Introduction à la synchronisation des répertoires dans Apple Business Manager
La synchronisation d’annuaire permet de maintenir les données d’Apple Business Manager à jour avec celles de votre fournisseur d’identités (IdP). Grâce à elle, votre IdP informe automatiquement Apple Business Manager, qui peut mettre à jour ses renseignements dans les cas suivants :
Création d’un compte d’utilisateur
Modification des renseignements d’un compte d’utilisateur
Suppression d’un compte d’utilisateur
Vous pouvez utiliser OpenID Connect (OIDC) avec Apple Business Manager pour synchroniser les comptes d’utilisateurs à partir des éléments suivants (une seule à la fois) :
Google Workspace
Microsoft Entra ID
Votre fournisseur d’identités
Certains fournisseurs d’identités peuvent également utiliser le système de gestion des identités interdomaines (SCIM).
Avant de commencer
Avant de synchroniser Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités, tenez compte des points suivants :
La synchronisation de groupes d’utilisateurs n’est pas prise en charge.
La synchronisation initiale prend plus de temps que celle des cycles subséquents. Consultez la documentation de votre fournisseur d’identités pour savoir à quelle fréquence il synchronise les utilisateurs.
Conditions requises
Si nécessaire, vérifiez manuellement un domaine. Consultez la rubrique Ajouter et valider un domaine.
Vous devez activer l’authentification fédérée. Consultez la rubrique Introduction à l’authentification fédérée.
Appelez un administrateur autorisé à modifier les paramètres de Google Workspace, de Microsoft Entra ID ou d’un autre fournisseur d’identités.
Apple Business Manager exige que l’attribut utilisé pour le compte Apple géré soit unique. Il s’agit normalement de l’adresse courriel de l’utilisateur. Si un utilisateur a un attribut identique à celui d’un utilisateur existant ayant un rôle d’administrateur dans Apple Business Manager, aucune synchronisation ne sera effectuée et le champ source restera inchangé.
Lorsque vous configurez la connexion initiale, vous devez utiliser l’adresse courriel d’un utilisateur ayant le rôle d’administrateur ou de gestionnaire de comptes afin qu’il puisse recevoir des notifications de Google Workspace, de Microsoft Entra ID ou d’un autre fournisseur d’identités avec lequel vous effectuez la synchronisation.
Exigences spécifiques au fournisseur d’identités
Lors de la connexion à Microsoft Entra ID :
Pour utiliser OIDC avec Apple Business Manager, votre organisation ne doit pas avoir le même locataire Microsoft Entra ID qu’une autre organisation Apple Business Manager. Si vous voulez utiliser OIDC pour votre organisation, communiquez avec votre administrateur global Microsoft Entra ID pour vous assurer qu’aucune autre organisation n’utilise votre locataire Entra ID pour OIDC.
Si un compte d’utilisateur a un nom d’utilisateur principal identique à celui d’un compte d’utilisateur existant ayant un rôle d’administrateur ou de gestionnaire du personnel, aucune synchronisation n’est effectuée et le champ source reste inchangé.
Lorsque vous vous connectez à un fournisseur d’identités qui n’est pas Google Workspace ou Microsoft Entra ID, vous devez disposer des informations suivantes :
Champ d’identification unique pour les utilisateurs : la valeur de cet attribut est normalement l’adresse courriel de l’utilisateur. Elle est utilisée pour créer le compte Apple géré de l’utilisateur. Par exemple, l’identifiant peut être userName.
Méthode d’authentification : SAML 2.0.
Mode d’authentification : OAuth 2.
URL de signature unique : consultez la documentation de votre fournisseur d’identités.
Autorisation de l’URL de redirection : consultez la documentation de votre fournisseur d’identités.
Modifications automatiques
Création de compte
Lorsque la synchronisation du répertoire est configurée, les comptes d’utilisateur sont synchronisés avec Apple Business Manager et se voient attribuer le rôle de Personnel. Les renseignements de compte synchronisés sont ajoutés en lecture seule. Toutefois, l’attribut Rôles d’un compte d’utilisateur peut être modifié. Cet attribut est stocké avec le compte d’utilisateur dans Apple Business Manager et n’est pas réinscrit dans Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités.
Lorsque l’authentification fédérée est désactivée, les comptes deviennent des comptes manuels, et les attributs de ces comptes (comme les noms d’utilisateur) peuvent alors être modifiés.
Modification de compte
La synchronisation du répertoire surveille les modifications apportées aux attributs synchronisés et les met à jour automatiquement dans Apple Business Manager. L’intervalle de synchronisation de ces modifications dépend du fournisseur d’identités.
Suppression de compte
Lorsqu’un compte d’utilisateur est supprimé dans Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités, le compte correspondant dans Apple Business Manager est désactivé et signalé pour suppression. Un compte désactivé est déconnecté des appareils et ne peut pas s’y reconnecter. À moins que le compte ne soit synchronisé de nouveau dans les 30 jours suivants, il est automatiquement supprimé.
À propos de l’identifiant de la personne
Pour identifier les comptes en conflit, lorsqu’un compte d’utilisateur est initialement synchronisé à l’aide d’OIDC vers Apple Business Manager, un identifiant de la personne est automatiquement généré pour ce compte d’utilisateur.
Si vous modifiez l’identifiant de la personne dans Apple Business Manager pour un compte d’utilisateur précédemment synchronisé, ce compte d’utilisateur n’est plus associé à Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités. Si vous souhaitez reconnecter le compte utilisateur, vous devez résoudre le conflit d’identifiant de la personne.