Synchroniser des comptes utilisateur de votre fournisseur d’identité avec Apple School Manager
Dans Apple School Manager, vous pouvez utiliser OIDC (OpenID Connect) ou SCIM (System for Cross‑domain Identity Management) pour synchroniser des comptes utilisateur de votre fournisseur d’identité. Dans ce cas, vous fusionnez les propriétés Apple School Manager (comme le niveau scolaire et les rôles) avec les données de comptes d’utilisateur importées depuis votre fournisseur d’identité. Lorsque vous synchronisez des utilisateurs à l’aide de SCIM, les informations de leurs comptes sont ajoutées en lecture seule jusqu’à ce que vous vous déconnectiez. Les comptes deviennent alors des comptes manuels, et leurs attributs (comme leur nom d’utilisateur) peuvent être modifiés. La synchronisation initiale est plus longue que les cycles de synchronisation ultérieurs. Consultez la documentation de votre fournisseur d’identité pour savoir à quelle fréquence celui‑ci synchronise les utilisateurs avec Apple School Manager.
Important : Vous ne disposez que de 4 jours calendaires pour effectuer le transfert de jeton vers votre fournisseur d’identité et établir une connexion, sinon vous devrez recommencer le processus.
Avant de commencer
Avant d’effectuer la synchronisation avec votre fournisseur d’identité à l’aide d’une connexion OIDC, vous devez effectuer les opérations suivantes :
Configurez et validez le domaine que vous souhaitez utiliser. Consultez la rubrique Connexion à de nouveaux domaines.
Déconnectez-vous de votre Système d’information pour la gestion de l’éducation (SIGE) ou arrêtez les chargements à l’aide du protocole SFTP.
Configurez, fédérez et activez un domaine. Consultez la rubrique Utiliser l’authentification fédérée avec votre fournisseur d’identité.
Demandez à un administrateur de votre fournisseur d’identité disposant des autorisations nécessaires de modifier les paramètres.
Assurez-vous de disposer des informations suivantes, puis contactez votre fournisseur d’identité :
Champ d’identifiant unique pour les utilisateurs : La valeur de cet attribut est normalement l’adresse e‑mail de l’utilisateur, qui permet de créer son identifiant Apple géré. Par exemple, il peut s’agir de userName.
Méthode d’authentification : SAML 2.0.
Mode d’authentification : OAuth 2.
URL d’authentification unique : Consultez la documentation de votre fournisseur d’identité.
URL de rappel d’autorisation : Consultez la documentation de votre fournisseur d’identité.
Comptes utilisateur de fournisseur d’identité et Apple School Manager
Lorsqu’un utilisateur est copié de votre fournisseur d’identité vers Apple School Manager à l’aide de SCIM, le rôle Étudiant est attribué par défaut.
Remarque : Les groupes d’utilisateurs de votre fournisseur d’identité ne sont pas synchronisés avec Apple School Manager.
Attribut de connexion
Apple School Manager exige que l’attribut utilisé pour l’identifiant Apple géré soit unique. Il s’agit normalement de l’adresse e‑mail de l’utilisateur. Si un utilisateur possède un attribut qui est exactement le même que celui d’un utilisateur d’Apple School Manager existant ayant le rôle Administrateur, aucune synchronisation n’est effectuée et le champ source reste inchangé.
Identifiant de la personne
Lorsqu’un compte utilisateur de votre fournisseur d’identité est synchronisé avec Apple School Manager, un identifiant de personne est créé pour le compte utilisateur Apple School Manager. Cet identifiant permet d’identifier les comptes utilisateur en conflit. En outre, l’identifiant de personne est automatiquement généré pour les utilisateurs importés à l’aide de SCIM ou de l’intégration d’un système SIGE. Toutefois, cet identifiant n’est pas automatiquement généré pour les utilisateurs importés à l’aide du protocole SFTP.
Si SCIM est déconnecté et que des comptes utilisateur sont à nouveau chargés à l’aide du protocole SFTP, d’autres comptes utilisateur seront créés, sauf si l’identifiant de personne présent dans le fichier de chargement SFTP correspond à l’identifiant de personne qui a été attribué par SCIM. Consultez la rubrique Charger les données d’un Système d’information pour la gestion de l’éducation dans Apple School Manager.
Points importants à prendre en compte si vous modifiez l’identifiant de personne :
Si vous modifiez l’identifiant de personne d’un compte utilisateur précédemment importé depuis votre fournisseur d’identité, ce dernier ne sera plus associé à votre fournisseur d’identité.
Si vous modifiez l’identifiant de personne d’un compte utilisateur précédemment importé de votre fournisseur d’identité et que vous souhaitez reconnecter ce dernier, vous devez résoudre le conflit.
Connectez-vous à votre fournisseur d’identité
Connectez-vous à votre fournisseur d’identité en tant qu’administrateur, puis effectuez l’une des opérations suivantes :
Localisez l’application créée par votre fournisseur d’identité. Vous pourrez peut-être ignorer plusieurs étapes de cette tâche.
Accédez à l’emplacement où vous pouvez créer une application ou une connexion.
Créez l’app à l’aide des informations suivantes :
Important : Gardez bien le nom de l’app SCIM en mémoire, car vous pourriez en avoir besoin pour l’URL de rappel d’autorisation.
Apple School Manager : Utilisez AppleSchoolManagerSCIM.
Type d’app : Utilisez SCIM.
Méthode d’authentification : Utilisez SAML 2.0.
URL d’authentification unique utilisée pour le destinataire et la destination : Consultez la documentation de votre fournisseur d’identité.
URI d’audience : Utilisez l’identifiant d’entité.
Enregistrez les modifications.
Configurer les réglages de mise en service de l’app SCIM
Accédez à la section de mise en service de l’app SCIM associée à votre fournisseur d’identité, puis entrez les valeurs suivantes :
URL de base du connecteur SCIM : https://federation.apple.com/feeds/school/scim
URI du jeton d’accès : https://appleid.apple.com/auth/oauth2/v2/token
URI d’autorisation : https://appleid.apple.com/auth/oauth2/v2/authorize
Identifiant client : 123
Secret client : 123
Important : Comme vous ne connaissez pas encore l’identifiant client et le secret client, 123 est utilisé comme espace réservé. Vous remplacerez ces valeurs lors d’une étape ultérieure.
Mode d’authentification : OAuth 2.
Champ d’identifiant unique pour les utilisateurs : Consultez la documentation de votre fournisseur d’identité.
Important : Veillez à respecter la casse de l’identifiant.
Actions prises en charge pour la mise en service :
Importer de nouveaux utilisateurs et des mises à jour de profil
Envoyer de nouveaux utilisateurs
Envoyer des mises à jour de profil
Enregistrez les modifications.
Créer l’URL de rappel d’autorisation
Vous devez créer une URL de rappel d’autorisation pour qu’Apple School Manager puisse récupérer les enregistrements utilisateur auprès de votre fournisseur d’identité à l’aide de SCIM. Cette URL de rappel s’appuie sur le nom de l’app SCIM que vous avez créée dans votre fournisseur d’identité.
Gardez bien le nom de votre app SCIM en mémoire. Par exemple :
Apple School Manager : AppleSchoolManagerSCIM
Collez le nom de l’app dans l’URL suivante. Par exemple :
https://identity-provider.com/admin/app/AppleSchoolManagerSCIM/oauth/callback
Enregistrez l’URL de rappel d’autorisation.
Vous la collerez dans Apple School Manager lors de la prochaine étape.
Créer et copier les informations client SCIM pour les coller dans votre fournisseur d’identité
Dans Apple School Manager
, connectez‑vous avec un compte disposant du rôle Administrateur, Gestionnaire de site ou Gestionnaire de personnes.Sélectionnez votre nom au bas de la barre latérale, sélectionnez Préférences
, puis sélectionnez Identifiants Apple gérés
.Sélectionnez Activer à côté de Synchronisation personnalisée.
Collez l’URL de rappel d’autorisation de l’étape précédente, puis sélectionnez Créer.
Sélectionnez Application SCIM, puis sélectionnez Créer.
Ouvrez un nouveau fichier texte ou une nouvelle feuille de calcul, puis saisissez les valeurs suivantes provenant d’Apple School Manager :
Pour l’identifiant client OIDC, collez l’identifiant client SCIM.
Pour le secret client OIDC, collez le secret client SCIM.
Sélectionnez Copier à côté d’Identifiant client, puis collez l’identifiant client dans le fichier.
Sélectionnez Secret client, choisissez la durée pendant laquelle le secret doit rester actif avant d’expirer (6, 9 ou 12 mois), puis collez le secret client dans le fichier.
Important : Si vous supprimez ou oubliez le secret client avant de le coller dans l’app SCIM associée à votre fournisseur d’identité, vous devrez créer un autre secret client.
Sélectionnez Terminé.
Coller l’identifiant client et le secret client dans l’app SCIM associée à votre fournisseur d’identité et valider la connexion
Revenez à la section de mise en service de l’app SCIM associée à votre fournisseur d’identité, puis collez‑y les valeurs suivantes :
Identifiant client SCIM d’Apple School Manager
Secret client SCIM d’Apple School Manager
Enregistrez les modifications.
Si votre fournisseur d’identité vous permet de tester l’authentification à l’aide d’un compte administrateur associé à celui‑ci, vous pouvez le faire dès à présent. Par exemple, vous verrez peut‑être un bouton « S’authentifier avec [AppleSchoolManagerSCIM], [AppleBusinessManagerSCIM], [AppleBusinessEssentialsSCIM] » (ou tout autre nom que vous avez donné à votre app SCIM).
Saisissez le nom et le mot de passe de l’administrateur associé à votre fournisseur d’identité, puis la valeur de l’authentification à deux facteurs.
Lisez attentivement toutes les informations relatives à l’autorisation. Si vous acceptez, sélectionnez Continuer.
Si nécessaire, vous pouvez maintenant activer l’authentification fédérée pour ce domaine.
Votre fournisseur d’identité et Apple School Manager sont maintenant configurés de sorte que des changements d’attributs utilisateur spécifiques apportés dans votre fournisseur d’identité soient synchronisés avec Apple School Manager.