Utiliser l’authentification fédérée avec votre fournisseur d’identité dans Apple Business
Aperçu
Dans Apple Business, vous pouvez associer votre fournisseur d’identité (IdP) en utilisant l’authentification fédérée pour permettre aux utilisateurs et utilisatrices de se connecter aux appareils Apple avec leur nom d’utilisateur IdP (généralement leur adresse courriel) et leur mot de passe.
Par conséquent, vos utilisateurs peuvent utiliser leurs identifiants de fournisseur d’identités comme un compte Apple géré. Ils peuvent ensuite utiliser ces données d’identification pour se connecter à l’iPhone, à l’iPad, au Mac, à l’Apple Vision Pro et à l’iPad partagé qui leur sont attribués. Après s’être connectés à l’un de ces appareils, ils peuvent également se connecter à iCloud sur le Web.
Processus d’authentification fédérée
Ce processus consiste en quatre étapes principales :
Ajouter et valider un domaine.
Créer une nouvelle application ou connexion Open ID Connect (OIDC).
Configurer l’authentification fédérée et tester l’authentification avec un seul compte utilisateur IdP.
Activer l’authentification fédérée.
Important : Avant de configurer l’authentification fédérée, lisez ce qui suit.
Étape 1 : Vérifier un domaine
Avant de pouvoir afficher les comptes utilisateur IdP avec Apple Business, vous devez ajouter et valider le domaine que vous souhaitez utiliser.
Consultez la rubrique Ajouter et valider un domaine.
Le processus de vérification garantit que votre organisation est bien celle qui a l’autorité pour modifier les enregistrements DNS (Domain Name Service) de votre domaine. Par exemple, pour utiliser melardclothing.com comme domaine, vous devez ajouter un enregistrement TXT spécifique à votre serveur DNS dans les 14 jours civils suivant le début du processus de vérification (qui commence lorsque vous sélectionnez Vérifier).
Remarque : Si vous tentez de fédérer un domaine que vous avez déjà validé, mais qu’une autre organisation l’a déjà fédéré, vous devrez communiquer avec cette organisation pour déterminer qui a l’autorité de fédérer ce domaine. Consultez la rubrique Quels sont les conflits de domaine?.
Étape 2 : Créer une nouvelle application ou connexion OpenID Connect
Pour la connexion à Apple Business, votre fournisseur d’identité doit disposer d’une application qui contient des réglages précis pour l’associer à Apple Business, ou en créer une. Puisque chaque fournisseur d’identité a une méthode de création d’app et un emplacement de réglages précis différents, consultez la documentation de votre fournisseur d’identité pour savoir comment terminer ce processus.
Connectez-vous à votre fournisseur d’identité en tant qu’administrateur, puis effectuez l’une des opérations suivantes :
Localisez l’app créée par votre fournisseur d’identité. Vous pourrez peut-être ignorer plusieurs étapes dans cette procédure.
Accédez à l’endroit où vous pouvez créer une app ou une connexion.
Créez l’application ou la connexion à l’aide des informations suivantes :
Apple Business : AppleBusinessOIDC.
Méthode de connexion : OIDC.
Type d’application : application Web.
Type d’octroi : jeton de rafraîchissement.
La connexion redirige l’URI : https://gsa-ws.apple.com/grandslam/GsService2/acs.
Accès : Autoriser des comptes utilisateur spécifiques.
Portée de l’accès : l’accès doit être accordé à
ssf.manageetssf.read.
Enregistrez les modifications.
Plus loin sur cette page, vous devrez coller certaines informations dans Apple Business. La tâche suivante consiste à copier ces informations dans un fichier texte ou une feuille de calcul.
Ouvrez un nouveau fichier texte ou une nouvelle feuille de calcul, puis entrez les valeurs suivantes du fournisseur d’identités :
Pour l’identifiant client OpenID Connect, collez l’identifiant client OpenID Connect.
Pour le secret client OpenID Connect, collez le secret client OpenID Connect.
Enregistrez le fichier dans un lieu sécurisé.
Étape 3 : Configurer l’authentification fédérée et tester l’authentification avec un seul compte utilisateur du fournisseur d’identité
Cette étape permet d’établir une relation de confiance entre votre fournisseur d’identité et Apple Business.
Remarque : Une fois cette étape terminée, les utilisateurs ne peuvent plus créer de nouveaux comptes Apple (personnels) non gérés sur le domaine que vous configurez. Cela pourrait affecter d’autres services Apple auxquels vos utilisateurs ont accès. Consultez la rubrique Transférer des services Apple.
Dans Apple Business, connectez-vous avec un utilisateur dont le rôle dispose des autorisations nécessaires pour configurer la fédération et se connecter à un fournisseur d’identité (IdP).
Pour consulter les rôles et les autorisations, consultez la section Introduction aux rôles et aux autorisations.
Dans votre navigateur, choisissez Réglages > Domaines.
Sélectionnez Fournisseur d’identité personnalisé, puis cliquez sur Continuer.
Saisissez un nom pour votre connexion d’authentification fédérée.
Vous pouvez utiliser jusqu’à 128 caractères.
Copiez les valeurs de l’identifiant client et de la clé secrète client dans Apple Business à partir du fichier texte ou de la feuille de calcul que vous avez enregistrée dans la section précédente.
Communiquez avec votre fournisseur d’identités pour obtenir les URL des deux configurations suivantes :
Cadre de signaux partagés (SSF)
OpenID
Sélectionnez Continuer.
Si toutes les valeurs que vous avez fournies sont valides, la page de connexion de votre fournisseur d’identités s’affichera. Passez à l’étape 8.
Se connecter avec un nom d’utilisateur et un mot de passe d’administrateur du fournisseur d’identité.
Sélectionnez Terminé.
Étape 4 : Activer l’authentification fédérée
Remarque : Les utilisateurs et utilisatrices dont le rôle leur confère les autorisations nécessaires pour configurer la fédération et se connecter à un fournisseur d’identité ne peuvent pas se connecter à l’aide de l’authentification fédérée; ils et elles peuvent seulement gérer le processus de fédération.
Dans Apple Business, connectez-vous avec un utilisateur dont le rôle dispose des autorisations nécessaires pour configurer la fédération et se connecter à un fournisseur d’identité (IdP).
Pour consulter les rôles et les autorisations, consultez la section Introduction aux rôles et aux autorisations.
Dans votre navigateur, choisissez Réglages > Domaines.
Dans la section Domaines, sélectionnez Gérer à côté du domaine que vous souhaitez fédérer, puis sélectionnez « Activer la connexion avec votre fournisseur d’identité ».
Activez « Se connecter avec votre fournisseur d’identités ».
Si nécessaire, vous pouvez maintenant synchroniser les comptes utilisateur avec Apple Business. Consultez Synchroniser des comptes utilisateur de votre fournisseur d’identités.