Introduction à l’authentification fédérée dans Apple School Manager
L’Authentification fédérée vous permet de relier Apple School Manager aux solutions suivantes :
Google Workspace
OpenID Connect (OIDC) avec Microsoft Entra ID
N’importe quel fournisseur d’identité avec protocole OIDC ou SCIM (Système de gestion des identités interdomaines)
Remarque : Vous pouvez créer un lien vers Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité, mais un seul à la fois.
Les utilisateurs peuvent alors se connecter à l’iPhone, à l’iPad, au Mac ou à l’Apple Vision Pro qui leur a été attribué ainsi qu’aux iPad partagés à l’aide de leur nom d’utilisateur (généralement leur adresse e-mail) et de leur mot de passe existants. Une fois connectés à l’un de ces appareils, ils peuvent également se connecter à iCloud sur le web depuis un Mac (iCloud pour Windows ne prend pas en charge les comptes Apple gérés).
Important : Lorsque la connexion expire, la fédération et la synchronisation des comptes utilisateur s’arrêtent. Vous devez vous reconnecter pour continuer à utiliser l’authentification fédérée et la synchronisation.
Voici les instances spécifiques dans lesquelles vous pourriez utiliser l’authentification fédérée :
Authentification fédérée uniquement
Quand Apple School Manager et Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité sont reliés, des comptes Apple gérés sont automatiquement créés pour les utilisateurs. Ils peuvent alors se connecter à l’aide de leur nom d’utilisateur (en général leur adresse e-mail) et de leur mot de passe existants.
Consultez les sections suivantes :
Authentification fédérée avec synchronisation de répertoire
Vous pouvez également synchroniser des comptes utilisateur à partir de Google Workspace, de Microsoft Entra ID ou de votre fournisseur d’identité avec Apple School Manager. Lorsque vous configurez une connexion de synchronisation de répertoire, vous pouvez ajouter des propriétés Apple School Manager (comme le niveau scolaire et les rôles) aux données de comptes utilisateur importées à partir de l’un de ces services. Les informations des comptes utilisateur des services sont ajoutées en lecture seule jusqu’à ce que vous désactiviez la synchronisation. Les comptes deviennent alors des comptes manuels et leurs attributs peuvent être modifiés. Si un compte utilisateur est supprimé de l’un de ces services, il peut être supprimé d’Apple School Manager. Consultez les sections suivantes :
Authentification fédérée avec des utilisateurs provenant d’un Système d’information pour la gestion de l’éducation (SIGE) ou avec des fichiers .csv chargés via SFTP
Si vous effectuez une intégration avec un SIGE ou importez des comptes utilisateur via SFTP, et que vous prévoyez d’utiliser l’authentification fédérée :
Commencez par activer et configurer l’authentification fédérée.
L’adresse e-mail de l’utilisateur dans le SIGE doit correspondre au nom d’utilisateur Google Workspace, Microsoft Entra ID ou du fournisseur d’identité qu’il utilise déjà pour se connecter.
Vous pouvez alors intégrer votre SIGE ou charger des fichiers .csv via SFTP. Toutes les informations, telles que les classes et les listes, sont comparées avec les utilisateurs de Google Workspace, de Microsoft Entra ID ou de votre fournisseur d’identité. Si un compte utilisateur est supprimé de Google Workspace, de Microsoft Entra ID ou de votre fournisseur d’identité, il doit être désactivé dans Apple School Manager par un compte habilité à modifier le statut des utilisateurs.
Authentification fédérée avec iPad partagé
Lorsque vous utilisez l’authentification fédérée avec la fonctionnalité iPad partagé, le processus de connexion varie selon que le compte utilisateur existe ou non dans Apple School Manager. Pour connaître les différents cas de figure de connexion, consultez la rubrique Se connecter aux iPad partagés.
Le format par défaut des mots de passe est standard (au moins 8 chiffres et lettres). Il peut être modifié. Consultez la rubrique Scénarios pour les formats de mots de passe.
Si l’utilisateur oublie son code d’accès, vous devrez réinitialiser le code d’accès pour l’iPad partagé.
Avant de commencer
Avant d’utiliser l’authentification fédérée avec Google Workspace, Microsoft Entra ID ou votre fournisseur d’identité, tenez compte des informations suivantes :
Conditions requises
Les appareils Apple doivent remplir les conditions suivantes en matière de système d’exploitation :
iOS 15.5
iPadOS 15.5
macOS 12.4
visionOS 1.1
Vous devez vous déconnecter de votre Système d’information pour la gestion de l’éducation (SIGE) ou arrêter les chargements via SFTP.
Vous devez verrouiller le domaine et activer la procédure d’enregistrement. Consultez la rubrique Verrouiller un domaine.
Il n’existe aucun conflit de comptes Apple gérés. Consultez la rubrique Conflits de comptes Apple gérés.
Les comptes utilisateur disposant du rôle Administrateur, Gestionnaire de site ou Gestionnaire de personnes ne peuvent pas se connecter à l’aide de l’authentification fédérée ; ils peuvent uniquement gérer le processus de fédération.
Lors de l’utilisation de l’authentification fédérée, le réglage de format de compte Apple géré par défaut ne s’applique pas.
Conditions requises propres au fournisseur d’identité
Lors de la création d’un lien vers Google Workspace :
Pour l’authentification fédérée, le nom d’utilisateur correspond à l’adresse e‑mail de cet utilisateur. Les alias ne sont pas pris en charge.
Lors de la création d’un lien vers Microsoft Entra ID :
Un utilisateur ayant le rôle Administrateur général Entra ID doit effectuer la tâche Approuver l’authentification fédérée ci-dessous. Vous pourrez ensuite le faire passer à un autre rôle doté des privilèges nécessaires pour maintenir la connexion. Pour plus d’informations, consultez l’article Rôles Microsoft par défaut qui prennent en charge les domaines, la synchronisation de répertoire et la lecture de domaines.
L’authentification fédérée avec Microsoft Entra ID nécessite que le nom d’utilisateur principal de l’utilisateur corresponde à son adresse e‑mail. Les alias de nom d’utilisateur principal et les identifiants alternatifs ne sont pas pris en charge.
Pour la connexion avec un fournisseur d’identité, vous devez disposer des informations suivantes :
Un domaine validé que vous souhaitez utiliser. Consultez la rubrique Ajouter et valider un domaine.
Méthode de connexion : utilisez Open ID Connect (OIDC).
Accès : l’accès doit être accordé à
ssf.manageetssf.read.URL de configuration Shared Signals Framework (SSF) : Consultez la documentation de votre fournisseur d’identité.
URL de configuration OpenID : consultez la documentation de votre fournisseur d’identité.
Modifications automatiques
Le compte Apple géré des utilisateurs Apple School Manager existants disposant d’une adresse e-mail dans le domaine fédéré est automatiquement modifié pour correspondre à cette adresse e-mail.