Introduction à l’authentification fédérée dans Apple Business
Aperçu
Vous pouvez utiliser authentification fédérée pour associer Apple Business à ce qui suit :
Google Workspace
Service global Microsoft Entra ID Open ID Connect (OIDC) (login.microsoftonline.com).
L’intégration avec les nuages nationaux n’est pas prise en charge actuellement.
Tout fournisseur d’identités (IdP) utilisant OIDC ou le système de gestion d’identité multi-plateforme (SCIM)
Remarque : Vous pouvez associer Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité, mais un seul à la fois.
Les utilisateurs peuvent ainsi se connecter à leur iPhone, iPad, Mac, Apple Vision Pro, et à l’iPad partagé qui leur ont été attribués, en utilisant leur nom d’utilisateur (généralement leur adresse courriel) et leur mot de passe. Après s’être connectés sur l’un de ces appareils, ils peuvent également se connecter à iCloud sur le web sur un Mac (iCloud pour Windows ne prend pas en charge les comptes Apple gérés).
Important : Lorsque la connexion a expiré, la fédération et la synchronisation des comptes utilisateur s’arrêtent. Vous devez vous reconnecter pour continuer à utiliser l’authentification fédérée et la synchronisation.
Vous pouvez utiliser l’authentification fédérée dans des circonstances très précises :
Authentification fédérée uniquement
Lorsque Apple Business et Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité sont liés, des comptes Apple gérés sont automatiquement créés pour les utilisateurs et utilisatrices. Ils et elles peuvent ensuite se connecter en utilisant leur nom d’utilisateur (généralement leur adresse courriel) et leur mot de passe existants.
Consultez les articles suivants :
Authentification fédérée avec synchronisation de répertoires
Vous pouvez également synchroniser les comptes utilisateur de Google Workspace, de Microsoft Entra ID ou de votre fournisseur d'identité avec Apple Business. Lorsque vous configurez une connexion de synchronisation de répertoire, vous pouvez ajouter des propriétés Apple Business (telles que des rôles) aux données de compte utilisateur importées depuis l'un de ces services. Les informations du compte utilisateur des services sont ajoutées en lecture seule jusqu’à ce que vous désactiviez la synchronisation. À ce moment-là, les comptes deviennent des comptes manuels, et les attributs de ces comptes peuvent alors être modifiés. Si un compte utilisateur est supprimé de l’un de ces services, ce compte utilisateur peut également être supprimé d’Apple Business. Consultez les articles suivants :
Authentification fédérée avec iPad partagé
Lorsque vous utilisez l’authentification fédérée avec un iPad partagé, le processus de connexion varie selon que le compte utilisateur existe déjà ou non dans Apple Business. Pour consulter les scénarios de connexion, consultez la section Se connecter à un iPad partagé.
Si un utilisateur oublie son code d’accès, vous devrez réinitialiser le code d’accès pour l’iPad partagé.
Avant de commencer
Avant d’utiliser l’authentification fédérée avec Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités, tenez compte des points suivants :
Conditions requises
Cette fonctionnalité nécessite iOS 15.5, iPadOS 15.5, macOS 12.4, visionOS 1.1, ou une version ultérieure.
Vous devez verrouiller et activer le processus de capture de domaine. Consultez la rubrique Verrouiller un domaine.
Il n’existe pas de conflit de compte Apple géré. Consultez la rubrique Obtenir plus de fonctionnalités iCloud.
Les utilisateurs et utilisatrices dont le rôle leur confère les autorisations nécessaires pour configurer la fédération et se connecter à un fournisseur d’identité ne peuvent pas se connecter à l’aide de l’authentification fédérée; ils et elles peuvent seulement gérer le processus de fédération.
Lors de l’utilisation de l’authentification fédérée, les réglages par défaut des comptes Apple gérés ne s’appliquent pas.
Exigences spécifiques au fournisseur d’identités
Lors de l’établissement d’un lien avec Google Workspace :
L’authentification fédérée doit utiliser l’adresse courriel de l’utilisateur comme nom d’utilisateur. Les alias ne sont pas pris en charge.
Lors de la connexion à Microsoft Entra ID :
Utilisez un compte Microsoft ayant le rôle d’administrateur global Microsoft Entra ID pour effectuer la tâche Approuver l’authentification fédérée. Après avoir établi la connexion, vous pouvez remplacer le rôle d’administrateur global de ce compte Microsoft par un autre rôle disposant des privilèges requis pour maintenir la connexion. Voir Quels rôles par défaut de Microsoft prennent en charge les domaines, la synchronisation des répertoires et la lecture des domaines?
L’authentification fédérée avec Microsoft Entra ID exige que le UserPrincipalName (UPN) d’un utilisateur corresponde à son adresse courriel. Les alias de nom d’utilisateur principal et les identifiants alternatifs ne sont pas pris en charge.
Pour établir un lien avec un fournisseur d’identités, vous devez disposer des informations suivantes :
Un domaine vérifié que vous souhaitez utiliser. Consultez la rubrique Ajouter et valider un domaine.
Méthode de connexion : utiliser OpenID Connect (OIDC).
Portée de l’accès : l’accès doit être accordé à
ssf.manageetssf.read.URL de configuration du cadre de signaux partagés (SSF) : consultez la documentation de votre fournisseur d’identités.
URL de configuration OpenID : consultez la documentation de votre fournisseur d’identités.
Modifications automatiques
Pour les utilisateurs et utilisatrices existant·es d’Apple Business ayant une adresse courriel dans le domaine fédéré, leur compte Apple géré est automatiquement modifié pour correspondre à cette adresse courriel.