Introduction à la synchronisation des répertoires dans Apple Business Manager
Vous pouvez utiliser OpenID Connect (OIDC) avec Apple Business Manager pour synchroniser les comptes d’utilisateurs à partir des éléments suivants :
Google Workspace
Microsoft Entra ID
Votre fournisseur d’identité (IdP)
Certains fournisseurs d’identités peuvent également utiliser le système de gestion des identités interdomaines (SCIM).
Remarque : Vous pouvez synchroniser Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités, mais un seul à la fois.
Avant de commencer
Avant de synchroniser Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités, tenez compte des points suivants :
La synchronisation de groupes d’utilisateurs n’est pas prise en charge.
Conditions requises
Si nécessaire, vérifiez manuellement un domaine. Consultez la rubrique Ajouter et valider un domaine.
Vous devez activer l’authentification fédérée. Consultez la rubrique Introduction à l’authentification fédérée dans Apple School Manager.
Appelez un administrateur autorisé à modifier les paramètres de Google Workspace, de Microsoft Entra ID ou d’un autre fournisseur d’identités.
Apple Business Manager exige que l’attribut utilisé pour le compte Apple géré soit unique. Il s’agit normalement de l’adresse courriel de l’utilisateur. Si un utilisateur a un attribut identique à celui d’un utilisateur existant ayant un rôle d’administrateur dans Apple Business Manager, aucune synchronisation ne sera effectuée et le champ source restera inchangé.
Lorsque vous configurez la connexion initiale, vous devriez utiliser l’adresse courriel d’un utilisateur ayant le rôle d’administrateur ou de gestionnaire de compte afin qu’il puisse recevoir des notifications de Google Workspace, de Microsoft Entra ID ou d’un autre fournisseur d’identités avec lequel vous effectuez la synchronisation.
Exigences spécifiques au fournisseur d’identités
Lors de la connexion à Microsoft Entra ID :
Pour utiliser OIDC avec Apple Business Manager, votre organisation ne doit pas avoir le même locataire Microsoft Entra ID qu’une autre organisation Apple Business Manager. Si vous voulez utiliser OIDC pour votre organisation, communiquez avec votre administrateur Microsoft Entra ID Global pour vous assurer qu’aucune autre organisation n’utilise votre locataire Entra ID pour OIDC.
Si un compte d’utilisateur a un nom d’utilisateur principal identique à celui d’un compte d’utilisateur existant ayant un rôle d’administrateur ou de gestionnaire du personnel, aucune synchronisation n’est effectuée et le champ source reste inchangé.
Lorsque vous vous connectez à un fournisseur d’identités qui n’est pas Google Workspace ou Microsoft Entra ID, vous devez disposer des informations suivantes :
Champ d’identification unique pour les utilisateurs : la valeur de cet attribut est normalement l’adresse courriel de l’utilisateur. Elle est utilisée pour créer le compte Apple géré de l’utilisateur. Par exemple, l’identifiant peut être userName.
Méthode d’authentification : SAML 2.0.
Mode d’authentification : OAuth 2.
URL de signature unique : consultez la documentation de votre fournisseur d’identités.
Autorisation de l’URL de redirection : consultez la documentation de votre fournisseur d’identités.
Modifications automatiques
Surveille les modifications des comptes d’utilisateurs et les synchronise automatiquement avec Apple Business Manager.
Supprime automatiquement les comptes Apple gérés lorsque les comptes utilisateurs correspondants sont supprimés dans Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités.
Lorsqu’un compte d’utilisateur est synchronisé avec Apple Business Manager, le rôle par défaut est Employé. Une fois la synchronisation terminée, seul l’attribut de compte d’utilisateur Rôles peut être modifié. Cet attribut est stocké avec le compte d’utilisateur dans Apple Business Manager et n’est pas consigné dans Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités.
Les informations du compte synchronisé sont ajoutées en tant que données en lecture seule tant que vous ne désactivez pas la synchronisation. À ce moment, les comptes deviennent des comptes manuels, et les attributs de ces comptes (comme les noms d’utilisateur) peuvent être modifiés.
Remarque : La synchronisation initiale prend plus de temps que celle des cycles subséquents. Consultez la documentation de votre fournisseur d’identités pour savoir à quelle fréquence il synchronise les utilisateurs.
À propos de l’identifiant de la personne
Pour identifier les comptes en conflit, lorsqu’un compte d’utilisateur est initialement synchronisé à l’aide d’OIDC vers Apple Business Manager, un identifiant de la personne est automatiquement généré pour ce compte d’utilisateur.
Si vous modifiez l’identifiant de la personne dans Apple Business Manager pour un compte d’utilisateur précédemment synchronisé, ce compte d’utilisateur n’est plus associé à Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités. Si vous souhaitez reconnecter le compte utilisateur, vous devez résoudre le conflit d’identifiant de la personne.