Introduction à l’authentification fédérée avec Apple Business
Présentation
L’Authentification fédérée vous permet de relier Apple Business Manager aux solutions suivantes :
Google Workspace
Service mondial Microsoft Entra ID OpenID Connect (login.microsoftonline.com).
L’intégration avec les clouds nationaux n’est actuellement pas prise en charge.
N’importe quel fournisseur d’identité avec protocole OIDC ou SCIM (Système de gestion des identités interdomaines)
Remarque : Vous pouvez créer un lien vers Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité, mais un seul à la fois.
Les utilisateurs peuvent alors se connecter à l’iPhone, à l’iPad, au Mac ou à l’Apple Vision Pro qui leur a été attribué ainsi qu’aux iPad partagés à l’aide de leur nom d’utilisateur (généralement leur adresse e-mail) et de leur mot de passe existants. Une fois connectés à l’un de ces appareils, ils peuvent également se connecter à iCloud sur le web depuis un Mac (iCloud pour Windows ne prend pas en charge les comptes Apple gérés).
Important : Lorsque la connexion expire, la fédération et la synchronisation des comptes utilisateur s’arrêtent. Vous devez vous reconnecter pour continuer à utiliser l’authentification fédérée et la synchronisation.
Voici les instances spécifiques dans lesquelles vous pourriez utiliser l’authentification fédérée :
Authentification fédérée uniquement
Lorsqu’Apple Business et Google Workspace, Microsoft Entra ID ou votre IdP sont liés, des comptes Apple gérés sont automatiquement créés pour les utilisateurs et utilisatrices, qui peuvent ensuite se connecter en utilisant leur nom d’utilisateur (généralement leur adresse e-mail) et leur mot de passe.
Consultez les sections suivantes :
Authentification fédérée avec synchronisation de répertoire
Vous pouvez également synchroniser des comptes utilisateurs depuis Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité avec Apple Business. Lorsque vous configurez une connexion de synchronisation de répertoire, vous pouvez ajouter des propriétés Apple Business (telles que des rôles) aux données de compte utilisateur importées depuis l’un de ces services. Les informations du compte utilisateur des services sont ajoutées en lecture seule jusqu’à ce que vous désactiviez la synchronisation. À ce moment-là, les comptes deviennent des comptes manuels et les attributs de ces comptes peuvent ensuite être modifiés. Si un compte utilisateur est supprimé de l’un de ces services, il peut être supprimé d’Apple Business. Consultez les sections suivantes :
Authentification fédérée avec iPad partagé
Lorsque vous utilisez l’authentification fédérée avec iPad partagé, le processus de connexion varie selon que le compte utilisateur existe déjà dans Apple Business. Pour consulter les scénarios de connexion, consultez la section Se connecter à iPad partagé.
Si l’utilisateur oublie son code d’accès, vous devrez réinitialiser le code d’accès pour l’iPad partagé.
Avant de commencer
Avant d’utiliser l’authentification fédérée avec Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité, tenez compte des informations suivantes :
Conditions requises
Cette fonctionnalité nécessite iOS 15.5, iPadOS 15.5, macOS 12.4, visionOS 1.1, ou une version ultérieure de ces systèmes d’exploitation.
Vous devez verrouiller le domaine et activer la procédure d’enregistrement. Consultez la rubrique Verrouiller un domaine.
Il n’existe aucun conflit de comptes Apple gérés. Consultez la rubrique Présentation.
Les profils utilisateurs habilités à installer et configurer la fédération et à se connecter à un IdP ne peuvent pas se connecter à l’aide de l’authentification fédérée ; ils ne peuvent que gérer le processus de fédération.
Lors de l’utilisation de l’authentification fédérée, le réglage de format de compte Apple géré par défaut ne s’applique pas.
Conditions requises propres au fournisseur d’identité
Lors de la création d’un lien vers Google Workspace :
Pour l’authentification fédérée, le nom d’utilisateur correspond à l’adresse e‑mail de cet utilisateur. Les alias ne sont pas pris en charge.
Lors de la création d’un lien vers Microsoft Entra ID :
Pour effectuer la tâche Approuver l’authentification fédérée, vous devez utiliser un compte Microsoft disposant du rôle Administrateur général Entra ID. Une fois ce compte connecté, vous pouvez remplacer le rôle Admininstrateur général qui lui est attribué par un autre disposant des privilèges nécessaires pour maintenir la connexion. Voir Quels rôles Microsoft par défaut prennent en charge les domaines, la synchronisation de répertoire et la lecture de domaines ?
L’authentification fédérée avec Microsoft Entra ID nécessite que le nom d’utilisateur principal de l’utilisateur corresponde à son adresse e‑mail. Les alias de nom d’utilisateur principal et les identifiants alternatifs ne sont pas pris en charge.
Pour la connexion avec un fournisseur d’identité, vous devez disposer des informations suivantes :
Un domaine validé que vous souhaitez utiliser. Consultez la rubrique Ajouter et valider un domaine.
Méthode de connexion : utilisez Open ID Connect (OIDC).
Accès : l’accès doit être accordé à
ssf.manageetssf.read.URL de configuration Shared Signals Framework (SSF) : Consultez la documentation de votre fournisseur d’identité.
URL de configuration OpenID : consultez la documentation de votre fournisseur d’identité.
Modifications automatiques
Le compte Apple géré des utilisateurs et utilisatrices Apple Business existants disposant d’une adresse e-mail dans le domaine fédéré est automatiquement modifié pour correspondre à cette adresse e-mail.