Introduction à l’authentification fédérée dans Apple School Manager
L’Authentification fédérée vous permet de relier Apple School Manager aux solutions suivantes :
Google Workspace
Microsoft Entra ID
Votre fournisseur d’identité
Remarque : Vous pouvez créer un lien vers Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité, mais un seul à la fois.
Les utilisateurs peuvent alors se connecter à l’iPhone, à l’iPad, au Mac ou à l’Apple Vision Pro qui leur est attribué ainsi qu’aux iPad partagés à l’aide de leur nom d’utilisateur (généralement leur adresse e-mail) et de leur mot de passe existants. Une fois qu’ils sont connectés à l’un de ces appareils, ils peuvent également se connecter à iCloud sur le Web sur un Mac (iCloud pour Windows ne prend pas en charge les comptes Apple gérés).
Important : Lorsque la connexion expire, la fédération et la synchronisation des comptes utilisateur s’arrêtent. Vous devez vous reconnecter pour continuer à utiliser l’authentification fédérée et la synchronisation.
Voici les instances spécifiques dans lesquelles vous pourriez utiliser l’authentification fédérée :
Authentification fédérée uniquement
Quand Apple School Manager et Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité sont reliés, des comptes Apple gérés sont automatiquement créés pour les utilisateurs. Ils peuvent alors se connecter à l’aide de leur nom d’utilisateur (en général leur adresse e-mail) et de leur mot de passe existants.
Consultez les sections suivantes :
Authentification fédérée avec synchronisation de répertoire
Vous pouvez également synchroniser des comptes utilisateur à partir de Google Workspace, de Microsoft Entra ID ou de votre fournisseur d’identité avec Apple School Manager. Lorsque vous configurez une connexion de synchronisation de répertoire, vous pouvez ajouter des propriétés Apple School Manager (comme le niveau scolaire et les rôles) aux données de comptes utilisateur importées à partir de l’un de ces services. Les informations des comptes utilisateur des services sont ajoutées en lecture seule jusqu’à ce que vous désactiviez la synchronisation. Les comptes deviennent alors des comptes manuels et leurs attributs peuvent être modifiés. Si un compte utilisateur est supprimé de l’un de ces services, il peut être supprimé d’Apple School Manager. Consultez les sections suivantes :
Authentification fédérée avec des utilisateurs provenant d’un Système d’information pour la gestion de l’éducation (SIGE) ou avec des fichiers chargés via SFTP
Si vous prévoyez d’utiliser l’authentification fédérée avec votre SIGE ou des fichiers CSV, vous devez d’abord configurer et activer l’authentification fédérée.
Pour créer un lien vers Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité, et établir un lien à votre SIGE ou charger des fichiers via SFTP, vous devez effectuer les opérations suivantes :
Vous pouvez alors intégrer votre SIGE ou charger des fichiers via SFTP. Toutes les informations, telles que les classes et les listes de présence, sont mises en correspondance avec les utilisateurs de Google Workspace, de Microsoft Entra ID ou de votre fournisseur d’identité. Si un compte utilisateur est supprimé de Google Workspace, de Microsoft Entra ID ou de votre fournisseur d’identité, il doit être désactivé dans Apple School Manager par un compte qui permet de modifier le statut des utilisateurs.
Important : Si vous effectuez une intégration à un Système d’information pour la gestion de l’éducation (SIGE) ou si vous importez des comptes utilisateur avec le protocole SFTP (Secure File Transfer Protocol) et que vous utilisez l’authentification fédérée, l’adresse e‑mail de l’utilisateur dans le SIGE doit correspondre au nom d’utilisateur Google Workspace, Microsoft Entra ID ou de votre fournisseur d’identité utilisé pour se connecter.
Authentification fédérée avec iPad partagé
Lorsque vous utilisez l’authentification fédérée avec la fonctionnalité iPad partagé, le processus de connexion varie selon que le compte utilisateur existe ou non dans Apple School Manager. Pour connaître les différents cas de figure de connexion, consultez la rubrique Se connecter aux iPad partagés.
Le format par défaut des mots de passe est standard (au moins 8 chiffres et lettres). Il peut être modifié. Consultez la rubrique Scénarios pour les formats de mots de passe.
Si l’utilisateur a oublié son code d’accès, vous devez réinitialiser le code d’accès à l’iPad partagé.
Avant de commencer
Avant d’utiliser l’authentification fédérée avec Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité, tenez compte des informations suivantes :
Conditions requises
Les appareils Apple remplir les conditions suivantes en matière de système d’exploitation :
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Vous devez vous déconnecter de votre Système d’information pour la gestion de l’éducation (SIGE) ou arrêter les chargements via SFTP.
Vous devez verrouiller le domaine et activer la procédure d’enregistrement du domaine. Consultez la rubrique Verrouiller un domaine.
Il n’existe aucun conflit de comptes Apple gérés. Consultez la rubrique Conflits de comptes Apple gérés.
Les comptes utilisateur disposant du rôle Administrateur, Gestionnaire de site ou Gestionnaire de personnes ne peuvent pas se connecter à l’aide de l’authentification fédérée ; ils peuvent uniquement gérer le processus de fédération.
Lors de l’utilisation de l’authentification fédérée, le réglage de format de compte Apple géré par défaut ne s’applique pas.
Conditions requises propres au fournisseur d’identité
Lors de la création d’un lien vers Google Workspace :
L’authentification fédérée doit utiliser l’adresse e‑mail de l’utilisateur comme nom d’utilisateur. Les alias ne sont pas pris en charge.
Lors de la création d’un lien vers Microsoft Entra ID :
Un utilisateur ayant le rôle Administrateur général Entra ID doit effectuer la tâche Approuver l’authentification fédérée ci-dessous. Une fois la connexion établie, vous pouvez changer le rôle de l’utilisateur et le faire passer d’Administrateur général à un autre rôle doté des privilèges nécessaires pour qu’il reste connecté. Pour plus d’informations, consultez la section Rôles Microsoft par défaut qui prennent en charge les domaines, la synchronisation de répertoire et la lecture de domaines.
L’authentification fédérée avec Microsoft Entra ID nécessite que le nom d’utilisateur principal de l’utilisateur corresponde à son adresse e‑mail. Les alias de nom d’utilisateur principal et les identifiants alternatifs ne sont pas pris en charge.
Lors de la création d’un lien vers un fournisseur d’identité, vous devez disposer des informations suivantes :
Un domaine validé que vous souhaitez utiliser. Consultez la rubrique Ajouter et valider un domaine.
Méthode de connexion : utilisez Open ID Connect (OIDC).
Accès : l’accès doit être accordé à
ssf.manageetssf.read.URL de configuration Shared Signals Framework (SSF) : Consultez la documentation de votre fournisseur d’identité.
URL de configuration OpenID : consultez la documentation de votre fournisseur d’identité.
Modifications automatiques
Le compte Apple géré des utilisateurs Apple School Manager existants disposant d’une adresse e-mail dans le domaine fédéré est automatiquement modifié pour correspondre à cette adresse e-mail.