Utilisation de l’authentification fédérée avec Google Workspace dans Apple Business
Présentation
Dans Apple Business, vous pouvez créer un lien avec Google Workspace à l’aide de l’authentification fédérée pour permettre aux utilisateurs de se connecter aux appareils Apple à l’aide de leur nom d’utilisateur (en général leur adresse e-mail) et de leur mot de passe Google Workspace.
Par conséquent, vos utilisateurs peuvent se servir de leurs informations de connexion Google Workspace en tant que compte Apple géré. Ils peuvent ensuite utiliser ces informations d’identification pour se connecter à l’iPhone, à l’iPad, au Mac ou à l’Apple Vision Pro qui leur est attribué, ainsi qu’aux iPad partagés. Une fois qu’ils sont connectés à l’un de ces appareils, ils peuvent également se connecter à iCloud sur le Web (iCloud pour Windows ne prend pas en charge les comptes Apple gérés).
Google Workspace est le fournisseur d’identité (IdP) qui authentifie l’utilisateur pour Apple Business et délivre des jetons d’authentification. Cette authentification prend en charge l’authentification par certificat et l’authentification à deux facteurs (2FA).
Remarque : Les données ne sont à aucun moment enregistrées dans Google Workspace.
Quelles données de fédération sont lues dans Google Workspace ?
Les données de fédération suivantes sont lues lorsque vous créez un lien vers Google Workspace à l’aide d’Open ID Connect (OIDC) :
Demande de consentement à l’administrateur Google | Attributs utilisés par Apple et raison | Requête ou portée de l’API |
|---|---|---|
Attributs : id_token claims :
Raison : authentification utilisateur à l’aide du protocole de Fédération OIDC | Requête API : N/A Champ d’application : openid | |
Attributs : id_token claims :
Raison : authentification utilisateur à l’aide du protocole de Fédération OIDC | Requête API : N/A Champ d’application : profil | |
Attributs : id_token claims :
Raison : authentification utilisateur à l’aide du protocole de Fédération OIDC | Requête API : N/A Champ d’application : e-mail | |
Attributs :
Raison : pour récupérer les évènements de sécurité survenus sur des comptes utilisateurs dans Google Workspace et prendre des mesures de sécurité appropriées pour les comptes concernés connectés à des appareils Apple. Lorsqu’un mot de passe est modifié ou invalidé par Google, la session du compte Apple géré prend fin et une invitation à s’authentifier de nouveau est adressée à l’utilisateur ou utilisatrice. | Requête API :
Champ d’application : https://www.googleapis.com/auth/admin.reports.audit.readonly | |
Attributs :
Raison : pour synchroniser les domaines validés de Google Workspace avec Apple Business. | Requête API : N/A Champ d’application : https://www.googleapis.com/auth/admin.directory.domaine.readonly | |
Afficher les informations sur les utilisateurs et utilisatrices de votre domaine | Attributs :
Raison : obtenir les informations sur l’utilisateur administrateur de Google Workspace pour une synchronisation de répertoire. Remarque : Ce champ d’application est également utilisé pour les attributs de synchronisation de répertoires. Voir Comment les données de fédération de Google Workspace sont-elles utilisées pour la synchronisation de répertoire ? | Requête API : N/A Champ d’application : https://www.googleapis.com/auth/admin.directory.utilisateur.readonly |
Attribut : N/A Raison : pour demander un jeton d’actualisation pendant le flux de code d’autorisation. Le jeton d’actualisation est ensuite utilisé pour demander un jeton d’accès. Le jeton d’accès permet de lire les éléments suivants :
| Requête API : access_type=offline Champ d’application : N/A |
Processus d’authentification fédérée
Ce processus se déroule en trois étapes principales :
Configurer l’authentification fédérée
Tester l’authentification fédérée sur un seul compte utilisateur Google Workspace.
Activer l’authentification fédérée.
Si vous tentez de fédérer un domaine que vous avez déjà validé, mais qu’une autre organisation a déjà fédéré le même domaine, vous devez contacter cette dernière afin de déterminer qui a l’autorité sur le domaine en question. Consultez la rubrique Que sont les conflits de domaines ?.
Important : Consultez les informations suivantes avant de configurer l’authentification fédérée.
Étape 1 : configurer l’authentification fédérée
La première étape consiste à établir une relation de confiance entre Google Workspace et Apple Business.
Remarque : Une fois cette étape effectuée, les utilisateurs ne pourront pas créer de compte Apple non géré (personnel) avec le domaine que vous configurez, ce qui pourrait affecter d’autres services Apple auxquels ils accèdent. Consultez la rubrique Transférer des services Apple.
Dans Apple Business, connectez-vous avec un profil utilisateur habilité à configurer et à paramétrer la fédération, ainsi qu’à se connecter à un fournisseur d’identité (IdP).
Pour afficher les rôles et les autorisations, consultez la section Introduction aux rôles et autorisations.
Dans votre Navigateur, sélectionnez Réglages > Domaines.
Sélectionnez Démarrer à côté de Connexion de l’utilisateur et de la synchronisation du répertoire.
Sélectionnez Google Workspace, puis Continuer.
Sélectionnez Se connecter avec Google, saisissez votre nom d’utilisateur administrateur Google Workspace, puis sélectionnez Suivant.
Saisissez le mot de passe de ce compte, puis sélectionnez Suivant.
Si nécessaire, vérifiez la liste des domaines validés automatiquement, ainsi que tout conflit de domaine.
Lisez attentivement le contrat, acceptez les conditions générales, puis vérifiez les points suivants :
Consultez les rapports d’audit de votre domaine Google Workspace.
Vérifiez les domaines associés à vos clients.
Consultez les informations sur les comptes utilisateur de votre domaine.
Sélectionnez Continuer, puis Terminé.
Dans certains cas, il se peut que vous ne puissiez pas vous connecter à votre domaine. Voici quelques‑unes des explications possibles :
Le compte d’administrateur Google Workspace n’est pas autorisé à ajouter des domaines.
Le nom d’utilisateur ou le mot de passe de l’administrateur Google Workspace est incorrect.
Vous ou un autre administrateur Google Workspace avez modifié les attributs par défaut.
Étape 2 : tester l’authentification fédérée sur un seul compte utilisateur Google Workspace
Important : Le test de l’authentification fédérée modifie également le format de votre compte Apple géré par défaut.
Vous pouvez tester la connexion d’authentification fédérée après avoir réalisé les tâches suivantes :
La vérification des conflits de noms d’utilisateur est terminée.
Le format de compte Apple géré par défaut est mis à jour.
Après avoir réussi à associer Apple Business à Google Workspace, vous pouvez modifier le rôle d’un compte utilisateur. Vous pouvez par exemple attribuer le rôle de Personnel administratif au compte utilisateur.
Remarque : Les profils utilisateurs habilités à installer et configurer la fédération et à se connecter à Google Workspace ne peuvent pas se connecter à l’aide de l’authentification fédérée ; ils ne peuvent que gérer le processus de fédération.
Dans Apple Business, connectez-vous avec un compte Google Workspace.
Si le nom d’utilisateur avec lequel vous vous êtes connecté existe, un nouvel écran indique que vous vous connectez avec un compte dans votre domaine.
Sélectionnez Continuer, saisissez le mot de passe de cet utilisateur, puis sélectionnez Se connecter.
Déconnectez-vous d’Apple Business.
Remarque : Les utilisateurs peuvent uniquement se connecter à iCloud.com depuis un Mac s’ils se connectent d’abord avec leur compte Apple géré sur un autre appareil Apple.
Dans certains cas, il se peut que vous ne puissiez pas vous connecter à votre domaine. Voici quelques‑unes des explications possibles :
Le nom d’utilisateur ou le mot de passe du domaine que vous avez choisi de fédérer est incorrect.
Le compte ne figure pas dans le domaine que vous avez choisi de fédérer.
Étape 3 : activer l’authentification fédérée
Si vous prévoyez de synchroniser Google Workspace avec Apple Business, vous devez activer l’authentification fédérée avant la synchronisation.
Dans Apple Business, connectez-vous avec un profil utilisateur habilité à configurer et à paramétrer la fédération, ainsi qu’à se connecter à un fournisseur d’identité (IdP).
Pour afficher les rôles et les autorisations, consultez la section Introduction aux rôles et autorisations.
Dans votre Navigateur, sélectionnez Réglages > Domaines.
Dans la section Domaines, sélectionnez Gérer à côté du domaine que vous souhaitez fédérer, puis sélectionnez Activer la connexion avec Google Workspace.
Activez Se connecter avec Google Workspace.
Si nécessaire, vous pouvez maintenant synchroniser les comptes utilisateurs avec Apple Business. Consultez la rubrique Synchroniser des comptes utilisateurs à partir de Google Workspace.