Utiliser l’authentification fédérée avec votre fournisseur d’identité dans Apple Business Manager
Dans Apple Business Manager, vous pouvez lier votre fournisseur d’identité pour permettre aux utilisateurs de se connecter à des appareils Apple à l’aide de leur nom d’utilisateur et de leur mot de passe de fournisseur d’identité. Par conséquent, vos utilisateurs peuvent se servir de leur nom d’utilisateur et de leur mot de passe de fournisseur d’identité en tant qu’identifiant Apple géré, et ainsi utiliser ces informations de connexion pour se connecter à l’iPhone, à l’iPad ou au Mac qui leur est attribué, et même à iCloud sur le Web.
Ce processus se déroule en quatre étapes principales :
1. Valider un domaine
2. Se connecter à votre fournisseur d’identité et créer une app ou connexion Open ID Connect (OIDC)
3. Configurer et tester l’application ou la connexion
4. Activer l’authentification fédérée
Avant de commencer
Avant de commencer, vous devez savoir si vous prévoyez de vous synchroniser avec votre fournisseur d’identité à l’aide de SCIM ou d’utiliser uniquement l’authentification fédérée. Si vous prévoyez de vous synchroniser avec votre fournisseur d’identité à l’aide de SCIM, attendez que la connexion SCIM soit établie avant d’activer l’authentification fédérée.
Si vous prévoyez d’utiliser uniquement l’authentification fédérée, utilisez les informations suivantes :
Méthode de connexion : Utilisez Open ID Connect (OIDC).
Accès : L’accès doit être accordé à
ssf.manage
etssf.read
.URL de configuration Shared Signals Framework (SSF) : Consultez la documentation de votre fournisseur d’identité.
URL de configuration OpenID : Consultez la documentation de votre fournisseur d’identité.
Étape 1 : valider un domaine
Avant de pouvoir visualiser les utilisateurs associés à votre fournisseur d’identité avec Apple Business Manager, vous devez ajouter et valider le domaine que vous souhaitez utiliser. Vous ajoutez et validez des domaines dans Apple Business Manager.
Consultez la rubrique Connexion à de nouveaux domaines.
Remarque : La procédure de validation garantit à votre organisation d’être celle qui dispose des droits de modification des enregistrements de nom de domaine (DNS) pour votre domaine. Par exemple, pour utiliser le domaine betterbag.com, vous devez ajouter un enregistrement TXT spécifique au fichier de zone de votre serveur de nom de domaine dans un délai de 14 jours calendaires à compter du début de la procédure de validation (qui démarre lorsque vous sélectionnez le bouton Valider).
Étape 2 : créer une app ou connexion OIDC
Pour se connecter à Apple Business Manager, votre fournisseur d’identité doit disposer d’une app, ou en créer une, qui comporte des réglages spécifiques. Comme chaque fournisseur d’identité a sa propre méthode pour créer une app et un emplacement où sont stockés ces réglages spécifiques, consultez la documentation de votre fournisseur d’identité pour connaître la marche à suivre.
Connectez-vous à votre fournisseur d’identité en tant qu’administrateur, puis effectuez l’une des opérations suivantes :
Localisez l’application créée par votre fournisseur d’identité. Vous pourrez peut-être ignorer plusieurs étapes de cette tâche.
Accédez à l’emplacement où vous pouvez créer une application ou une connexion.
Créez l’app ou la connexion à l’aide des informations suivantes :
Apple Business Manager : AppleBusinessManagerOIDC.
Méthode de connexion : Open ID Connect (OIDC).
Type d’app : App web.
Type d’autorisation : Jeton d’actualisation.
URI de redirections des connexions : https://gsa-ws.apple.com/grandslam/GsService2/acs.
Accès : autoriser des utilisateurs spécifiques.
Accès : L’accès doit être accordé à
ssf.manage
etssf.read
.
Enregistrez les modifications.
Plus loin sur cette page, vous devrez coller certaines informations dans Apple Business Manager. Cette prochaine étape consiste à copier ces informations dans un fichier texte ou une feuille de calcul.
Ouvrez un nouveau fichier texte ou une nouvelle feuille de calcul, puis saisissez les valeurs suivantes du fournisseur d’identité :
Pour l’identifiant client OIDC, collez l’identifiant client OIDC.
Pour le secret client OIDC, collez le secret client OIDC.
Enregistrez le fichier dans un emplacement sûr.
Étape 3 : configurer et tester la connexion
Dans Apple Business Manager , connectez‑vous avec un compte disposant du rôle Administrateur ou Gestionnaire de personnes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , puis sélectionnez Comptes .
À côté d’Authentification fédérée, sélectionnez Modifier, sélectionnez Fournisseur d’identité personnalisé, puis sélectionnez Connexion.
Saisissez un nom pour votre connexion d’authentification fédérée.
Vous pouvez saisir jusqu’à 128 caractères.
Copiez les valeurs de l’identifiant client et du secret client qui se trouvent dans le fichier texte ou la feuille de calcul que vous avez enregistré lors de l’étape précédente, puis collez‑les dans Apple Business Manager.
Contactez votre fournisseur d’identité pour obtenir les URL correspondant aux deux configurations suivantes :
Shared Signals Framework (SSF)
OpenID
Sélectionnez Continuer.
Si toutes les valeurs que vous avez fournies sont valides, la page de connexion de votre fournisseur d’identité s’affiche. Passez à l’étape 8.
Connectez‑vous à l’aide du nom d’utilisateur et du mot de passe d’un administrateur associé à votre fournisseur d’identité.
Sélectionnez Terminé.
Étape 4 : activer l’authentification fédérée
Dans Apple Business Manager , connectez‑vous avec un compte disposant du rôle Administrateur ou Gestionnaire de personnes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , puis sélectionnez Comptes .
Sélectionnez Modifier dans la section Domaines, puis sélectionnez Fédérer à côté du domaine que vous souhaitez fédérer avec votre fournisseur d’identité.
Attendez la fin du processus.