Utiliser l’authentification fédérée avec votre fournisseur d’identité dans Apple Business
Présentation
Dans Apple Business, vous pouvez créer un lien avec votre fournisseur d’identité à l’aide de l’authentification fédérée pour permettre aux utilisateurs et utilisatrices de se connecter aux appareils Apple à l’aide de leur nom d’utilisateur IdP (en général leur adresse e‑mail) et de leur mot de passe.
Par conséquent, vos utilisateurs peuvent se servir de leurs informations de connexion auprès de votre fournisseur d’identité en tant que compte Apple géré. Ils peuvent ensuite utiliser ces informations d’identification pour se connecter à l’iPhone, à l’iPad, au Mac ou à l’Apple Vision Pro qui leur est attribué, ainsi qu’aux iPad partagés. Une fois qu’ils sont connectés à l’un de ces appareils, ils peuvent se connecter à iCloud sur le Web.
Processus d’authentification fédérée
Ce processus se déroule en quatre étapes principales :
Ajouter et valider un domaine
Créer une nouvelle app ou une connexion Open ID Connect (OIDC).
Configurer l’authentification fédérée et tester l’authentification avec un seul compte utilisateur de votre fournisseur d’identité.
Activer l’authentification fédérée.
Important : Consultez les informations suivantes avant de configurer l’authentification fédérée.
Étape 1 : valider un domaine
Pour consulter les comptes utilisateurs de votre fournisseur d’identité avec Apple Business, vous devez d’abord ajouter et valider le domaine que vous souhaitez utiliser.
Consultez la rubrique Ajouter et valider un domaine.
Le processus de validation garantit que votre organisation est celle qui a autorité pour modifier les enregistrements du service de nom de domaine (DNS) pour votre domaine. Par exemple, pour utiliser melardclothing.com comme domaine, vous ajoutez un enregistrement TXT spécifique à votre serveur DNS dans les 14 jours calendaires suivant le début du processus de validation (qui commence lorsque vous sélectionnez Valider).
Remarque : Si vous tentez de fédérer un domaine que vous avez déjà validé, mais qu’une autre organisation a déjà fédéré le même domaine, vous devez contacter cette dernière afin de déterminer qui a l’autorité sur le domaine en question. Consultez la rubrique Que sont les conflits de domaines ?.
Étape 2 : créer une app ou connexion OIDC
Pour se connecter à Apple Business, votre fournisseur d’identité doit disposer d’une app, ou en créer une, qui comporte des réglages spécifiques permettant le lien avec Apple Business. Consultez la documentation de votre fournisseur d’identité pour connaître la marche à suivre, la méthode pour créer une app et l’emplacement de stockage de ces réglages sont propres à chaque fournisseur.
Connectez-vous à votre fournisseur d’identité en tant qu’administrateur, puis effectuez l’une des opérations suivantes :
Localisez l’app créée par votre fournisseur d’identité. Vous pourrez peut-être ignorer plusieurs étapes de cette tâche.
Accédez à l’emplacement où vous pouvez créer une app ou une connexion.
Créez l’app ou la connexion à l’aide des informations suivantes :
Apple Business : Apple BusinessOIDC.
Méthode de connexion : OIDC.
Type d’app : app web.
Type d’autorisation : jeton d’actualisation.
URI de redirections des connexions : https://gsa-ws.apple.com/grandslam/GsService2/acs.
Accès : autoriser des comptes utilisateur spécifiques.
Accès : l’accès doit être accordé à
ssf.manageetssf.read.
Enregistrez les modifications.
Plus loin sur cette page, vous devrez coller certaines informations dans Apple Business. La prochaine étape consiste à copier ces informations dans un fichier texte ou une feuille de calcul.
Ouvrez un nouveau fichier texte ou une nouvelle feuille de calcul, puis saisissez les valeurs suivantes du fournisseur d’identité :
Pour l’identifiant client OIDC, collez l’identifiant client OIDC.
Pour le secret client OIDC, collez le secret client OIDC.
Enregistrez le fichier dans un emplacement sûr.
Étape 3 : configurer l’authentification fédérée et tester l’authentification avec un seul compte utilisateur de votre fournisseur d’identité
La première étape consiste à établir une relation de confiance entre votre fournisseur d’identité et Apple Business.
Remarque : Une fois cette étape effectuée, les utilisateurs ne pourront pas créer de compte Apple non géré (personnel) avec le domaine que vous configurez, ce qui pourrait affecter d’autres services Apple auxquels ils accèdent. Consultez la rubrique Transférer des services Apple.
Dans Apple Business, connectez-vous avec un profil utilisateur habilité à configurer et à paramétrer la fédération, ainsi qu’à se connecter à un fournisseur d’identité (IdP).
Pour afficher les rôles et les autorisations, consultez la section Introduction aux rôles et autorisations.
Dans votre Navigateur, sélectionnez Réglages > Domaines.
Sélectionnez Fournisseur d’identité personnalisé, puis Continuer.
Saisissez un nom pour votre connexion d’authentification fédérée.
Vous pouvez saisir jusqu’à 128 caractères.
Dans Apple Business, copiez les valeurs de l’identifiant client et de la clé secrète client qui se trouvent dans le fichier texte ou la feuille de calcul que vous avez enregistrés lors de l’étape précédente.
Contactez votre fournisseur d’identité pour obtenir les URL correspondant aux deux configurations suivantes :
Shared Signals Framework (SSF)
OpenID
Sélectionnez Continuer.
Si toutes les valeurs que vous avez fournies sont valides, la page de connexion de votre fournisseur d’identité s’affiche. Passez à l’étape 8.
Connectez-vous à l’aide du nom d’utilisateur et du mot de passe d’administrateur de votre fournisseur d’identité.
Sélectionnez Terminé.
Étape 4 : Activer l’authentification fédérée
Remarque : Les profils utilisateurs habilités à installer et configurer la fédération et à se connecter à un fournisseur d’identité ne peuvent pas se connecter à l’aide de l’authentification fédérée ; ils ne peuvent que gérer le processus de fédération.
Dans Apple Business, connectez-vous avec un profil utilisateur habilité à configurer et à paramétrer la fédération, ainsi qu’à se connecter à un fournisseur d’identité (IdP).
Pour afficher les rôles et les autorisations, consultez la section Introduction aux rôles et autorisations.
Dans votre Navigateur, sélectionnez Réglages > Domaines.
Dans la section Domaines, sélectionnez Gérer à côté du domaine que vous souhaitez fédérer, puis sélectionnez « Activer la connexion avec le fournisseur d’identité ».
Activez « Se connecter avec votre fournisseur d’identité ».
Si nécessaire, vous pouvez maintenant synchroniser les comptes utilisateurs avec Apple Business. Voir Synchroniser des comptes utilisateurs à partir de votre fournisseur d’identité.