Utiliser l’authentification fédérée avec Google Workspace dans Apple Business
Aperçu
Dans Apple Business, vous pouvez associer Google Workspace en utilisant l’authentification fédérée pour permettre aux utilisateurs et utilisatrices de se connecter aux appareils Apple à l’aide de leur nom d’utilisateur Google Workspace (généralement leur adresse courriel) et de leur mot de passe.
Par conséquent, vos utilisateurs peuvent utiliser leurs identifiants Google Workspace comme des comptes Apple gérés. Ils peuvent ensuite utiliser ces données d’identification pour se connecter à l’iPhone, à l’iPad, au Mac, à l’Apple Vision Pro et à l’iPad partagé qui leur sont attribués. Après s’être connectés à l’un de ces appareils, ils peuvent également se connecter à iCloud sur le web (iCloud pour Windows ne prend pas en charge les comptes Apple gérés).
Google Workspace est le fournisseur d’identité (IdP) qui authentifie l’utilisateur ou l’utilisatrice pour Apple Business et émet des jetons d’authentification. Cette authentification prend en charge l’authentification par certificat et l’authentification à deux facteurs (2FA).
Remarque : À aucun moment les données ne sont retranscrites dans Google Workspace.
Quelles données de fédération sont lues depuis Google Workspace?
Les données de fédération suivantes sont lues lorsque vous vous connectez à Google Workspace à l’aide d’OpenID Connect (OIDC) :
Demande de consentement de l’administrateur ou de l’administratrice de Google | Attributs utilisés par Apple et raison | Requête API ou portée |
|---|---|---|
Attributs : revendications id_token :
Raison : authentification de l’utilisateur ou de l’utilisatrice par le biais du protocole OIDC de fédération | Demande API : non disponible Portée : openid | |
Consultez vos informations personnelles, y compris celles que vous avez rendues publiques | Attributs : revendications id_token :
Raison : authentification de l’utilisateur ou de l’utilisatrice par le biais du protocole OIDC de fédération | Demande API : non disponible Portée : profil |
Consultez l’adresse courriel de votre compte Google principal | Attributs : revendications id_token :
Raison : authentification de l’utilisateur ou de l’utilisatrice par le biais du protocole OIDC de fédération | Demande API : non disponible Portée : courriel |
Attributs :
Raison : Pour récupérer les événements de sécurité survenus sur les comptes utilisateur dans Google Workspace et prendre les mesures de sécurité appropriées pour les comptes respectifs qui sont connectés aux appareils Apple. Lorsqu’un mot de passe est modifié ou invalidé par Google, la session du compte Apple géré est interrompue et l’utilisateur ou l’utilisatrice est invité·e à se réauthentifier. | Requête de l’API :
Portée : https://www.googleapis.com/auth/admin.reports.audit.readonly | |
Attributs :
Raison : Pour synchroniser les domaines vérifiés de Google Workspace avec Apple Business. | Demande API : non disponible Portée : https://www.googleapis.com/auth/admin.directory.domain.readonly | |
Consultez les renseignements concernant les utilisateurs et utilisatrices de votre domaine | Attributs :
Raison : Obtenir les informations d’utilisateur d’administrateur Google Workspace pour une synchronisation de répertoire. Remarque : Cette portée est également utilisée pour les attributs de synchronisation de répertoire. Voir Comment les données de fédération de Google Workspace sont-elles utilisées pour la synchronisation de répertoire? | Demande API : non disponible Portée : https://www.googleapis.com/auth/admin.directory.user.readonly |
Attributs : non disponible Raison : Pour demander un jeton d’actualisation pendant le flux du code d’autorisation. Le jeton d’actualisation est ensuite utilisé pour demander un jeton d’accès. Le jeton d’accès est utilisé pour lire :
| Requête API : access_type=offline Portée : non disponible |
Processus d’authentification fédérée
Ce processus comporte trois étapes principales :
Configurer l’authentification fédérée.
Tester l’authentification fédérée avec un seul compte utilisateur Google Workspace.
Activer l’authentification fédérée.
Si vous tentez de fédérer un domaine que vous avez déjà validé, mais qu’une autre organisation l’a déjà fédéré, vous devrez communiquer avec cette organisation pour déterminer qui a l’autorité de fédérer ce domaine. Consultez la rubrique Quels sont les conflits de domaine?.
Important : Avant de configurer l’authentification fédérée, lisez ce qui suit.
Étape 1 : Configurer l’authentification fédérée
La première étape consiste à établir une relation de confiance entre Google Workspace et Apple Business.
Remarque : Une fois cette étape terminée, les utilisateurs ne peuvent plus créer de nouveaux comptes Apple (personnels) non gérés sur le domaine que vous configurez. Cela pourrait affecter d’autres services Apple auxquels vos utilisateurs ont accès. Consultez la rubrique Transférer des services Apple.
Dans Apple Business, connectez-vous avec un utilisateur dont le rôle dispose des autorisations nécessaires pour configurer la fédération et se connecter à un fournisseur d’identité (IdP).
Pour consulter les rôles et les autorisations, consultez la section Introduction aux rôles et aux autorisations.
Dans votre navigateur, choisissez Réglages > Domaines.
Sélectionnez Démarrer à côté de Fournisseur d’identité tiers.
Sélectionnez Google Workspace, puis cliquez sur Continuer.
Sélectionnez « Se connecter avec Google », saisissez votre nom d’utilisateur d’administrateur Google Workspace, puis sélectionnez Suivant.
Entrez le mot de passe du compte, puis sélectionnez Suivant.
Si nécessaire, passez en revue la liste des domaines vérifiés automatiquement et des domaines en conflit.
Lisez attentivement l’accord, acceptez les conditions générales, puis vérifiez les points suivants :
Afficher les rapports d’audit pour votre domaine Google Workspace
Afficher les domaines liés à vos clients
Voir les informations sur les comptes utilisateur de votre domaine
Sélectionnez Continuer, puis sélectionnez Terminé.
Dans certains cas, vous ne pourrez peut-être pas vous connecter à votre domaine. Voici certaines des raisons courantes :
Le compte d’administrateur Google Workspace utilisé n’est pas autorisé à ajouter des domaines.
Le nom d’utilisateur ou le mot de passe du compte à l’étape 4 ou 5 est incorrect.
Vous ou un autre administrateur Google Workplace avez modifié les attributs par défaut.
Étape 2 : Tester l’authentification fédérée avec un seul compte utilisateur de Google Workspace
Important : Le test de l’authentification fédérée modifie aussi le format par défaut de votre compte Apple géré.
Vous pouvez tester la connexion à l’authentification fédérée une fois que vous avez réalisé les tâches suivantes :
La vérification des conflits de noms d’utilisateur est terminée.
Le format par défaut du compte Apple géré est mis à jour.
Une fois que Apple Business est connecté à Google Workspace, vous pouvez modifier le rôle d’un compte utilisateur. Par exemple, vous pourriez vouloir modifier le rôle d'un compte utilisateur pour lui attribuer le rôle de membre du Personnel.
Remarque : Les utilisateurs et utilisatrices dont le rôle leur confère les autorisations nécessaires pour configurer la fédération et se connecter à Google Workspace ne peuvent pas se connecter par authentification fédérée; ils et elles peuvent seulement gérer le processus de fédération.
Dans Apple Business, connectez-vous avec un compte Google Workspace.
Si le nom d’utilisateur avec lequel vous vous êtes connecté est reconnu, un nouvel écran vous indiquera que vous vous connectez avec un compte de votre domaine.
Sélectionnez Continuer, entrez le mot de passe de l’utilisateur, puis sélectionnez Connexion.
Déconnectez-vous d’Apple Business.
Remarque : Les utilisateurs peuvent uniquement se connecter à iCloud.com sur un Mac s’ils se sont préalablement connectés avec leur compte Apple géré sur un autre appareil Apple.
Dans certains cas, vous ne pourrez peut-être pas vous connecter à votre domaine. Voici certaines des raisons courantes :
Le nom d’utilisateur ou le mot de passe du domaine que vous voulez fédérer est erroné.
Le compte ne fait pas partie du domaine que vous voulez fédérer.
Étape 3 : Activer l’authentification fédérée
Si vous envisagez de synchroniser Google Workspace avec Apple Business, vous devez activer l’authentification fédérée avant de procéder à la synchronisation.
Dans Apple Business, connectez-vous avec un utilisateur dont le rôle dispose des autorisations nécessaires pour configurer la fédération et se connecter à un fournisseur d’identité (IdP).
Pour consulter les rôles et les autorisations, consultez la section Introduction aux rôles et aux autorisations.
Dans votre navigateur, choisissez Réglages > Domaines.
Dans la section Domaines, sélectionnez Gérer à côté du domaine que vous souhaitez fédérer, puis sélectionnez « Activer la connexion avec Google Workspace ».
Activez l’option « Se connecter avec Google Workspace ».
Si nécessaire, vous pouvez maintenant synchroniser les comptes utilisateur avec Apple Business. Voir Synchroniser les comptes utilisateur à partir de Google Workspace.