Introduction à l’authentification fédérée dans Apple School Manager
Vous utilisez l’authentification fédérée pour associer Apple School Manager à votre instance Microsoft Azure Active Directory (Azure AD). Par conséquent, vos utilisateurs peuvent se servir de leurs noms (nom d’utilisateur principal) et mots de passe Azure AD en tant qu’identifiants Apple gérés, et ainsi utiliser leurs informations de connexion Azure AD pour se connecter à l’iPad ou au Mac qui leur est attribué, et même à iCloud sur le Web. Les étudiants peuvent également s’en servir pour se connecter à leur iPad partagé.
Si vous tentez de fédérer un domaine que vous avez déjà validé, mais qu’une autre organisation a déjà fédéré un domaine identique, vous devez contacter cette organisation afin de déterminer qui a l’autorité pour fédérer ce domaine. Consultez la section À propos des conflits de domaines.
Important : L’authentification fédérée nécessite que le nom principal de l’utilisateur corresponde à son adresse e‑mail. Les alias de nom principal d’utilisateur et les identifiants alternatifs ne sont pas acceptés.
Pour utiliser l’authentification fédérée avec Apple School Manager, vos appareils Apple doivent respecter les conditions suivantes :
iOS 11.3 ou version ultérieure
iPadOS 13.1 ou version ultérieure
macOS 10.13.4 ou version ultérieure
Azure AD est le fournisseur d’identité qui authentifie l’utilisateur pour Apple School Manager et délivre les jetons d’authentification. Compte tenu de la compatibilité d’Azure AD avec Apple School Manager, les autres fournisseurs d’identité qui se connectent à Azure AD, tels que les services de fédération Active Directory (ADFS), fonctionnent eux aussi avec Apple School Manager. L’authentification fédérée utilise le standard SAML (Security Assertion Markup Language) pour connecter Apple School Manager à Azure AD.
Remarque : Les utilisateurs ne peuvent se connecter à iCloud.com que s’ils se connectent d’abord avec un identifiant Apple géré sur un autre appareil Apple.
Authentification fédérée et SCIM (System for Cross-domain Identity Management)
Pour ajouter l’app Apple School Manager Azure AD avec des locataires Microsoft, l’administrateur de ces locataires doit finaliser la configuration de l’authentification fédérée, y compris l’authentification des tests. Une fois cela effectué, l’app Apple School Manager Azure AD est renseignée dans le locataire et l’administrateur peut alors fédérer les domaines et configurer Apple School Manager pour utiliser le SCIM. Consultez la rubrique Examiner les exigences SCIM.
Voici les trois scénarios dans lesquels vous pourriez utiliser l’authentification fédérée :
Authentification fédérée uniquement
Lorsque vous établissez un lien avec Azure AD, des identifiants Apple gérés sont créés pour les utilisateurs au moment où ils se connectent avec les mêmes nom d’utilisateur et mot de passe que ceux utilisés avec les services Azure AD. Si un utilisateur est supprimé d’Azure AD, il est également supprimé d’Apple School Manager.
Authentification fédérée et iPad partagé
Lorsque vous utilisez l’authentification fédérée avec la fonctionnalité iPad partagé, le processus de connexion varie selon que l’utilisateur existe ou non dans Apple School Manager. Pour afficher les scénarios de connexion avec un iPad partagé et Apple School Manager, consultez la rubrique Vue d’ensemble d’iPad partagé.
Le format par défaut des mots de passe est standard (au moins 8 chiffres et lettres). Il peut être modifié. Consultez la page Scénarios des formats de mots de passe.
Si l’utilisateur a oublié son code d’accès, vous devez réinitialiser son code d’accès à l’iPad partagé.
Authentification fédérée avec des utilisateurs provenant d’autres sources
Dans le cadre d’une association à Azure AD, les identifiants Apple gérés sont automatiquement créés pour les utilisateurs. Ces derniers se connectent simplement en utilisant leur adresse e‑mail actuelle comme identifiant Apple géré.
Vous établissez alors un lien à votre système SIGE ou vous téléchargez les fichiers avec SFTP. Une comparaison est établie entre toutes les informations (par exemple les classes et les listes) et les utilisateurs à partir de votre service Azure AD. Si un utilisateur est supprimé d’Azure AD, il doit être désactivé dans Apple School Manager par un compte qui vous permet de modifier le statut des utilisateurs.
Important : Si vous vous connectez à un système d’information pour la gestion de l’éducation (SIGE) ou si vous importez des utilisateurs avec le protocole SFTP et que vous utilisez l’authentification fédérée, l’adresse e‑mail de l’utilisateur dans SIGE doit correspondre au nom d’utilisateur Azure AD utilisé pour se connecter.