Synchronisez des comptes d’utilisateurs de votre fournisseur d’identités dans Apple Business Manager
Dans Apple Business Manager, vous pouvez utiliser OpenID Connect (OIDC) ou le système de gestion d’identité multi-plateforme (SCIM) pour synchroniser les comptes d’utilisateur de votre fournisseur d’identités. Ce système permet de fusionner les propriétés d’Apple Business Manager, comme les rôles, avec les données de compte importées de fournisseur d’identités. Lorsque vous utilisez le SCIM pour synchroniser des utilisateurs, l’information sur le compte est ajoutée en lecture seule jusqu’à ce que vous vous déconnectiez. À ce moment, les comptes deviennent des comptes manuels, et les attributs de ces comptes (comme les noms d’utilisateur) peuvent être modifiés. La synchronisation initiale prend plus de temps que celle des cycles subséquents. Consultez la documentation de votre fournisseur d’identités pour savoir à quelle fréquence il synchronise les utilisateurs avec Apple Business Manager.
Important : Vous avez seulement 4 jours civils pour effectuer le transfert de jeton à votre fournisseur d’identités et établir une connexion. Sinon, vous devez recommencer le processus.
Avant de commencer
Avant de procéder à la synchronisation avec votre fournisseur d’identités à l’aide d’une connexion OIDC, vous devez effectuer les opérations suivantes :
Configurez et vérifiez le domaine que vous souhaitez utiliser. Consultez la rubrique Associer de nouveaux domaines.
Configurer, fédérer et activer un domaine. Consultez la rubrique Utiliser l’authentification fédérée avec votre fournisseur d’identités.
Appeler un administrateur de fournisseur d’identités autorisé à modifier les paramètres.
Assurez-vous de disposer des renseignements suivants, puis contactez votre fournisseur d’identités (IdP) :
Champ d’identification unique pour les utilisateurs : la valeur de cet attribut est normalement l’adresse courriel de l’utilisateur. Elle est utilisée pour créer l’identifiant Apple géré de l’utilisateur. Par exemple, l’identifiant peut être userName.
Méthode d’authentification : SAML 2.0.
Mode d’authentification : OAuth 2.
URL de signature unique : consultez la documentation de votre fournisseur d’identités.
Autorisation de l’URL de redirection : consultez la documentation de votre fournisseur d’identités.
Comptes d’utilisateur de fournisseur d’identités et Apple Business Manager
Quand un utilisateur est copié de votre fournisseur d’identités vers Apple Business Manager à l’aide du SCIM, le rôle par défaut est celui de personnel.
Remarque : Les groupes d’utilisateurs de votre fournisseur d’identités ne sont pas synchronisés avec Apple Business Manager. Si vous voulez les mêmes groupes, vous pouvez créer de nouveaux groupes dans Apple Business Manager et leur ajouter des utilisateurs.
Attribut de connexion
Apple Business Manager exige que l’attribut utilisé pour l’identifiant Apple géré soit unique. Il s’agit normalement de l’adresse courriel de l’utilisateur. Si un utilisateur a un attribut identique à celui d’un utilisateur existant ayant un rôle d’administrateur dans Apple Business Manager, aucune synchronisation ne sera effectuée et le champ source restera inchangé.
Identifiant de la personne
Lorsqu’un compte d’utilisateur de fournisseur d’identités est synchronisé avec Apple Business Manager, un identifiant personnel est créé pour le compte d’utilisateur Apple Business Manager. L’identifiant de la personne sert à identifier les comptes d’utilisateur en conflit.
Remarques importantes si vous modifiez l’identifiant personnel :
Si vous modifiez l’identifiant personnel pour un compte d’utilisateur préalablement importé par l’entremise de la synchronisation de votre fournisseur d’identités, ce compte d’utilisateur n’est plus associé à votre fournisseur d’identités.
Si vous modifiez l’identifiant personnel pour un compte d’utilisateur préalablement importé de votre fournisseur d’identités et que vous voulez reconnecter ce compte d’utilisateur, vous devrez résoudre le problème de comptes d’utilisateur en conflit.
Connexion à votre fournisseur d’identité
Connectez-vous à votre fournisseur d’identité en tant qu’administrateur, puis effectuez l’une des opérations suivantes :
Localisez l’app créée par votre fournisseur d’identité. Vous pourrez peut-être ignorer plusieurs étapes dans cette procédure.
Accédez à l’endroit où vous pouvez créer une app ou une connexion.
Créez l’application à l’aide des informations suivantes :
Important : N’oubliez pas le nom de l’application SCIM, car vous pourriez en avoir besoin pour l’autorisation de l’URL de redirection.
Apple Business Manager : utilisez AppleBusinessManagerSCIM.
Type d’application : utilisez SCIM.
Méthode d’authentification : utilisez SAML 2.0.
URL de signature unique pour le destinataire et la destination : consultez la documentation de votre fournisseur d’identités.
URL de l’audience : utilisez l’identifiant de l’entité.
Enregistrez les modifications.
Configurez les réglages de mise en service de l’application SCIM
Localisez la section de mise en service de l’application SCIM de votre fournisseur d’identités, puis entrez les valeurs suivantes :
URL de base du connecteur SCIM : https://federation.apple.com/feeds/business/scim
URL du jeton d’accès : https://appleid.apple.com/auth/oauth2/v2/token
URL d’autorisation : https://appleid.apple.com/auth/oauth2/v2/authorize
Identifiant client : 123
Secret client : 123
Important : Comme vous ne connaissez pas encore l’identifiant et le secret client SCIM, 123 est utilisé comme valeur de remplacement. Vous remplacerez ces valeurs dans une tâche ultérieure.
Mode d’authentification : OAuth 2.
Champ d’identification unique pour les utilisateurs : consultez la documentation de votre fournisseur d’identités.
Important : Veillez à respecter la casse de l’identifiant.
Actions de mise en service compatibles :
Importer de nouveaux utilisateurs et des mises à jour de profil.
Envoyer de nouveaux utilisateurs.
Transmettre les mises à jour de profil.
Enregistrez les modifications.
Créer l’autorisation de l’URL de redirection
Vous devez créer une URL de redirection autorisée pour qu’Apple Business Manager puisse obtenir des enregistrements d’utilisateurs de votre fournisseur d’identités à l’aide de SCIM. Cette URL de redirection est basée sur le nom de l’application SCIM que vous avez créée dans votre fournisseur d’identités.
N’oubliez pas le nom de votre application SCIM. Par exemple :
Apple Business Manager : AppleBusinessManagerSCIM
Collez le nom de l’application dans l’URL suivante. Par exemple :
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Enregistrez l’autorisation de l’URL de redirection.
Collez-la dans Apple Business Manager dans la tâche suivante.
Créez et copiez les informations du client SCIM dans votre fournisseur d’identités
Dans Apple Business Manager , connectez-vous avec un compte ayant un rôle d’administrateur ou de gestionnaire de comptes.
Sélectionnez votre nom au bas de la barre latérale, puis Préférences , ensuite Identifiants Apple gérés .
Sélectionnez Activer à côté de Synchronisation personnalisée.
Collez l’autorisation d’URL de redirection de la tâche précédente, puis sélectionnez Créer.
Sélectionnez Application SCIM, puis sélectionnez Créer.
Ouvrez un nouveau fichier texte ou une nouvelle feuille de calcul, puis entrez les valeurs suivantes d’Apple Business Manager :
Pour l’identifiant client OIDC, collez l’identifiant client SCIM.
Pour le secret client OIDC, collez le secret client SCIM.
Sélectionnez Copier à côté de l’identifiant client, puis collez l’identifiant client dans le fichier.
Sélectionnez Secret client, choisissez la durée pendant laquelle le secret doit être actif avant d’expirer (6, 9 ou 12 mois), puis collez le secret client dans le fichier.
Important : Si vous supprimez ou oubliez le secret client avant de le coller dans votre application de fournisseur d’identités SCIM, vous devrez créer un nouveau secret client.
Sélectionnez Terminé
Collez l’identifiant client et le secret client dans votre application de fournisseur d’identités SCIM et vérifiez la connexion
Retournez à la section de mise en service de l’application SCIM de votre fournisseur d’identités, puis collez les valeurs suivantes :
Identifiant client SCIM d’Apple Business Manager
Secret client SCIM d’Apple Business Manager
Enregistrez les modifications.
Si votre fournisseur d’identités vous permet de tester l’authentification à l’aide d’un compte administrateur de fournisseur d’identités, vous pouvez le faire maintenant. Par exemple, il peut y avoir un bouton Authentifier avec [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM],[AppleBusinessEssentialsSCIM], ou tout autre nom que vous avez donné à votre application SCIM.
Saisissez le nom et le mot de passe administrateur du fournisseur d’identités, puis la valeur de l’authentification à deux facteurs.
Lisez attentivement les informations d’autorisation. Si vous êtes d’accord, sélectionnez Continuer.
Si nécessaire, vous pouvez maintenant activer l’authentification fédérée pour ce domaine.
Votre fournisseur d’identités et Apple Business Manager sont maintenant configurés pour synchroniser les changements d’attributs d’utilisateurs spécifiques à votre fournisseur d’identités vers Apple Business Manager.