Présentation des services d’identité Apple
Apple fournit à votre établissement différents services d’identité. Vous pouvez ainsi gérer facilement et en toute sécurité des mots de passes et noms d’utilisateur, à la fois sur site et dans le cloud. Apple applique des processus de sécurité, comme l’authentification, l’autorisation et la fédération d’identités, afin que chaque utilisateur puisse accéder à ses apps préférées ainsi qu’à d’autres ressources sans être contraint, par exemple, de définir un nom d’utilisateur et un mot de passe pour chaque app et chaque ressource.
Cette page présente les principales méthodes des services d’identité, à savoir l’authentification, l’autorisation et la fédération d’identités, et fournit des exemples d’utilisation de ces méthodes par les services d’identité Apple.
Authentification et services Apple associés
L’authentification constitue la première étape du processus de sécurité. L’authentification consiste à vérifier la légitimité de l’identité de l’utilisateur.
Apple a recours à de nombreuses méthodes d’authentification. Grâce à l’authentification unique et aux services Apple tels que les comptes Apple, les comptes Apple gérés, iCloud, iMessage et FaceTime, les utilisateurs peuvent communiquer de manière sécurisée, créer des documents en ligne et sauvegarder leurs données personnelles sans compromettre les données de l’établissement. Chaque service exploite sa propre architecture de sécurité. Ainsi, Apple assure le traitement sécurisé des données, que celles-ci soient sur l’appareil Apple ou en transit sur un réseau sans fil, la protection des informations personnelles de l’utilisateur, ainsi que la protection contre les accès malveillants ou non autorisés aux informations et aux services. En outre, Apple propose un environnement intégré permettant d’utiliser des solutions de gestion des appareils mobiles (MDM) pour limiter et gérer l’accès à des services spécifiques sur les appareils Apple.
Autorisation et services Apple associés
L’authentification prouve l’identité des utilisateurs, tandis que l’autorisationdéfinit ce qu’ils sont autorisés à faire. Pour que l’autorisation fonctionne, le nom et le mot de passe d’un utilisateur doivent être transmis à un fournisseur d’identité (IdP). Sur le plan conceptuel, l’IdP correspond à l’« autorité », le nom d’utilisateur et le mot de passe constituent l’« assertion » (car la personne concernée établit son identité), et les données qu’un utilisateur reçoit après une connexion réussie correspondent au « jeton ».
Apple utilise de nombreux types de jetons et d’assertions. Les assertions utilisées peuvent notamment inclure des certificats, des cartes à puce et d’autres appareils multifacteurs.
Fédération d’identités
La fédération d’identités désigne l’établissement d’un lien de confiance entre les IdP de plusieurs domaines de sécurité, afin que les utilisateurs puissent passer librement d’un système à un autre sans compromettre la sécurité. Pour garantir le fonctionnement de la fédération d’identités, les administrateurs doivent configurer des domaines qui se font mutuellement confiance et mettre en place une méthode unique d’identification des utilisateurs.
L’utilisation de votre compte d’entreprise pour vous connecter à un IdP est un exemple courant de fédération d’identités. Par exemple, pour faciliter la création de comptes Apple gérés pour un établissement, Apple a activé la fédération entre un fournisseur d’identité (IdP), Google Workspace et Microsoft Entra ID et Apple School Manager, Apple Business Manager ou Apple Business Essentials. Les utilisateurs peuvent ainsi utiliser leurs comptes existants Google Workspace ou Microsoft Entra ID, ou celui de leur fournisseur d’identité (IdP), pour se connecter à iCloud ou sur des appareils Apple associés à Apple School Manager, Apple Business Manager ou Apple Business Essentials. Si un utilisateur n’est pas invité à établir de nouveau son identité, la fédération est réalisée à l’aide de l’authentification unique ou d’une extension pour l’authentification unique Kerberos.