Utilisez l’authentification fédérée avec votre fournisseur d’identités dans Apple Business Manager
Dans Apple Business Manager, vous pouvez associer votre fournisseur d’identité (IdP) en utilisant l’authentification fédérée pour permettre aux utilisateurs de se connecter aux appareils Apple avec leur nom d’utilisateur IdP (généralement leur adresse courriel) et leur mot de passe.
Par conséquent, vos utilisateurs peuvent utiliser leurs identifiants de fournisseur d’identités comme des comptes Apple gérés. Ils peuvent ainsi utiliser ces données pour se connecter à leur iPhone, à leur iPad ou à leur Mac, et même à iCloud sur le Web.
Avant de commencer
Avant d’associer votre fournisseur d’identité, tenez compte des points suivants :
Vous devez verrouiller et activer la capture de domaine avant de pouvoir fédérer. Consultez la rubrique Verrouiller un domaine.
L’authentification fédérée doit utiliser l’adresse courriel de l’utilisateur comme nom d’utilisateur. Les alias ne sont pas pris en charge.
Pour les utilisateurs existants ayant une adresse courriel dans le domaine fédéré, leur compte Apple géré est automatiquement modifié pour correspondre à cette adresse courriel.
Configurez et vérifiez le domaine que vous souhaitez utiliser. Consultez la rubrique Ajouter et valider un domaine.
La connexion par authentification fédérée n’est pas possible pour les comptes d’utilisateur ayant un rôle d’administrateur ou de gestionnaire de comptes; ces utilisateurs peuvent uniquement gérer le processus de fédération.
Lorsque la connexion au fournisseur d’identité expire, la fédération et la synchronisation des comptes utilisateurs avec votre fournisseur d’identité s’arrête. Vous devez vous reconnecter à votre fournisseur d’identité pour continuer à utiliser la fédération et la synchronisation.
Pour l’authentification fédérée, veillez à disposer des informations suivantes :
Méthode de connexion : utiliser OpenID Connect (OIDC).
Portée de l’accès : l’accès doit être accordé à
ssf.manage
etssf.read
.URL de configuration du cadre de signaux partagés (SSF) : consultez la documentation de votre fournisseur d’identités.
URL de configuration OpenID : consultez la documentation de votre fournisseur d’identités.
Processus d’authentification fédérée
Ce processus consiste en quatre étapes principales :
Ajouter et valider un domaine.
Créer une nouvelle application ou connexion OIDC.
Configurer l’authentification fédérée et tester l’authentification avec un seul compte utilisateur IdP.
Activer l’authentification fédérée.
Étape 1 : vérifier un domaine
Avant de pouvoir afficher les comptes d’utilisateur de votre fournisseur d’identités avec Apple Business Manager, vous devez ajouter et vérifier le domaine que vous souhaitez utiliser.
Consultez la rubrique Ajouter et valider un domaine.
Ce processus de validation vous assure que votre organisation détient l’autorité pour modifier les registres du service de noms de domaines (DNS) pour votre domaine. Par exemple, pour utiliser lesacparfait.com comme domaine, vous ajoutez un enregistrement TXT précis au fichier de zone de votre serveur de noms de domaine dans les 14 jours civils suivant le début du processus de validation (qui commence dès que vous sélectionnez le bouton Valider).
Remarque : Si vous tentez de fédérer un domaine que vous avez déjà validé, mais qu’une autre organisation a déjà fédéré, vous devrez communiquer avec cette organisation pour déterminer qui a l’autorité de fédérer ce domaine. Consultez la rubrique Obtenir plus de fonctionnalités iCloud.
Étape 2 : créer une nouvelle application ou connexion OpenID Connect
Pour la connexion à Apple Business Manager, votre fournisseur d’identité doit disposer d’une app qui contient des réglages spécifiques à associer à Apple Business Manager, ou en créer une. Chaque fournisseur d’identités ayant une méthode de création d’application et un emplacement de réglages particuliers différents, consultez la documentation de votre fournisseur d’identités pour savoir comment terminer ce processus.
Connectez-vous à votre fournisseur d’identité en tant qu’administrateur, puis effectuez l’une des opérations suivantes :
Localisez l’app créée par votre fournisseur d’identité. Vous pourrez peut-être ignorer plusieurs étapes dans cette procédure.
Accédez à l’endroit où vous pouvez créer une app ou une connexion.
Créez l’application ou la connexion à l’aide des informations suivantes :
Apple Business Manager : AppleBusinessManagerOIDC.
Méthode de connexion : OpenID Connect (OIDC).
Type d’application : application Web.
Type d’octroi : jeton de rafraîchissement.
La connexion redirige l’URI : https://gsa-ws.apple.com/grandslam/GsService2/acs.
Accès : Autoriser des comptes d’utilisateurs spécifiques.
Portée de l’accès : l’accès doit être accordé à
ssf.manage
etssf.read
.
Enregistrez les modifications.
Plus loin sur cette page, vous devrez coller certaines informations dans Apple Business Manager. La tâche suivante consiste à copier ces informations dans un fichier texte ou une feuille de calcul.
Ouvrez un nouveau fichier texte ou une nouvelle feuille de calcul, puis entrez les valeurs suivantes du fournisseur d’identités :
Pour l’identifiant client OpenID Connect, collez l’identifiant client OpenID Connect.
Pour le secret client OpenID Connect, collez le secret client OpenID Connect.
Enregistrez le fichier dans un lieu sécurisé.
Étape 3 : Configurer l’authentification fédérée et tester l’authentification avec un seul compte d’utilisateur du fournisseur d’identité
Cette étape permet d’établir une relation de confiance entre votre fournisseur d’identités et Apple Business Manager.
Remarque : Une fois cette étape terminée, les utilisateurs ne peuvent plus créer de nouveaux comptes Apple personnels sur le domaine que vous avez configuré. Cela pourrait affecter d’autres services Apple auxquels vos utilisateurs ont accès. Consultez la rubrique Obtenir plus de fonctionnalités iCloud.
Dans Apple Business Manager , connectez-vous avec un compte ayant un rôle d’administrateur ou de gestionnaire de comptes.
Sélectionnez votre nom au bas de la barre latérale, puis Préférences , ensuite Comptes Apple gérés , puis Commencer sous « Connexion de l’utilisateur et synchronisation des répertoires ».
Sélectionnez Fournisseur d’identité personnalisé, puis cliquez sur Continuer.
Saisissez un nom pour votre connexion d’authentification fédérée.
Vous pouvez utiliser jusqu’à 128 caractères.
Copiez les valeurs de l’identifiant client et du secret client dans Apple Business Manager à partir du fichier texte ou de la feuille de calcul que vous avez enregistrée dans la section précédente.
Communiquez avec votre fournisseur d’identités pour obtenir les URL des deux configurations suivantes :
Cadre de signaux partagés (SSF)
OpenID
Sélectionnez Continuer.
Si toutes les valeurs que vous avez fournies sont valides, la page de connexion de votre fournisseur d’identités s’affichera. Passez à l’étape 8.
Se connecter avec un nom d’utilisateur et un mot de passe d’administrateur du fournisseur d’identité.
Sélectionnez Terminé
Étape 4 : Activer l’authentification fédérée
Dans Apple Business Manager , connectez-vous avec un compte ayant un rôle d’administrateur ou de gestionnaire de comptes.
Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences , puis sélectionnez Comptes Apple gérés .
Dans la section Domaines, sélectionnez Gérer à côté du domaine que vous souhaitez fédérer, puis sélectionnez « Activer la connexion avec votre fournisseur d’identité ».
Activez « Se connecter avec votre fournisseur d’identités ».
Si nécessaire, vous pouvez maintenant synchroniser les comptes d’utilisateurs avec Apple Business Manager. Voir Synchroniser des comptes d’utilisateur de votre fournisseur d’identités.