Introduction à la synchronisation des répertoires avec Apple Business
Aperçu
La synchronisation des répertoires permet de maintenir les données d’Apple Business à jour avec celles de votre fournisseur d’identités (IdP). Grâce à la synchronisation des répertoires, votre IdP informe automatiquement Apple Business, qui peut mettre à jour ses renseignements dans les cas suivants :
Création d’un compte utilisateur
Modification des renseignements d’un compte utilisateur
Suppression d’un compte utilisateur
Vous pouvez utiliser OpenID Connect (OIDC) avec Apple Business pour synchroniser les comptes utilisateur à partir des éléments suivants (une seule à la fois) :
Google Workspace
Microsoft Entra ID
Votre fournisseur d’identités
Certains fournisseurs d’identités peuvent également utiliser le système de gestion des identités interdomaines (SCIM).
Avant de commencer
Avant de synchroniser Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités, tenez compte des points suivants :
La synchronisation de groupes d’utilisateurs n’est pas prise en charge.
La synchronisation initiale prend plus de temps que celle des cycles subséquents. Consultez la documentation de votre fournisseur d’identités pour savoir à quelle fréquence il synchronise les utilisateurs.
Conditions requises
Si nécessaire, vérifiez manuellement un domaine. Consultez la rubrique Ajouter et valider un domaine.
Vous devez activer l’authentification fédérée. Consultez la rubrique Introduction à l’authentification fédérée.
Appelez un administrateur autorisé à modifier les paramètres de Google Workspace, de Microsoft Entra ID ou d’un autre fournisseur d’identités.
Apple Business exige que l’attribut utilisé pour le compte Apple géré soit unique. Il s’agit généralement de l’adresse courriel de l’utilisateur ou de l’utilisatrice. Si un utilisateur possède un attribut identique à celui d’un utilisateur Apple Business existant ayant le rôle Administrateur d’organisation, aucune synchronisation n’est effectuée et le champ source reste inchangé.
Lors de la configuration de la connexion initiale, vous devez utiliser l’adresse courriel d’un utilisateur ou d’une utilisatrice dont le rôle lui confère les autorisations nécessaires pour configurer la fédération et se connecter à un fournisseur d’identité (IdP) afin qu’il ou elle puisse recevoir des notifications de Google Workspace, Microsoft Entra ID ou d’un autre IdP avec lequel vous effectuez la synchronisation.
Exigences spécifiques au fournisseur d’identités
Lors de la connexion à Microsoft Entra ID :
Pour utiliser OIDC avec Apple Business, votre organisation ne doit pas avoir le même locataire Microsoft Entra ID qu’une autre organisation Apple Business. Si vous voulez utiliser OIDC pour votre organisation, communiquez avec votre Administrateur global Microsoft Entra ID pour vous assurer qu’aucune autre organisation n’utilise votre locataire Entra ID pour OIDC.
Si un compte utilisateur a un nom d’utilisateur principal identique à celui d’un utilisateur ou d’une utilisatrice existant·e dont le rôle lui confère les autorisations nécessaires pour configurer la fédération et se connecter à un fournisseur d’identité, aucune synchronisation n’est effectuée et le champ source reste inchangé.
Lorsque vous vous connectez à un fournisseur d’identités qui n’est pas Google Workspace ou Microsoft Entra ID, vous devez disposer des informations suivantes :
Champ d’identification unique pour les utilisateurs : la valeur de cet attribut est normalement l’adresse courriel de l’utilisateur. Elle est utilisée pour créer le compte Apple géré de l’utilisateur. Par exemple, l’identifiant peut être userName.
Méthode d’authentification : SAML 2.0.
Mode d’authentification : OAuth 2.
URL de signature unique : consultez la documentation de votre fournisseur d’identités.
Autorisation de l’URL de redirection : consultez la documentation de votre fournisseur d’identités.
Modifications automatiques
Création de compte
Lorsque la synchronisation du répertoire est configurée, les comptes utilisateur sont synchronisés avec Apple Business et se voient attribuer le rôle de Personnel. Les renseignements de compte synchronisés sont ajoutés en lecture seule. Toutefois, l’attribut Rôles d’un compte utilisateur peut être modifié. Cet attribut est stocké avec le compte utilisateur dans Apple Business et n’est pas réinscrit dans Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités.
Lorsque l’authentification fédérée est désactivée, les comptes deviennent des comptes manuels, et les attributs de ces comptes (comme les noms d’utilisateur) peuvent alors être modifiés.
Modification de compte
La synchronisation du répertoire surveille les modifications apportées aux attributs synchronisés et les met à jour automatiquement dans Apple Business. L’intervalle de synchronisation de ces modifications dépend du fournisseur d’identités.
Suppression de compte
Lorsqu’un compte utilisateur est supprimé dans Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités, le compte correspondant dans Apple Business est désactivé et signalé pour suppression. Un compte désactivé est déconnecté des appareils et ne peut pas s’y reconnecter. À moins que le compte ne soit synchronisé de nouveau dans les 30 jours suivants, il est automatiquement supprimé.
À propos de l’identifiant de la personne
Pour identifier les comptes en conflit, lorsqu’un compte utilisateur est initialement synchronisé à l’aide d’OIDC vers Apple Business, un identifiant de la personne est automatiquement généré pour ce compte utilisateur.
Si vous modifiez l’identifiant de la personne dans Apple Business pour un compte utilisateur précédemment synchronisé, ce compte utilisateur n’est plus associé à Google Workspace, Microsoft Entra ID ou votre fournisseur d’identités. Si vous souhaitez reconnecter le compte utilisateur, vous devez résoudre le conflit d’identifiant de la personne.