Apple Business Manager

Vous pouvez utiliser Okta pour créer des identifiants Apple gérés, qui permettent aux utilisateurs de se connecter à certains Services Apple à l'aide de leurs identifiants Okta. Pour ce faire, il convient d'établir une connexion entre Okta et Apple Business Manager.

Avant de commencer

• Un accès administrateur à Apple Business Manager est requis. Les autres rôles répertoriés (Responsable des personnes, Responsable des inscriptions d'appareils, Responsable de contenu et Personnel) ne disposent pas des permissions nécessaires pour effectuer ce processus.

• Assurez-vous que l'option super administrateur de votre compte Okta est activée et que votre compte est affecté en tant qu'utilisateur.

Configurez l'authentification fédérée

L'authentification fédérée est configurée dans la Okta Admin Console et dans Apple Business Manager.

Configurer l'intégration d'application dans Okta

1. Dans l'Okta Admin Console, accédez à Applications > Applications.

2. Cliquez sur Créer une intégration d'app.

3. Choisissez OIDC - OpenID Connect comme Méthode de connexionet Application Web comme Type d'application. Cliquez sur Suivant.

4. Sur la page Nouvelle intégration d'application Web, saisissez ce qui suit :

   • Nom de l'intégration d'application : Apple Business OIDC

   • Type d'autorisation : cochez les cases pour Code d'autorisation et Jeton d'actualisation

   • URI de redirection de connexion : saisissez https://gsa-ws.apple.com/grandslam/GsService2/acs. Il s'agit d'un URI statique fourni par Apple qui se trouve dans la console Apple Business Manager .

   • Affectations : pour l'intégration d'application initiale, affectez l'application à votre administrateur. Des affectations supplémentaires sont requises pour tous les comptes qui disposent d'un identifiant Apple géré et qui doivent s'authentifier à l'aide d'Okta.

5. Cliquez sur Enregistrer.

6. Cliquez sur l'onglet Permissions de l'API Okta. Dans la liste des permissions API, repérez les permissions ssf.manage et ssf.read et cliquez sur Accorder pour chacune d'elles. Si vous ne parvenez pas à localiser ssf.manage et ssf.read dans la liste des permissions API , contactez votre représentant de compte Okta.

7. Cliquez sur l'onglet Général, qui contient les informations que vous ajoutez dans Apple Business Manager. Notez l'ID client et la Clé secrète client à ajouter lors de la prochaine étape.

Configurer le Fournisseur d'identité personnalisé dans Apple Business

1. Connectez-vous à Apple Business Manager et accédez à Préférences > Comptes > Authentification fédérée > Fournisseur d'identité client > Connexion.

2. Saisissez les informations requises :

   • Identifiant de client : il se situe dans la section Identifiants client du client de l'intégration d'application que vous avez créée lors de l'étape précédente.

   • Clé secrète client  : elle se situe dans la section Clés secrètes client de l'intégration d'application que vous avez créée lors de l'étape précédente.

   • URL de configuration SSF : https://yourOktaOrgURL/.well-known/ssf-configuration

   • URL de configuration OpenID : https://yourOktaOrgURL/.well-known/openid-configuration

3. Cliquez sur Continuer. Vous êtes invité à vous connecter à Okta en tant que super administrateur pour connecter Apple Business Manager à votre org Okta.

   Remarque :

   Si vous n'êtes pas invité à vous connecter à Okta après avoir cliqué sur Continuer, il est possible que vous deviez ouvrir la console Apple Business Manager dans une fenêtre de navigation privée.

4. Si Apple Business Manager et Okta sont associés avec succès, un message confirme que la configuration de l'authentification fédérée est terminée. Cliquez sur Terminé.

Configurer la synchronisation du Répertoire entre Apple et Okta

1. Dans l'Admin Console Okta, accédez à Applications > Applications.

2. Cliquez sur Créer une intégration d'application.

3. Sélectionnez SAML 2.0 et cliquez sur Suivant.

4. Saisissez le nom de l'app Apple Business SCIM et clickez sur Suivant.

5. Ajoutez les entrées suivantes :

   • URL d'authentification unique : https://YourOktaOrgURL

   • URI d'audience (Identifiant d'entité SP): https://YourOktaOrgURL

6. Cliquez sur Enregistrer.

7. Passez à la fenêtre de la console Apple Business Manager .

8. Accédez à Préférences > Comptes > Synchronisation de répertoire et cliquez sur Synchronisation personnalisée.

9. Saisissez la Callback URL d'autorisation en utilisant le format suivant.

   https://system-admin.okta.com/admin/app/cpc/<SAML_AppBundleName>/oauth/callback

   • La partie okta.com de la Callback URL d'autorisation peut être okta.com, oktapreview.com, ou okta-emea.com en fonction de l'emplacement de votre Tenant Okta.

     Par exemple, si l'emplacement de votre locataire Okta est oktapreview.com, alors modifiez https://system-admin.okta.com/admin/app/cpc/<SAML_AppBundleName>/oauth/callback en https://system-admin.oktapreview.com/admin/app/cpc/<SAML_AppBundleName>/oauth/callback.

   • Le SAML_AppBundleName se trouve dans l'Admin Console dans Répertoire > Éditeur de profil . Cliquez sur Applications sous l'en-tête Filtres et localisez l'entrée correspondant à l'intégration d'app Apple Business SCIM que vous avez créée lors de l'étape précédente. Ouvrez-la et copiez la valeur qui s'affiche pour le nom de la variable. Ajoutez ces informations à l'autorisation de la Callback URL.

     Remarque :

     Si l'URL de votre org Okta comporte un tiret (-), assurez-vous que le caractère est inclus dans le nom de l'ensemble d'applications avant de continuer. L'éditeur de profil supprime les caractères - mais s'ils font partie du nom de l'organisation, ils sont obligatoires.

10. Après avoir ajouté l'URL de rappel d'autorisation dans Apple Business Manager, cliquez sur Continuer pour accéder aux détails de configuration supplémentaires nécessaires à la finalisation de la configuration SCIM.
11. Dans le Admin Console Okta, allez à Applications > Applications. Accédez à l'application Apple Business SCIM que vous avez créée à l'étape 2.
12. Sur l'onglet Général, cliquez sur Modifier dans la section Paramètres de l'application.
13. À côté d'Approvisionnement, sélectionnez la case d'option SCIM, puis cliquez sur Enregistrer.
14. Accédez à l'onglet Approvisionnement et cliquez sur Modifier dans la section Connexion SCIM.
15. Saisissez les informations suivantes : Les détails de la configuration proviennent de la synchronisation personnalisée que vous avez créée dans Apple Business Manager:
    • URL de base du connecteur SCIM : https://federation.apple.com/feeds/business/scim
    • Champ d'identificateur unique pour les utilisateurs : userName Ce champ est sensible à la casse.
    • Actions d'approvisionnement prises en charge : sélectionnez Importer de nouveaux utilisateurs et des mises à jour de profil, Envoyer de nouveaux utilisateurs, et Envoyer des mises à jour de profil.
    • Mode d'authentification: sélectionnez OAuth 2 dans le menu déroulant.
    • URI du point de terminaison du jeton d'accès: https://appleid.apple.com/auth/oauth2/v2/token
    • URI du point de terminaison d'autorisation: https://appleid.apple.com/auth/oauth2/v2/authorize
    • ID de client: copiez-le depuis les détails de votre configuration Apple Business Manager Synchronisation personnalisée .
    • Clé secrète client: copiez-la depuis les détails de votre configuration Apple Business Manager Synchronisation personnalisée .
16. Assurez-vous que le profil Synchronisation personnalisée est enregistré dans Apple Business Manager. Retournez dans la Okta Admin Console et cliquez sur Tester la configuration du connecteur.
17. À l'invite, saisissez vos informations d'identification Apple Business Manager . Terminer cette opération connecte avec succès vos configurations Apple et Okta.

Affectez vos utilisateurs, y compris vous-même, à la nouvelle application pour qu'ils utilisent l'identifiant Apple géré. La liste des utilisateurs doit correspondre à la liste d'affectations pour l'application OIDC créée dans Configurer l'authentification fédérée.

Configurer l'approvisionnement de l'application

1. Dans le Admin Console Okta, allez à Applications > Applications.
2. Sélectionnez l'application Apple Business SCIM.
3. Accédez à l'onglet Approvisionnement, puis cliquez sur Dans l'application.
4. Cliquez sur Modifieret sélectionnez les options à activer :
   • Activer Créer des utilisateurs
   • Mettre à jour les attributs d'utilisateur
   • Désactiver les utilisateurs

5. Cliquez sur Enregistrer.

6. Basculez vers la fenêtre de la console Apple Business Manager et accédez à Préférences > Comptes > Domaines.
7. Assurez-vous que le bouton Fédération activée est activé pour votre domaine d'entreprise vérifié.
8. Cliquez sur Terminé.

Vous pouvez tester l'accès aux ressources Apple pour vous assurer que la configuration a été correctement effectuée. Accédez à https://appleid.apple.com et connectez-vous à l'aide de vos identifiants Okta.

Rubriques connexes

Initiation aux intégrations d'application

En savoir plus sur les intégrations d'apps

Shared Signals Framework