Introduction à l’authentification fédérée dans Apple School Manager

Vous pouvez utiliser authentification fédérée pour associer Apple School Manager à ce qui suit :

Google Workspace
Microsoft Entra ID
Votre fournisseur d’identité (IdP)

Remarque : Vous pouvez associer Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité, mais un seul à la fois.

Les utilisateurs peuvent alors se connecter à l’iPhone, à l’iPad, au Mac, Apple Vision Pro, et à l’iPad partagé qui leur ont été attribués, en utilisant leur nom d’utilisateur (généralement leur adresse électronique) et leur mot de passe. Après s’être connectés sur l’un de ces appareils, ils peuvent également se connecter à iCloud sur le web sur un Mac (iCloud pour Windows ne prend pas en charge les comptes Apple gérés).

Important : Lorsque la connexion a expiré, la fédération et la synchronisation des comptes d’utilisateurs s’arrêtent. Vous devez vous reconnecter pour continuer à utiliser l’authentification fédérée et la synchronisation.

Vous pouvez utiliser l’authentification fédérée dans des circonstances très précises :

Authentification fédérée uniquement

Lorsque Apple School Manager et Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités sont associés, des comptes Apple gérés sont automatiquement créés pour les utilisateurs. Ceux-ci peuvent alors se connecter à l’aide de leur nom d’utilisateur existant (généralement leur adresse électronique) et de leur mot de passe.

Consultez les articles suivants :

Authentification fédérée avec synchronisation de répertoires

Vous pouvez également synchroniser les comptes utilisateurs de Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité avec Apple School Manager. Lorsque vous configurez une connexion de synchronisation de répertoire, vous pouvez ajouter les propriétés d’Apple School Manager (telles que le niveau scolaire et les rôles) aux données de compte d’utilisateur importées de l’un de ces services. Les informations du compte utilisateur des services sont ajoutées en lecture simple jusqu’à ce que vous désactiviez la synchronisation. À ce moment, les comptes deviennent des comptes manuels, et les attributs de ces comptes peuvent être modifiés. Si un compte d’utilisateur est supprimé de l’un de ces services, ce compte d’utilisateur peut être supprimé d’Apple School Manager. Consultez les articles suivants :

Authentification fédérée avec des utilisateurs d’un système d’information étudiants (SIE) ou avec les fichiers téléversés à l’aide de SFTP

Si vous prévoyez d’utiliser l’authentification fédérée avec vos fichiers SIE ou CSV, vous devez d’abord configurer et activer l’authentification fédérée.

Lorsque vous souhaitez vous connecter sur Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités, et vous connecter avec votre SIE ou téléverser des fichiers à l’aide de SFTP, vous devez procéder comme suit :

Vous pouvez ensuite intégrer votre SIE ou téléverser des fichiers avec SFTP. Toutes les informations, telles que les classes et les listes, sont comparées à celles des utilisateurs de Google Workspace, Microsoft Entra ID ou de votre fournisseur d’identité. Si un compte d’utilisateur est retiré de Google Workspace, Microsoft Entra ID, ou de votre fournisseur d’identité, son compte doit être désactivé dans Apple School Manager par le détenteur d’un compte ayant les privilèges nécessaires pour modifier l’état des comptes des utilisateurs.

Important : Si vous procédez à l’intégration avec un Système d’information étudiants (SIE) ou que vous importez des comptes d’utilisateurs par le protocole de transfert de fichiers sécurisés (SFTP), et que vous utilisez l’authentification fédérée, les adresses courriel stockées dans le SIE doivent correspondre au nom d’utilisateur de Google Workspace, Microsoft Entra ID, ou de fournisseur d’identité, utilisé pour se connecter.

Authentification fédérée avec iPad partagé

Lorsque vous utilisez l’authentification fédérée avec un iPad partagé, le processus de connexion est différent selon que le compte d’utilisateur existe déjà ou non dans Apple School Manager. Pour afficher les scénarios de connexion, consultez Se connecter sur un iPad partagé.

Le format des mots de passe par défaut est standard (huit lettres ou chiffres, ou plus) et peut être modifié. Consultez la rubrique Cas de figure des formats de mots de passe .

Si un utilisateur oublie son code d’accès, vous devrez réinitialiser le code d’accès de l’iPad partagé.

Avant de commencer

Avant d’utiliser l’authentification fédérée avec Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités, tenez compte des points suivants :

Conditions requises

Les appareils Apple doivent répondre aux exigences minimales suivantes en matière de système d’exploitation :
- iOS 15.5
- iPadOS 15.5
- macOS 12.4
- visionOS 1.1
Vous devez déconnecter votre système d’information étudiants (SIE) ou arrêter les téléversements à l’aide de SFTP.
Vous devez verrouiller et activer le processus de capture de domaine. Consultez la rubrique Verrouiller un domaine.
Il n’existe pas de conflit de compte Apple géré. Consultez la rubrique Obtenir plus de fonctionnalités iCloud.
La connexion par authentification fédérée n’est pas possible pour les comptes d’utilisateur ayant un rôle d’administrateur, de gestionnaire de site ou de gestionnaire de comptes; ces utilisateurs peuvent uniquement gérer le processus de fédération.
Lors de l’utilisation de l’authentification fédérée, les réglages par défaut des comptes Apple gérés ne s’appliquent pas.

Exigences spécifiques au fournisseur d’identités

Lors de l’établissement d’un lien avec Google Workspace :

L’authentification fédérée doit utiliser l’adresse courriel de l’utilisateur comme nom d’utilisateur. Les alias ne sont pas pris en charge.

Lors de la connexion à Microsoft Entra ID :

Vous devez prendre un utilisateur ayant le rôle d’administrateur global Entra ID pour effectuer la tâche Approuver l’authentification fédérée, ci-dessous. Une fois la connexion réussie, vous pouvez changer le rôle de l’utilisateur de l’Administrateur global pour un autre rôle avec les privilèges requis pour maintenir la connexion. Pour en savoir plus, consultez la rubrique Rôles par défaut de Microsoft qui prennent en charge les domaines, la synchronisation des répertoires et la lecture des domaines..
L’authentification fédérée avec Microsoft Entra ID exige que le UserPrincipalName (UPN) d’un utilisateur corresponde à son adresse courriel. Les alias de nom d’utilisateur principal et les identifiants alternatifs ne sont pas pris en charge.

Pour établir un lien avec un fournisseur d’identités, vous devez disposer des informations suivantes :

Un domaine vérifié que vous souhaitez utiliser. Consultez la rubrique Ajouter et valider un domaine.
Méthode de connexion : utiliser OpenID Connect (OIDC).
Portée de l’accès : l’accès doit être accordé à ssf.manage et ssf.read
URL de configuration du cadre de signaux partagés (SSF) : consultez la documentation de votre fournisseur d’identités.
URL de configuration OpenID : consultez la documentation de votre fournisseur d’identités.

Modifications automatiques

Pour les utilisateurs existants d’Apple School Manage ayant une adresse courriel dans le domaine fédéré, leur compte Apple géré est automatiquement modifié pour correspondre à cette adresse courriel.

Voir aussiCréer des codes d’accès pour iPad partagés dans Apple School Manager À propos des comptes Apple gérés dans Apple School Manager Modifier l’information du domaine d’un utilisateur dans Apple School Manager Consulter les totaux des comptes utilisant votre domaine dans Apple School Manager

Ces renseignements étaient-ils utiles?

Guide d’utilisation d’Apple School Manager