Synchroniser des utilisateurs de votre fournisseur d’identité dans Apple School Manager
Dans Apple School Manager, vous pouvez utiliser System for Cross‑domain Identity Management (SCIM) pour synchroniser des utilisateurs de votre fournisseur d’identité. Lorsque vous synchronisez des utilisateurs à l’aide de SCIM, les informations de leurs comptes sont ajoutées en lecture seule jusqu’à ce que vous vous déconnectiez. Les comptes deviennent alors des comptes manuels, et leurs attributs (comme leur nom d’utilisateur) peuvent être modifiés. La synchronisation initiale est plus longue que les cycles de synchronisation ultérieurs. Consultez la documentation de votre fournisseur d’identité pour savoir à quelle fréquence celui‑ci synchronise les utilisateurs avec Apple School Manager.
Avant de commencer
Avant de commencer à créer une connexion SCIM, vous devez avoir déjà réussi à vous connecter à l’aide de l’authentification fédérée. Consultez la rubrique Utiliser l’authentification fédérée avec votre fournisseur d’identité. Contactez ensuite votre fournisseur d’identité et assurez‑vous que vous disposez des informations suivantes :
Champ d’identifiant unique pour les utilisateurs : La valeur de cet attribut est normalement l’adresse e‑mail de l’utilisateur, qui permet de créer son identifiant Apple géré. Par exemple, il peut s’agir de userName.
Méthode d’authentication : SAML 2.0.
Mode d’authentification : OAuth 2.
URL d’authentification unique : Consultez la documentation de votre fournisseur d’identité.
URL de rappel d’autorisation : Consultez la documentation de votre fournisseur d’identité.
SCIM et authentification fédérée
L’authentification fédérée est disponible et peut déjà être activée. Si elle est activée, quand les comptes du fournisseur d’identité seront envoyés à Apple School Manager, vous ne verrez pas d’activité, mais les comptes se synchroniseront quand même depuis le domaine fédéré.
Comptes utilisateur de fournisseur d’identité et Apple School Manager
Lorsqu’un utilisateur est copié de votre fournisseur d’identité vers Apple School Manager à l’aide de SCIM, le rôle Étudiant est attribué par défaut.
Attribut de connexion
Apple School Manager exige que l’attribut utilisé pour l’identifiant Apple géré soit unique. Il s’agit normalement de l’adresse e‑mail de l’utilisateur. Si un utilisateur possède un attribut qui est exactement le même que celui d’un utilisateur d’Apple School Manager existant ayant le rôle Administrateur, aucune synchronisation n’est effectuée et le champ source reste inchangé.
Identifiant de la personne
Lorsqu’un utilisateur de fournisseur d’identité est synchronisé avec Apple School Manager, un identifiant de personne est créé pour le compte utilisateur Apple School Manager. Cet identifiant permet d’identifier les comptes utilisateur en conflit. En outre, l’identifiant de personne est automatiquement généré pour les utilisateurs importés à l’aide de SCIM ou de l’intégration d’un système SIGE. Toutefois, cet identifiant n’est pas automatiquement généré pour les utilisateurs importés à l’aide du protocole SFTP.
Si SCIM est déconnecté et que des comptes utilisateur sont à nouveau chargés à l’aide du protocole SFTP, d’autres comptes utilisateur seront créés, sauf si l’identifiant de personne présent dans le fichier de chargement SFTP correspond à l’identifiant de personne qui a été attribué par SCIM. Consultez la section Importer des comptes à l’aide du protocole SFTP.
Points importants à prendre en compte si vous modifiez l’identifiant de personne :
Si vous modifiez l’identifiant de personne d’un compte ayant été précédemment importé de SCIM, ce dernier ne sera plus associé au fournisseur d’identité.
Si vous modifiez l’identifiant de personne d’un compte ayant été précédemment importé de SCIM et que vous souhaitez reconnecter ce compte, vous devez résoudre le conflit d’utilisateurs.
Connectez-vous à votre fournisseur d’identité
Connectez-vous à votre fournisseur d’identité en tant qu’administrateur, puis effectuez l’une des opérations suivantes :
Localisez l’application créée par votre fournisseur d’identité. Vous pourrez peut-être ignorer plusieurs étapes de cette tâche.
Accédez à l’emplacement où vous pouvez créer une application ou une connexion.
Créez l’app à l’aide des informations suivantes :
Important : Gardez bien le nom de l’app SCIM en mémoire, car vous pourriez en avoir besoin pour l’URL de rappel d’autorisation.
Apple School Manager : Utilisez AppleSchoolManagerSCIM.
Type d’app : Utilisez SCIM.
Méthode d’authentification : Utilisez SAML 2.0.
URL d’authentification unique utilisée pour le destinataire et la destination : Consultez la documentation de votre fournisseur d’identité.
URI d’audience : Utilisez l’identifiant d’entité.
Enregistrez les modifications.
Configurer les réglages de mise en service de l’app SCIM
Accédez à la section de mise en service de l’app SCIM associée à votre fournisseur d’identité, puis entrez les valeurs suivantes :
URL de base du connecteur SCIM : https://federation.apple.com/feeds/school/scim
URI du jeton d’accès : https://appleid.apple.com/auth/oauth2/v2/token
URI d’autorisation : https://appleid.apple.com/auth/oauth2/v2/authorize
Identifiant client : 123
Secret client : 123
Important : Comme vous ne connaissez pas encore l’identifiant client et le secret client, 123 est utilisé comme espace réservé. Vous remplacerez ces valeurs lors d’une étape ultérieure.
Mode d’authentification : OAuth 2.
Champ d’identifiant unique pour les utilisateurs : Consultez la documentation de votre fournisseur d’identité.
Important : Veillez à respecter la casse de l’identifiant.
Actions prises en charge pour la mise en service :
Importer de nouveaux utilisateurs et des mises à jour de profil
Envoyer de nouveaux utilisateurs
Envoyer des mises à jour de profil
Enregistrez les modifications.
Créer l’URL de rappel d’autorisation
Vous devez créer une URL de rappel d’autorisation pour qu’Apple School Manager puisse récupérer les enregistrements utilisateur auprès de votre fournisseur d’identité à l’aide de SCIM. Cette URL de rappel s’appuie sur le nom de l’app SCIM que vous avez créée dans votre fournisseur d’identité.
Gardez bien le nom de votre app SCIM en mémoire. Par exemple :
Apple School Manager : AppleSchoolManagerSCIM
Collez le nom de l’app dans l’URL suivante. Par exemple :
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Enregistrez l’URL de rappel d’autorisation.
Vous la collerez dans Apple School Manager lors de la prochaine étape.
Créer et copier les informations client SCIM pour les coller dans votre fournisseur d’identité
Dans Apple School Manager , connectez‑vous avec un compte disposant du rôle Administrateur, Gestionnaire de site ou Gestionnaire de personnes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , puis sélectionnez Synchronisation de répertoire .
Sélectionnez Activer à côté de Synchronisation personnalisée.
Collez l’URL de rappel d’autorisation de l’étape précédente, puis sélectionnez Créer.
Sélectionnez Application SCIM, puis sélectionnez Créer.
Ouvrez un nouveau fichier texte ou une nouvelle feuille de calcul, puis saisissez les valeurs suivantes provenant d’Apple School Manager :
Pour l’identifiant client OIDC, collez l’identifiant client SCIM.
Pour le secret client OIDC, collez le secret client SCIM.
Sélectionnez Copier à côté d’Identifiant client, puis collez l’identifiant client dans le fichier.
Sélectionnez Secret client, choisissez la durée pendant laquelle le secret doit rester actif avant d’expirer (6, 9 ou 12 mois), puis collez le secret client dans le fichier.
Important : Si vous supprimez ou oubliez le secret client avant de le coller dans l’app SCIM associée à votre fournisseur d’identité, vous devrez créer un autre secret client.
Sélectionnez Terminé.
Coller l’identifiant client et le secret client dans l’app SCIM associée à votre fournisseur d’identité et valider la connexion
Revenez à la section de mise en service de l’app SCIM associée à votre fournisseur d’identité, puis collez‑y les valeurs suivantes :
Identifiant client SCIM d’Apple School Manager
Secret client SCIM d’Apple School Manager
Enregistrez les modifications.
Si votre fournisseur d’identité vous permet de tester l’authentification à l’aide d’un compte administrateur associé à celui‑ci, vous pouvez le faire dès à présent. Par exemple, vous verrez peut‑être un bouton « S’authentifier avec [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM] » (ou tout autre nom que vous avez donné à votre app SCIM).
Saisissez le nom et le mot de passe de l’administrateur associé à votre fournisseur d’identité, puis la valeur de l’authentification à deux facteurs.
Lisez attentivement toutes les informations relatives à l’autorisation. Si vous acceptez, sélectionnez Continuer.
Si nécessaire, vous pouvez maintenant activer l’authentification fédérée pour ce domaine.
Votre fournisseur d’identité et Apple School Manager sont maintenant configurés de sorte que des changements d’attributs utilisateur spécifiques apportés dans votre fournisseur d’identité soient synchronisés avec Apple School Manager.