添加 Google Workspace 设备管理器

在线编辑

将 Google Workspace® 配置为您的设备管理器。

准备工作

注: 现在不推荐使用设备管理器的 mtlsidaas 全局租户,将在 2024 年 3 月之后移除。 前往获取自定义主机名页面申请自定义域名。 有关更多信息,请参阅添加设备管理器
  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录到 IBM Verify 管理控制台。

过程

  1. 选择身份验证 > 设备管理器
  2. 选择 添加设备管理器
  3. 选择 Google Workspace 作为要设置的设备管理器类型。
  4. 选择 下一步
  5. 在 " 常规设置 " 页面上,提供以下信息。
    • 在提供的字段中输入 设备管理器名称
    • 从菜单中选择 身份提供者
    • 从菜单中选择 信任类型。 对于设备信任选择,用户需要使用其配置的第一要素身份验证机制登录。 设备信任只确认身份验证是否来自受管设备。
      注: 可根据要求启用设备信任功能 CI-114829。 要申请此功能,请联系 IBM 销售代表或 IBM 联系人,并说明您对启用此功能的兴趣。 如果您有权限,请创建支持票据。 IBM Verify 试用订阅不能创建支持票单。
    • 选择是否为用户帐户启用即时供应。
      注意:用户帐户的即时 (JIT) 配置仅适用于用户和设备信任选择的情况。
    • 选择 客户证书有效期。 默认情况下,选择 3 年。
    • 指定每个设备的最大证书数量。
    • 指定用户和设备信息的保留分钟数。
  6. 选择 下一步
  7. 在 " API 凭证 " 页面上,在 Google Workspace 中输入应用程序的 API 详细信息。
    • 如果您已经有该应用程序,请选择仅表单
      1. 提供应用程序标识、私钥和租户名称。
      2. 从预定义的属性列表中选择 Unique user identifier ,或者选择 定制规则 以指定属性映射。 如果选择使用定制规则,那么可以添加定制属性和规则。 输入规则以计算属性值。 例如,
        requestContext.email[0].split('@')[0]
        注意:自定义规则选择不适用于 设备信任。 不过,您可以在提供的字段中输入适当的属性。
      3. 选择测试凭证以验证您的凭证。
      4. 选择 下一步
    • 如果要创建应用程序,请选择显示步骤并遵循指示信息进行操作。
      1. 前往 https://support.google.com/a/answer/7378726 创建服务账户。
        注: 在 " 创建服务帐户 " 页面上完成步骤 1 , 2 和 4。
      2. 服务帐户的 API 上的屯。
      3. 选中与新项目相关的框。
      4. 单击 API 和服务 ,然后单击 。 您可能必须首先单击 菜单
      5. 对于需要的每个 API ,单击 API 名称 ,然后启用: 管理 SDK。
      6. 如果找不到 API ,请在搜索框中指定 API 名称。
    • 将域范围的权限委派给服务帐户。
    Google Workspace 域的超级管理员必须完成以下步骤。
    1. 从您 Google 的工作区域的管理控制台,依次进入: 主菜单 > 安全 > 访问与数据控制 > API 控制
    2. 在 " 域范围委派 " 页面中,选择 管理域范围委派
    3. 单击 添加新项
    4. 客户机标识 字段中,输入服务帐户的客户机标识。
      注: 您可以在 " 服务帐户 " 页面中找到服务帐户的客户机标识。
    5. OAuth 作用域 字段中,输入可授予应用程序访问权的作用域列表。 输入: https://www.googleapis.com/auth/admin.directory.device.chromeos.readonlyhttps://www.googleapis.com/auth/admin.directory.user.readonly
    6. 单击 授权
  8. 单击下一步
  9. 用户属性(在选择用户和设备信任时打开)或 设备属性 (在选择设备信任时打开) 上,将设备管理器属性映射到 IBM Verify 属性。
    将至少一个属性映射到 IBM Verify 属性,并指定如何存储该属性。
    注: 属性名称不区分大小写,并且不允许重复的属性。
    1. 在 Google 工作区中指定属性名称。
    2. 可选: 从菜单中选择一种变换。
    3. 必填: 选择要映射的属性 Verify
    4. 选择您希望如何在用户概要文件中存储属性。
  10. 可选: 点击添加属性
    如果选择使用定制规则,那么可以一次添加一个定制属性和一个规则。 输入规则以计算属性值。 例如,
    idsuser.email[0].split('@')[0]
    单击 运行测试 以确保规则有效。
  11. 单击 确定
  12. 单击下一步
  13. 创建根证书概要文件。
    请遵循提供的指示信息进行操作。
    1. 下载提供的以下根证书和中间证书 .zip 文件。
    2. 在您的 Google 管理控制台(位于 admin.google.com)中,依次进入 菜单 > 设备 > 网络 > 证书 >
    3. 提取在前几步中从 IBM Verify tenet 下载的 trusted-certificates.zip 文件。
    4. 注: 要将该设置应用于每个人,请使父组织单元保持选中状态。 否则,请选择子组织单元。
      单击 添加证书证书名称: <Provide a descriptive name>.
    5. 上载在步骤 1 中下载的根证书概要文件。
    6. 在 "认证中心" 部分中,选择已启用的 Chromebook 核对表。
    7. 单击 添加
    8. 对中间证书重复步骤 2-7。
  14. 选择 下一步
  15. 在 " SCEP 证书概要文件 " 页面上,输入应用程序的 API 详细信息。
    • 如果已具有 SCEP 证书概要文件,请选择 仅值 并使用以下值来创建 SCEP 证书概要文件。
      1. 公共名称
      2. 公司名称
      3. Orgazatioal 单元
      4. ChromeOS SCEP URL
      5. 选择 下一步
    • 如果要创建 SCEP 证书配置文件,请选择显示步骤并遵循指示信息进行操作。
      1. 在您的 Google 管理控制台(网址为 admin.google.com)中,请前往菜单 > 设备 > 网络
      2. 单击与 安全 SCEP关联的部分。
      3. 单击 添加安全 scep 概要文件
      4. 使用以下配置设置:
        设备平台
        Chromebook (用户)
        SCEP 概要文件名称
        概要文件的描述性名称。 该名称显示在概要文件列表中。
        主题名称格式
        选择 完全专有名称 并提供配置值:
        主题备用名称
        缺省值为 none。 要指定电子邮件,请选择 "定制" ,然后单击 添加属性 按钮。 选择 主题备用名称类型 作为 RFC822 ,并提供值 ${USER_EMAIL}
        单一算法
        SHA256withRSA
        密钥用途
        密钥加密,数字签名。
        密钥大小(位)
        2048
        安全性
        选择 严格放宽
        SCEP 服务器属性
        SCEP 服务器 URL
        请使用您的 Verify 租户提供的 URL
        证书有效期
        请指定合适的有效期,或者将其保留为缺省值。
        在几天内续约
        请指定合适的有效期,或者将其保留为缺省值。
        质询类型
        选中 静态 复选框并提供合适的密码。
        认证中心
        选择在上一步中创建的中间证书概要文件。
      5. 单击保存
  16. 选择 下一步
  17. 配置 Google Cloud Certificate Connector。
    请按照链接中提到的步骤1操作: https://support.google.com/chrome/a/answer/11053129?hl=en
  18. 测试配置。
    请遵循指示信息进行操作。
  19. 选择 完成设置
    1. 复查设置。
    2. 选择 保存更改