Utilisez l’authentification fédérée avec votre fournisseur d’identités dans Apple Business Manager
Dans Apple Business Manager, vous pouvez associer votre fournisseur d’identités pour permettre aux utilisateurs de se connecter aux appareils Apple avec leur nom d’utilisateur et leur mot de passe du fournisseur d’identités. Cela permet à vos utilisateurs d’employer leur nom d’utilisateur et mot de passe du fournisseur d’identités à titre d’identifiant Apple géré. Ils peuvent ainsi utiliser ces données pour se connecter à leur iPhone, à leur iPad ou à leur Mac, et même à iCloud sur le Web.
Ce processus consiste en quatre étapes principales :
1. Vérifier un domaine
2. Connectez-vous à votre fournisseur d’identité et créez une nouvelle app ou connexion Open ID Connect (OIDC)
3. Configurer et tester l’app ou la connexion
4. Activer l’authentification fédérée
Avant de commencer
Avant de commencer, vous devez savoir si vous prévoyez de vous synchroniser à votre fournisseur d’identités en utilisant le SCIM ou si vous prévoyez d’utiliser uniquement l’authentification fédérée. Si vous prévoyez de vous synchroniser à votre fournisseur d’identités à l’aide du SCIM, attendez que la connexion au SCIM ait réussi avant d’activer l’authentification fédérée.
Pour l’authentification fédérée uniquement, veillez à disposer des informations suivantes :
Méthode de connexion : utiliser OpenID Connect (OIDC).
Portée de l’accès : l’accès doit être accordé à
ssf.manage
etssf.read
URL de configuration du cadre de signaux partagés (SSF) : consultez la documentation de votre fournisseur d’identités.
URL de configuration OpenID : consultez la documentation de votre fournisseur d’identités.
Étape 1 : vérifier un domaine
Avant de pouvoir afficher les utilisateurs de votre fournisseur d’identités avec Apple Business Manager, vous devez ajouter et vérifier le domaine que vous souhaitez utiliser. Vous ajoutez et vérifiez les domaines dans Apple Business Manager.
Consultez la rubrique Associer de nouveaux domaines.
Remarque : Ce processus de validation vous assure que votre organisation détient l’autorité pour modifier les registres du service de noms de domaines (DNS) pour votre domaine. Par exemple, pour utiliser lesacparfait.com comme domaine, vous ajoutez un enregistrement TXT précis au fichier de zone de votre serveur de noms de domaine dans les 14 jours civils suivant le début du processus de validation (qui commence dès que vous sélectionnez le bouton Valider).
Étape 2 : créer une nouvelle application ou connexion OpenID Connect
Pour la connexion à Apple Business Manager, votre fournisseur d’identité doit disposer d’une app qui contient des réglages spécifiques à associer à Apple Business Manager, ou en créer une. Chaque fournisseur d’identités ayant une méthode de création d’application et un emplacement de réglages particuliers différents, consultez la documentation de votre fournisseur d’identités pour savoir comment terminer ce processus.
Connectez-vous à votre fournisseur d’identité en tant qu’administrateur, puis effectuez l’une des opérations suivantes :
Localisez l’app créée par votre fournisseur d’identité. Vous pourrez peut-être ignorer plusieurs étapes dans cette procédure.
Accédez à l’endroit où vous pouvez créer une app ou une connexion.
Créez l’application ou la connexion à l’aide des informations suivantes :
Apple Business Manager : AppleBusinessManagerOIDC.
Méthode de connexion : OpenID Connect (OIDC).
Type d’application : application Web.
Type d’octroi : jeton de rafraîchissement.
La connexion redirige l’URI : https://gsa-ws.apple.com/grandslam/GsService2/acs.
Accès : autoriser des utilisateurs spécifiques.
Portée de l’accès : l’accès doit être accordé à
ssf.manage
etssf.read
Enregistrez les modifications.
Plus loin sur cette page, vous devrez coller certaines informations dans Apple Business Manager. La tâche suivante consiste à copier ces informations dans un fichier texte ou une feuille de calcul.
Ouvrez un nouveau fichier texte ou une nouvelle feuille de calcul, puis entrez les valeurs suivantes du fournisseur d’identités :
Pour l’identifiant client OpenID Connect, collez l’identifiant client OpenID Connect.
Pour le secret client OpenID Connect, collez le secret client OpenID Connect.
Enregistrez le fichier dans un lieu sécurisé.
Étape 3 : configurer et tester la connexion
Dans Apple Business Manager , connectez-vous avec un compte ayant un rôle d’administrateur ou de gestionnaire de comptes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , puis sélectionnez Comptes .
Cliquez sur Modifier à côté d’Authentification fédérée, sélectionnez Fournisseur d’identités personnalisé, puis sélectionnez Connexion.
Saisissez un nom pour votre connexion d’authentification fédérée.
Vous pouvez utiliser jusqu’à 128 caractères.
Copiez les valeurs de l’identifiant client et du secret client dans Apple Business Manager à partir du fichier texte ou de la feuille de calcul que vous avez enregistrée dans la section précédente.
Communiquez avec votre fournisseur d’identités pour obtenir les URL des deux configurations suivantes :
Cadre de signaux partagés (SSF)
OpenID
Sélectionnez Continuer.
Si toutes les valeurs que vous avez fournies sont valides, la page de connexion de votre fournisseur d’identités s’affichera. Passez à l’étape 8.
Connectez-vous avec le nom d’utilisateur et le mot de passe d’un administrateur de fournisseur d’identités.
Sélectionnez Terminé
Étape 4 : activer l’authentification fédérée
Dans Apple Business Manager , connectez-vous avec un compte ayant un rôle d’administrateur ou de gestionnaire de comptes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , puis sélectionnez Comptes .
Sélectionnez Modifier dans la section Domaines, puis sélectionnez Fédérer à côté du domaine que vous souhaitez fédérer avec votre fournisseur d’identités.
Attendez jusqu’à ce que le processus soit terminé.