Synchroniser les comptes utilisateurs de votre fournisseur d’identité dans Apple Business
Dans Apple Business, vous pouvez utiliser OpenID Connect (OIDC) ou le système de gestion des identités entre domaines (SCIM) pour synchroniser les comptes utilisateurs provenant de votre fournisseur d’identité (IdP). En utilisant ce système, vous pouvez fusionner des propriétés Apple Business (telles que les rôles) avec des données de compte utilisateur importées depuis votre IdP. Lorsque vous utilisez SCIM pour synchroniser des profils utilisateurs, les informations du compte sont ajoutées en lecture seule jusqu’à ce que vous vous déconnectiez. Les comptes se transforment alors en comptes manuels et les attributs de ces comptes (comme les noms d’utilisateur) peuvent ensuite être modifiés. La synchronisation initiale prend plus de temps que les cycles suivants. Consultez la documentation de votre fournisseur d’identité pour savoir à quelle fréquence il synchronise les profils utilisateurs avec Apple Business.
Important : Vous disposez de quatre jours calendaires pour effectuer le transfert de jeton vers votre fournisseur d’identité et établir une connexion. Au-delà, vous devrez recommencer le processus. Ces jetons expirent en tant que contrôle de sécurité pour éviter que les informations d’identification inutilisées ne persistent indéfiniment.
Se connecter à un fournisseur d’identité
Connectez-vous à votre fournisseur d’identité en tant qu’administrateur, puis effectuez l’une des opérations suivantes :
Localisez l’app créée par votre fournisseur d’identité. Vous pourrez peut-être ignorer plusieurs étapes de cette tâche.
Accédez à l’emplacement où vous pouvez créer une app ou une connexion.
Créez l’app à l’aide des informations suivantes :
Important : Gardez bien le nom de l’app SCIM en mémoire, car vous pourriez en avoir besoin pour l’URL de rappel d’autorisation.
Apple Business : utilisez Apple BusinessSCIM.
Type d’app : SCIM.
Méthode d’authentification : SAML 2.0.
URL d’authentification unique utilisée pour le destinataire et la destination : Consultez la documentation de votre fournisseur d’identité.
URI d’audience : Identifiant d’entité.
Enregistrez les modifications.
Configurer les réglages de mise en service de l’app SCIM
Accédez à la section de mise en service de l’app SCIM associée à votre fournisseur d’identité, puis entrez les valeurs suivantes :
URL de base du connecteur SCIM : https://federation.apple.com/feeds/business/scim
URI du jeton d’accès : https://appleaccount.apple.com/auth/oauth2/v2/token
URI d’autorisation : https://appleaccount.apple.com/auth/oauth2/v2/authorize
Identifiant client : 123
Secret client : 123
Important : Comme vous ne connaissez pas encore l’identifiant client et le secret client, 123 est utilisé comme espace réservé. Vous remplacerez ces valeurs lors d’une étape ultérieure.
Mode d’authentification : OAuth 2.
Champ d’identifiant unique pour les utilisateurs : Consultez la documentation de votre fournisseur d’identité.
Important : Veillez à respecter la casse de l’identifiant.
Actions prises en charge pour la mise en service :
Importer de nouveaux utilisateurs et des mises à jour de profil
Envoyer de nouveaux utilisateurs
Envoyer des mises à jour de profil
Enregistrez les modifications.
Créer l’URL de rappel d’autorisation
Vous devez créer une URL de rappel autorisée pour qu’Apple Business puisse récupérer les enregistrements utilisateurs auprès de votre fournisseur d’identité à l’aide de SCIM. Cette URL de rappel s’appuie sur le nom de l’app SCIM que vous avez créée dans votre fournisseur d’identité.
Gardez bien le nom de votre app SCIM en mémoire. Par exemple :
Apple Business : Apple Business SCIM
Collez le nom de l’app dans l’URL suivante. Par exemple :
https://identity-provider.com/admin/app/AppleBusinessManagerSCIM/oauth/callback
Enregistrez l’URL de rappel d’autorisation.
Vous la collerez dans Apple Business lors de la prochaine étape.
Créer et copier les informations client SCIM pour les coller dans votre fournisseur d’identité
Dans Apple Business, connectez-vous avec un profil utilisateur habilité à configurer et à paramétrer la fédération, ainsi qu’à se connecter à un fournisseur d’identité (IdP).
Pour afficher les rôles et les autorisations, consultez la section Introduction aux rôles et autorisations.
Dans votre Navigateur, sélectionnez Réglages > Domaines.
Sous Synchronisation de répertoire, sélectionnez Configurer à côté du domaine que vous souhaitez synchroniser avec Apple Business.
Sélectionnez Activer à côté de Synchronisation personnalisée.
Collez l’URL de rappel d’autorisation de l’étape précédente, puis sélectionnez Créer.
Sélectionnez Application SCIM, puis sélectionnez Créer.
Ouvrez un nouveau fichier texte ou une nouvelle feuille de calcul, puis saisissez les valeurs suivantes provenant d’Apple Business :
Pour l’identifiant client OIDC, collez l’identifiant client SCIM.
Pour le secret client OIDC, collez le secret client SCIM.
Sélectionnez Copier à côté d’Identifiant client, puis collez l’identifiant client dans le fichier.
Sélectionnez Secret client, choisissez la durée de validité du secret (6, 9 ou 12 mois), puis collez-le dans le fichier.
Important : Si vous supprimez ou oubliez le secret client avant de le coller dans l’app SCIM de votre fournisseur d’identité, vous devrez en créer un autre.
Sélectionnez Terminé.
Coller l’identifiant client et le secret client dans l’app SCIM associée à votre fournisseur d’identité et valider la connexion
Revenez à la section de mise en service de l’app SCIM associée à votre fournisseur d’identité, puis collez‑y les valeurs suivantes :
Identifiant client Apple Business SCIM
Clé secrète client Apple Business SCIM
Enregistrez les modifications.
Si votre IdP vous permet de tester l’authentification à l’aide d’un compte administrateur IdP, vous pouvez le tester maintenant.
Par exemple, il peut s’agir d’un bouton « S’authentifier avec [Apple BusinessSCIM] » ou du nom de votre app SCIM.
Saisissez le nom et le mot de passe de l’administrateur associé à votre fournisseur d’identité, puis la valeur de l’authentification à deux facteurs.
Lisez attentivement toutes les informations relatives à l’autorisation. Si vous acceptez, sélectionnez Continuer.
Si nécessaire, vous pouvez maintenant activer l’authentification fédérée pour ce domaine.
Votre fournisseur d’identité et Apple Business sont maintenant configurés pour synchroniser tous les changements d’attributs utilisateur spécifiques apportés dans votre fournisseur d’identité avec Apple Business.