Utiliser l’authentification fédérée avec Google Workspace dans Apple Business Manager
Dans Apple Business Manager, vous pouvez associer Google Workspace en utilisant l’authentification fédérée pour permettre aux utilisateurs de se connecter aux appareils Apple à l’aide de leur nom d’utilisateur Google Workspace (généralement leur adresse courriel) et de leur mot de passe.
Par conséquent, vos utilisateurs peuvent utiliser leurs identifiants Google Workspace comme des comptes Apple gérés. Ils peuvent ensuite utiliser ces données d’identification pour se connecter à l’iPhone, à l’iPad, au Mac, à l’Apple Vision Pro et à l’iPad partagé qui leur sont attribués. Après s’être connectés à l’un de ces appareils, ils peuvent également se connecter à iCloud sur le web (iCloud pour Windows ne prend pas en charge les comptes Apple gérés).
Google Workspace est le fournisseur d’identités qui authentifie l’utilisateur pour Apple Business Manager et émet des jetons d’authentification. Cette authentification prend en charge l’authentification par certificat et l’authentification à deux facteurs (A2F).
Remarque : À aucun moment les données ne sont retranscrites dans Google Workspace.
Données de fédération lues à partir de Google Workspace
Les données de fédération suivantes sont lues lorsque vous vous connectez à Google Workspace à l’aide d’OpenID Connect (OIDC) :
Demande de consentement de l’administrateur de Google | Attributs utilisés par Apple et raison | Requête API ou portée |
|---|---|---|
Attributs : revendications id_token :
Raison : authentification de l’utilisateur ou de l’utilisatrice par le biais du protocole OIDC de fédération | Demande API : non disponible Portée : openid | |
Consultez vos informations personnelles, y compris celles que vous avez rendues publiques. | Attributs : revendications id_token :
Raison : authentification de l’utilisateur ou de l’utilisatrice par le biais du protocole OIDC de fédération | Demande API : non disponible Portée : profil |
Consultez l’adresse courriel de votre compte Google principal | Attributs : revendications id_token :
Raison : authentification de l’utilisateur ou de l’utilisatrice par le biais du protocole OIDC de fédération | Demande API : non disponible Portée : courriel |
Attributs :
Raison : Pour récupérer les événements de sécurité survenus sur les comptes d’utilisateurs et d’utilisatrices dans Google Workspace et prendre les mesures de sécurité appropriées pour les comptes respectifs qui sont connectés aux appareils Apple. Lorsqu’un mot de passe est modifié ou invalidé par Google, la session du compte Apple géré est interrompue et l’utilisateur ou l’utilisatrice est invité·e à se réauthentifier. | Requête de l’API :
Portée : https://www.googleapis.com/auth/admin.reports.audit.readonly | |
Attributs :
Raison : Pour synchroniser les domaines vérifiés de Google Workspace avec Apple Business Manager. | Demande API : non disponible Portée : https://www.googleapis.com/auth/admin.directory.domain.readonly | |
Consultez les renseignements concernant les utilisateurs et utilisatrices de votre domaine | Attributs :
Raison : Obtenir les informations d’utilisateur d’administrateur Google Workspace pour une synchronisation de répertoire. Remarque : Cette portée est également utilisée pour les attributs de synchronisation de répertoire dans le tableau ci-dessous. | Demande API : non disponible Portée : https://www.googleapis.com/auth/admin.directory.user.readonly |
Attributs : non disponible Raison : Pour demander un jeton d’actualisation pendant le flux du code d’autorisation. Le jeton d’actualisation est ensuite utilisé pour demander un jeton d’accès. Le jeton d’accès est utilisé pour lire :
| Requête API : access_type=offline Portée : non disponible |
Comment les données de fédération de Google Workspace sont utilisées pour la synchronisation de répertoire
Les informations suivantes sont lues par Apple Business Manager lorsque vous vous connectez à Google Workspace pour la synchronisation des répertoires :
Attributs utilisateur dans Google Workspace | Attribut d’utilisateur Apple Business Manager | Obligatoire |
|---|---|---|
givenName | Prénom |  |
familyName | Nom | |
identifiant | Compte Apple géré et adresse courriel | |
primaryEmail | Nom d’utilisateur |  |
Département | Département | |
costCenter | Centre de coût | |
externalId | Identifiant externe | |
deletionTime | Délai de suppression | |
Pour plus d’informations, consultez la documentation Ressource : Utilisateur de Google.
Processus d’authentification fédérée
Ce processus comporte trois étapes principales :
Configurer l’authentification fédérée.
Testez l’authentification fédérée avec un seul compte utilisateur Google Workspace.
Activer l’authentification fédérée.
Si vous tentez de fédérer un domaine que vous avez déjà validé, mais qu’une autre organisation l’a déjà fédéré, vous devrez communiquer avec cette organisation pour déterminer qui a l’autorité de fédérer ce domaine. Consultez la rubrique Conflits de domaine.
Important : Avant de configurer l’authentification fédérée, lisez ce qui suit.
Étape 1 : Configurer l’authentification fédérée
La première étape consiste à établir une relation de confiance entre Google Workspace et Apple Business Manager.
Remarque : Une fois cette étape terminée, les utilisateurs ne peuvent plus créer de nouveaux comptes Apple (personnels) non gérés sur le domaine que vous configurez. Cela pourrait affecter d’autres services Apple auxquels vos utilisateurs ont accès. Consultez la rubrique Transférer des services Apple.
Dans Apple Business Manager
, connectez-vous avec un compte ayant un rôle d’administrateur ou de gestionnaire de comptes.Sélectionnez votre nom au bas de la barre latérale, puis Préférences
, ensuite Comptes Apple gérés 
, puis Commencer sous « Connexion de l’utilisateur et synchronisation des répertoires ».Sélectionnez Google Workspace, puis cliquez sur Continuer.
Sélectionnez « Se connecter avec Google », saisissez votre nom d’utilisateur d’administrateur Google Workspace, puis sélectionnez Suivant.
Entrez le mot de passe du compte, puis sélectionnez Suivant.
Si nécessaire, passez en revue la liste des domaines vérifiés automatiquement et des domaines en conflit.
Lisez attentivement l’accord, acceptez les conditions générales, puis vérifiez les points suivants :
Afficher les rapports d’audit pour votre domaine Google Workspace
Afficher les domaines liés à vos clients
Voir les informations sur les comptes d’utilisateur de votre domaine
Sélectionnez Continuer, puis sélectionnez Terminé.
Dans certains cas, vous ne pourrez peut-être pas vous connecter à votre domaine. Voici certaines des raisons courantes :
Le compte d’administrateur Google Workspace utilisé n’est pas autorisé à ajouter des domaines.
Le nom d’utilisateur ou le mot de passe du compte à l’étape 4 ou 5 est incorrect.
Vous ou un autre administrateur Google Workplace avez modifié les attributs par défaut.
Étape 2 : Tester l’authentification fédérée avec un seul compte d’utilisateur de Google Workspace
Important : Le test de l’authentification fédérée modifie aussi le format par défaut de votre compte Apple géré.
Vous pouvez tester la connexion à l’authentification fédérée une fois que vous avez réalisé les tâches suivantes :
La vérification des conflits de noms d’utilisateur est terminée.
Le format par défaut du compte Apple géré est mis à jour.
Une fois que vous avez correctement lié Apple Business Manager à Google Workspace, vous pouvez changer le rôle d’un compte d’utilisateur à un autre rôle. Par exemple, vous pouvez vouloir changer le rôle d’un compte d’utilisateur en le remplaçant par un rôle de personnel.
Dans Apple Business Manager
, connectez-vous à l’aide d’un compte.Si le nom d’utilisateur avec lequel vous vous êtes connecté est reconnu, un nouvel écran vous indiquera que vous vous connectez avec un compte de votre domaine.
Sélectionnez Continuer, entrez le mot de passe de l’utilisateur, puis sélectionnez Connexion.
Déconnectez-vous d’Apple Business Manager.
Remarque : Les utilisateurs peuvent uniquement se connecter à iCloud.com sur un Mac s’ils se sont préalablement connectés avec leur compte Apple géré sur un autre appareil Apple.
Dans certains cas, vous ne pourrez peut-être pas vous connecter à votre domaine. Voici certaines des raisons courantes :
Le nom d’utilisateur ou le mot de passe du domaine que vous voulez fédérer est erroné.
Le compte ne fait pas partie du domaine que vous voulez fédérer.
Étape 3 : Activer l’authentification fédérée
Si vous envisagez de synchroniser Google Workspace avec Apple Business Manager, vous devez activer l’authentification fédérée avant de procéder à la synchronisation.
Dans Apple Business Manager
, connectez-vous avec un compte ayant un rôle d’administrateur ou de gestionnaire de comptes.Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences
, puis sélectionnez Comptes Apple gérés .Dans la section Domaines, sélectionnez Gérer à côté du domaine que vous souhaitez fédérer, puis sélectionnez « Activer la connexion avec Google Workspace ».
Activez l’option « Se connecter avec Google Workspace ».
Si nécessaire, vous pouvez maintenant synchroniser les comptes d’utilisateurs avec Apple Business Manager. Voir Synchroniser les comptes d’utilisateurs à partir de Google Workspace.