Introduction à la synchronisation des répertoires avec Apple Business
Présentation
La synchronisation de répertoire contribue à maintenir la cohérence des données dans Apple Business avec votre fournisseur d’identité. Grâce à la synchronisation de répertoire, Apple Business est informé automatiquement par votre fournisseur d’identité et peut mettre à jour ses informations dans les situations suivantes :
Un nouveau compte utilisateur est créé
Une information dans un compte utilisateur est modifiée
Un compte utilisateur est supprimé
Vous pouvez utiliser OpenID Connect (OIDC) avec Apple Business pour synchroniser des comptes utilisateurs à partir des acteurs suivants (un à la fois) :
Google Workspace
Microsoft Entra ID
Votre fournisseur
Certains fournisseurs d’identité peuvent également utiliser le système de gestion des identités interdomaines (SCIM).
Avant de commencer
Avant d’effectuer une synchronisation avec Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité, tenez compte des informations suivantes :
La synchronisation des groupes d’utilisateurs n’est pas prise en charge.
La synchronisation initiale est plus longue que les cycles de synchronisation ultérieurs. Consultez la documentation de votre fournisseur d’identité pour savoir à quelle fréquence il synchronise les utilisateurs.
Conditions requises
Si nécessaire, validez manuellement un domaine. Consultez la rubrique Ajouter et valider un domaine.
Vous devez activer l’authentification fédérée. Consultez la rubrique Introduction à l’authentification fédérée.
Demandez à un administrateur disposant des autorisations nécessaires de modifier les paramètres de Google Workspace, de Microsoft Entra ID ou d’un autre fournisseur d’identité.
Apple Business exige que l’attribut utilisé pour le compte Apple géré soit unique. Il s’agit généralement de l’adresse e-mail de l’utilisateur ou utilisatrice. Si un profil utilisateur dispose d’un attribut identique à celui d’un utilisateur Apple Business existant ayant le rôle Administrateur de l’organisation, aucune synchronisation n’est effectuée et le champ source reste intact.
Lorsque vous configurez la connexion initiale, vous devez utiliser l’adresse e-mail d’un profil utilisateur habilité à installer et configurer la fédération et à se connecter à un fournisseur d’identité pour qu’il puisse recevoir des notifications de la part de Google Workspace, de Microsoft Entra ID ou d’un autre fournisseur d’identité avec lequel vous vous synchronisez.
Conditions requises propres au fournisseur d’identité
Lors de la création d’un lien vers Microsoft Entra ID :
Pour utiliser OIDC avec Apple Business, votre organisation ne doit pas utiliser le même identifiant de client Microsoft Entra ID qu’une autre organisation Apple Business. Si vous souhaitez utiliser OIDC pour votre organisation, contactez votre administrateur général Microsoft Entra ID pour vous assurer qu’aucune autre organisation n’utilise votre identifiant de client Entra ID pour OIDC.
Si un compte utilisateur possède un nom principal d’utilisateur (UPN) identique à celui d’un profil utilisateur existant habilité à établir et configurer la fédération et à se connecter à un fournisseur d’identité, aucune synchronisation n’est effectuée et le champ source reste intact.
Lors de la création d’un lien vers un fournisseur d’identité autre que Google Workspace ou Microsoft Entra ID, vous devez disposer des informations suivantes :
Champ d’identifiant unique pour les utilisateurs : La valeur de cet attribut est normalement l’adresse e‑mail de l’utilisateur, qui permet de créer son compte Apple géré. Par exemple, il peut s’agir de userName.
Méthode d’authentification : SAML 2.0.
Mode d’authentification : OAuth 2.
URL d’authentification unique : Consultez la documentation de votre fournisseur d’identité.
URL de rappel d’autorisation : Consultez la documentation de votre fournisseur d’identité.
Modifications automatiques
Création de compte
Lorsque la synchronisation de répertoire est configurée, les comptes utilisateurs sont synchronisés dans Apple Business et attribués au rôle Personnel administratif. Les informations des comptes synchronisés sont ajoutées en lecture seule, mais l’attribut Rôles d’un compte utilisateur est modifiable. Cet attribut est conservé avec le compte utilisateur dans Apple Business et n’est enregistré ni dans Google Workspace, ni dans Microsoft Entra ID ni auprès de votre fournisseur d’identité.
Si l’authentification fédérée est désactivée, les comptes deviennent alors des comptes manuels, et leurs attributs (comme leur nom d’utilisateur) peuvent être modifiés.
Modification de compte
La synchronisation de répertoire surveille les modifications apportées aux attributs synchronisés et les met à jour automatiquement dans Apple Business. L’intervalle de synchronisation des modifications dépend du fournisseur d’identité.
Suppression de compte
Si un compte utilisateur est supprimé de Google Workspace, de Microsoft Entra ID ou de votre fournisseur d’identité, le compte correspondant dans Apple Business est désactivé et signalé pour suppression. Les comptes désactivés sont déconnectés des appareils et les utilisateurs ne peuvent plus y accéder. Tout compte désactivé qui n’est pas resynchronisé sous 30 jours sera automatiquement supprimé.
À propos de l’identifiant de personne
Pour identifier les comptes en conflit, lorsqu’un compte utilisateur est initialement synchronisé à l’aide d’OIDC avec Apple Business, un identifiant de personne est généré automatiquement pour ce compte utilisateur.
Si vous modifiez l’identifiant de personne dans Apple Business pour un compte utilisateur précédemment synchronisé, ce compte n’est plus associé à Google Workspace, à Microsoft Entra ID ou à votre fournisseur d’identité. Vous devrez résoudre le conflit d’identifiants de personne pour reconnecter ce compte utilisateur.