Introduction à l’authentification fédérée dans Apple Business Manager
Vous pouvez utiliser authentification fédérée pour associer Apple Business Manager à ce qui suit :
Google Workspace
Microsoft Entra ID
Votre fournisseur d’identité (IdP)
Remarque : Vous pouvez associer Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité, mais un seul à la fois.
Les utilisateurs peuvent alors se connecter à l’iPhone, à l’iPad, au Mac, Apple Vision Pro, et à l’iPad partagé qui leur ont été attribués, en utilisant leur nom d’utilisateur (généralement leur adresse électronique) et leur mot de passe. Après s’être connectés sur l’un de ces appareils, ils peuvent également se connecter à iCloud sur le web sur un Mac (iCloud pour Windows ne prend pas en charge les comptes Apple gérés).
Important : Lorsque la connexion a expiré, la fédération et la synchronisation des comptes d’utilisateurs s’arrêtent. Vous devez vous reconnecter pour continuer à utiliser l’authentification fédérée et la synchronisation.
Vous pouvez utiliser l’authentification fédérée dans des circonstances très précises :
Authentification fédérée uniquement
Lorsque Apple Business Manager et Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité sont associés, des comptes Apple gérés sont automatiquement créés pour les utilisateurs. Ceux-ci peuvent alors se connecter à l’aide de leur nom d’utilisateur existant (généralement leur adresse électronique) et de leur mot de passe.
Consultez les articles suivants :
Authentification fédérée avec synchronisation de répertoires
Vous pouvez également synchroniser les comptes d’utilisateurs de Google Workspace, de Microsoft Entra ID ou de votre fournisseur d’identités avec Apple Business Manager. Lorsque vous configurez une connexion de synchronisation de répertoire, vous pouvez ajouter les propriétés d’Apple Business Manager (telles les rôles) aux données de compte d’utilisateur importées de l’un de ces services. Les informations du compte utilisateur des services sont ajoutées en lecture simple jusqu’à ce que vous désactiviez la synchronisation. À ce moment, les comptes deviennent des comptes manuels, et les attributs de ces comptes peuvent être modifiés. Si un compte d’utilisateur est supprimé de l’un de ces services, ce compte d’utilisateur peut être supprimé d’Apple Business Manager. Consultez les articles suivants :
Authentification fédérée avec iPad partagé
Lorsque vous utilisez l’authentification fédérée avec un iPad partagé, le processus de connexion est différent selon que le compte d’utilisateur existe déjà ou non dans Apple Business Manager. Pour afficher les scénarios de connexion, consultez Se connecter sur un iPad partagé.
Si un utilisateur oublie son code d’accès, vous devrez réinitialiser le code d’accès de l’iPad partagé.
Avant de commencer
Avant d’utiliser l’authentification fédérée avec Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités, tenez compte des points suivants :
Conditions requises
Les appareils Apple doivent répondre aux exigences minimales suivantes en matière de système d’exploitation :
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Vous devez verrouiller et activer le processus de capture de domaine. Consultez la rubrique Verrouiller un domaine.
Il n’existe pas de conflit de compte Apple géré. Consultez la rubrique Obtenir plus de fonctionnalités iCloud.
La connexion par authentification fédérée n’est pas possible pour les comptes d’utilisateur ayant un rôle d’administrateur ou de gestionnaire de comptes; ces utilisateurs peuvent uniquement gérer le processus de fédération.
Lors de l’utilisation de l’authentification fédérée, les réglages par défaut des comptes Apple gérés ne s’appliquent pas.
Exigences spécifiques au fournisseur d’identités
Lors de l’établissement d’un lien avec Google Workspace :
L’authentification fédérée doit utiliser l’adresse courriel de l’utilisateur comme nom d’utilisateur. Les alias ne sont pas pris en charge.
Lors de la connexion à Microsoft Entra ID :
Vous devez prendre un utilisateur ayant le rôle d’administrateur global Entra ID pour effectuer la tâche Approuver l’authentification fédérée, ci-dessous. Une fois la connexion réussie, vous pouvez changer le rôle de l’utilisateur de l’Administrateur global pour un autre rôle avec les privilèges requis pour maintenir la connexion. Pour en savoir plus, consultez la rubrique Rôles par défaut de Microsoft qui prennent en charge les domaines, la synchronisation des répertoires et la lecture des domaines..
L’authentification fédérée avec Microsoft Entra ID exige que le UserPrincipalName (UPN) d’un utilisateur corresponde à son adresse courriel. Les alias de nom d’utilisateur principal et les identifiants alternatifs ne sont pas pris en charge.
Pour établir un lien avec un fournisseur d’identités, vous devez disposer des informations suivantes :
Un domaine vérifié que vous souhaitez utiliser. Consultez la rubrique Ajouter et valider un domaine.
Méthode de connexion : utiliser OpenID Connect (OIDC).
Portée de l’accès : l’accès doit être accordé à
ssf.manageetssf.readURL de configuration du cadre de signaux partagés (SSF) : consultez la documentation de votre fournisseur d’identités.
URL de configuration OpenID : consultez la documentation de votre fournisseur d’identités.
Modifications automatiques
Pour les utilisateurs existants d’Apple Business Manager ayant une adresse courriel dans le domaine fédéré, leur compte Apple géré est automatiquement modifié pour correspondre à cette adresse courriel.