “设备信任 ”。 不过,您可以在相应的字段中输入相应的属性。
      3. 选择测试凭证以验证您的凭证。
      4. 选择 “下一步”
    • 如果要创建应用程序,请选择显示步骤并遵循指示信息进行操作。
      1. 请访问 https://support.google.com/a/answer/7378726 创建一个服务账户。
        注意: 请在 “创建服务帐户 ”页面上完成步骤 1、2 和 4。
      2. 请查看服务账户的 API。
      3. 勾选新项目旁边的复选框。
      4. 点击 “API 和服务 ”,然后点击“库 ”。 您可能需要先点击 “菜单”
      5. 对于您需要的每个 API,请点击 API 名称 ,然后启用:Admin SDK。
      6. 如果找不到该 API,请在搜索框中输入 API 名称。
    • 将整个域的权限委派给一个服务帐户。
    Google Workspace 域的超级管理员必须完成以下步骤。
    1. 在您的 Google 工作区域的管理控制台中,转到 “主菜单> “安全” >“访问和数据控制 ” > “API 控制”
    2. “全局委托” 页面中,选择 “管理全局委托 ”。
    3. 点击 “添加新项 ”。
    4. “客户端 ID ”字段中,输入服务账户的客户端 ID。
      注意: 您可以在 “服务账户 ”页面中找到服务账户的客户端 ID。
    5. 在“ OAuth ”的“作用域”字段中,输入您的应用程序可被授予访问权限的作用域列表。 https://www.googleapis.com/auth/admin.directory.device.chromeos.readonly输入:, https://www.googleapis.com/auth/admin.directory.user.readonly.
    6. 点击 “授权”
  8. 单击下一步
  9. (在选择“用户和设备信任”时打开)或 设备属性 (在选择“设备信任”时打开)在该 用户属性 页面上,将设备管理器属性映射到 IBM Verify 属性。
    至少将一个属性映射到一个 IBM Verify 属性,并指定该属性的存储方式。
    注意: 属性名不区分大小写,且不允许存在重复的属性。
    1. 在 Google 工作区中指定属性名称。
    2. 可选: 从菜单中选择一个变换。
    3. 必填: 选择您要映射到的属性 Verify
    4. 选择您希望如何在用户概要文件中存储属性。
  10. 可选: 点击 “添加属性 ”。
    如果您选择使用自定义规则,可以一次添加一个自定义属性并创建一条规则。 请输入用于计算属性值的规则。 例如,
    idsuser.email[0].split('@')[0]
    点击 “运行测试 ”以确保该规则正常工作。
  11. 单击 “确定”
  12. 单击下一步
  13. 创建根证书概要文件。
    请遵循提供的指示信息进行操作。
    1. 请下载以下提供的根证书和中间证书 .zip 文件。
    2. 在您的 Google 管理控制台(位于 admin.google.com)中,转到 “菜单> “设备” >“网络 ” > “证书 ” >
    3. 解压在上一步骤中从 tenet IBM Verify 下载的文件 trusted-certificates.zip
    4. 注意: 若要将此设置应用于所有人,请保持父级组织单位处于选中状态。 否则,请选择一个子组织单位。
      点击 “添加证书 ”。 证书名称: <请输入一个描述性名称>。
    5. 上传您在步骤 1 中下载的根证书配置文件。
    6. 在“证书颁发机构”部分,选择“启用 Chromebook 支票簿”。
    7. 点击 “添加”
    8. 请对中间证书重复步骤 2 至 7。
  14. 选择 “下一步”
  15. SCEP 证书配置文件页面上,输入您应用程序的 API 详细信息。
    • 如果您已有 SCEP 证书配置文件,请选择 “仅值 ”,并使用以下值来创建 SCEP 证书配置文件。
      1. 通用名称
      2. 公司名称
      3. 组织单位
      4. ChromeOS SCEP URL
      5. 选择 “下一步”
    • 如果要创建 SCEP 证书配置文件,请选择显示步骤并遵循指示信息进行操作。
      1. 在您的 Google 管理控制台(位于 admin.google.com)中,转到 “菜单 ” > “设备 ” > “网络 ”。
      2. 单击与 Secure SCEP 相关的部分。
      3. 点击 “添加安全 SCEP 配置文件 ”。
      4. 使用以下配置设置:
        设备平台
        Chromebook(用户)
        SCEP 个人资料名称
        该配置文件的描述性名称。 该名称显示在个人资料列表中。
        主题名称格式
        选择 “完全限定名称 ”,并提供配置值:
        主题备用名称
        缺省值为 none。 要指定电子邮件地址,请选择“自定义”,然后点击 “添加属性 ”按钮。 将 “主题别名”的类型设置为“ RFC822 ”,并输入值“ ${USER_EMAIL} ”
        单一算法
        SHA256withRSA
        密钥用途
        密钥加密,数字签名。
        密钥大小(位)
        2048
        安全性
        选择 “严格 ”或 “宽松”
        SCEP 服务器属性
        SCEP 服务器 URL
        请使用租户 Verify 提供的 SCEP URL 值。
        证书有效期
        请指定一个合适的有效期,或保留默认值。
        几天内续订
        请指定一个合适的有效期,或保留默认值。
        质询类型
        选中 “静态” 复选框,并设置一个合适的密码。
        认证中心
        选择上一步中创建的中间证书配置文件。
      5. 单击保存
  16. 选择 “下一步”
  17. 配置 Google Cloud 证书连接器。
    请按照链接中提到的第 1 步操作: https://support.google.com/chrome/a/answer/11053129?hl=en
  18. 测试配置。
    请遵循指示信息进行操作。
  19. 选择 “完成设置 ”。
    1. 复查设置。
    2. 选择 “保存更改 ”。