Utiliser l’authentification fédérée avec votre fournisseur d’identité dans Apple School Manager
Dans Apple School Manager, vous pouvez créer un lien avec votre fournisseur d’identité à l’aide de l’authentification fédérée pour permettre aux utilisateurs de se connecter aux appareils Apple à l’aide de leur nom d’utilisateur (en général leur adresse e-mail) et de leur mot de passe utilisés auprès de votre fournisseur d’identité.
Par conséquent, vos utilisateurs peuvent se servir de leurs informations de connexion auprès de votre fournisseur d’identité en tant que compte Apple géré, et ainsi utiliser ces informations de connexion pour se connecter à l’iPhone, à l’iPad ou au Mac qui leur est attribué, et même à iCloud sur le Web.
Avant de commencer
Avant de créer un lien avec votre fournisseur d’identité, tenez compte des informations suivantes :
Vous devez verrouiller le domaine et activer son enregistrement avant de pouvoir le fédérer. Consultez la rubrique Verrouiller un domaine.
L’authentification fédérée doit utiliser l’adresse e-mail de l’utilisateur comme nom d’utilisateur. Les alias ne sont pas pris en charge.
Le compte Apple géré des utilisateurs existants disposant d’une adresse e-mail dans le domaine fédéré est automatiquement modifié pour correspondre à cette adresse e-mail.
Configurez et validez le domaine que vous souhaitez utiliser. Consultez la rubrique Ajouter et valider un domaine.
Déconnectez-vous de votre Système d’information pour la gestion de l’éducation (SIGE) ou arrêtez les chargements à l’aide du protocole SFTP.
Les comptes utilisateur disposant du rôle d’administrateur, de gestionnaire de site ou de gestionnaire de personnes ne peuvent pas se connecter à l’aide de l’authentification fédérée ; ils peuvent uniquement gérer le processus de fédération.
Lorsque la connexion à votre fournisseur d’identité expire, la fédération et la synchronisation de comptes utilisateur avec votre fournisseur d’identité s’arrêtent. Vous devez vous reconnecter à votre fournisseur d’identité pour continuer à utiliser la fédération et la synchronisation.
Pour l’authentification fédérée, utilisez les informations suivantes :
Méthode de connexion : Utilisez Open ID Connect (OIDC).
Accès : L’accès doit être accordé à
ssf.manage
etssf.read
.URL de configuration Shared Signals Framework (SSF) : Consultez la documentation de votre fournisseur d’identité.
URL de configuration OpenID : Consultez la documentation de votre fournisseur d’identité.
Processus d’authentification fédérée
Ce processus se déroule en quatre étapes principales :
Ajouter et valider un domaine
Créer une app ou une connexion OIDC
Configurer l’authentification fédérée et tester l’authentification avec un seul compte utilisateur de votre fournisseur d’identité
Activer l’authentification fédérée.
Étape 1 : valider un domaine
Avant de pouvoir visualiser les comptes utilisateur associés à votre fournisseur d’identité avec Apple School Manager, vous devez ajouter et valider le domaine que vous souhaitez utiliser.
Consultez la rubrique Ajouter et valider un domaine.
La procédure de validation garantit à votre organisation d’être celle qui dispose des droits de modification des enregistrements de nom de domaine (DNS) pour votre domaine. Par exemple, pour utiliser le domaine ecole.org, vous devez ajouter un enregistrement TXT spécifique au fichier de zone de votre serveur de nom de domaine dans un délai de 14 jours calendaires à compter du début de la procédure de validation (qui démarre lorsque vous sélectionnez le bouton Valider).
Remarque : Si vous tentez de fédérer un domaine que vous avez déjà validé, mais qu’une autre organisation a déjà fédéré un domaine identique, vous devez contacter cette organisation afin de déterminer qui a l’autorité pour fédérer ce domaine. Consultez la rubrique Conflits de domaine.
Étape 2 : créer une app ou connexion OIDC
Pour se connecter à Apple School Manager, votre fournisseur d’identité doit disposer d’une app, ou en créer une, qui comporte des réglages spécifiques. Comme chaque fournisseur d’identité a sa propre méthode pour créer une app et un emplacement où sont stockés ces réglages spécifiques, consultez la documentation de votre fournisseur d’identité pour connaître la marche à suivre.
Connectez-vous à votre fournisseur d’identité en tant qu’administrateur, puis effectuez l’une des opérations suivantes :
Localisez l’application créée par votre fournisseur d’identité. Vous pourrez peut-être ignorer plusieurs étapes de cette tâche.
Accédez à l’emplacement où vous pouvez créer une application ou une connexion.
Créez l’app ou la connexion à l’aide des informations suivantes :
Apple School Manager : AppleSchoolManagerOIDC.
Méthode de connexion : Open ID Connect (OIDC).
Type d’app : App web.
Type d’autorisation : Jeton d’actualisation.
URI de redirections des connexions : https://gsa-ws.apple.com/grandslam/GsService2/acs.
Accès : Autorisez des comptes utilisateur spécifiques.
Accès : L’accès doit être accordé à
ssf.manage
etssf.read
.
Enregistrez les modifications.
Plus loin sur cette page, vous devrez coller certaines informations dans Apple School Manager. Cette prochaine étape consiste à copier ces informations dans un fichier texte ou une feuille de calcul.
Ouvrez un nouveau fichier texte ou une nouvelle feuille de calcul, puis saisissez les valeurs suivantes du fournisseur d’identité :
Pour l’identifiant client OIDC, collez l’identifiant client OIDC.
Pour le secret client OIDC, collez le secret client OIDC.
Enregistrez le fichier dans un emplacement sûr.
Étape 3 : Configurer l’authentification fédérée et tester l’authentification avec un seul compte utilisateur de votre fournisseur d’identité
La première étape consiste à établir une relation de confiance entre votre fournisseur d’identité et Apple School Manager.
Remarque : Une fois cette étape effectuée, les utilisateurs ne peuvent pas créer de compte Apple personnel dans le domaine que vous configurez. Cela pourrait affecter d’autres services Apple auxquels vos utilisateurs accèdent. Consultez la rubrique Transférer des services Apple pendant la fédération.
Dans Apple School Manager , connectez‑vous avec un compte disposant du rôle Administrateur, Gestionnaire de site ou Gestionnaire de personnes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , Comptes Apple gérés , puis Démarrer sous « Connexion de l’utilisateur et synchronisation du répertoire ».
Sélectionnez Fournisseur d’identité personnalisé, puis Continuer.
Saisissez un nom pour votre connexion d’authentification fédérée.
Vous pouvez saisir jusqu’à 128 caractères.
Copiez les valeurs de l’identifiant client et du secret client qui se trouvent dans la feuille de calcul ou le fichier texte que vous avez enregistré(e) lors de l’étape précédente, puis collez‑les dans Apple School Manager.
Contactez votre fournisseur d’identité pour obtenir les URL correspondant aux deux configurations suivantes :
Shared Signals Framework (SSF)
OpenID
Sélectionnez Continuer.
Si toutes les valeurs que vous avez fournies sont valides, la page de connexion de votre fournisseur d’identité s’affiche. Passez à l’étape 8.
Connectez-vous à l’aide du nom d’utilisateur et du mot de passe d’un administrateur de votre fournisseur d’identité.
Sélectionnez Terminé.
Étape 4 : Activer l’authentification fédérée
Dans Apple School Manager , connectez‑vous avec un compte disposant du rôle Administrateur, Gestionnaire de site ou Gestionnaire de personnes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , puis Comptes Apple gérés .
Dans la section Domaines, sélectionnez Gérer à côté du domaine que vous souhaitez fédérer, puis sélectionnez « Activer la connexion avec le fournisseur d’identité ».
Activez « Se connecter avec votre fournisseur d’identité ».
Si nécessaire, vous pouvez désormais synchroniser des comptes utilisateur avec Apple School Manager. Consultez la rubrique Synchroniser des comptes utilisateur à partir de votre fournisseur d’identité.