Activation de la connexion unique SAML

toutes les éditions Suite tous les produits

Accès rapide : Centre d’administration > Sécurité

Zendesk Support prend en charge SAML (Secure Assertion Markup Language), qui vous permet de fournir l’accès en connexion unique aux comptes Support. Avec la connexion unique, les utilisateurs peuvent se connecter une fois en utilisant le formulaire de connexion de leur entreprise pour accéder à plusieurs systèmes et prestataires de services, notamment aux produits Zendesk.

Vous pouvez activer la connexion unique SAML pour les membres du personnel (administrateurs et agents, y compris les agents light et les contributeurs) uniquement, pour les utilisateurs finaux uniquement ou pour les deux groupes.

En tant qu’administrateur Zendesk, votre rôle est d’activer les options de connexion unique SAML. Consultez les rubriques suivantes :

Fonctionnement de la connexion unique SAML pour Zendesk
Configuration requise pour l’activation de la connexion unique SAML
Activation de la connexion unique avec SAML
Affectation de la connexion unique SAML aux utilisateurs
Gestion des utilisateurs dans Zendesk après l’activation de la connexion unique SAML
Changement de méthode d’authentification

L’équipe informatique d’une entreprise est généralement chargée de la configuration et de la gestion du système d’authentification SAML de l’entreprise. Son rôle est d’implémenter la connexion unique pour Zendesk dans le système. L’équipe peut consulter le sujet suivant dans cet article :

Fiche pour l’implémentation technique

La connexion unique SAML est disponible avec toutes les éditions. Vous pouvez aussi configurer la connexion unique d’entreprise avec l’authentification à distance JWT (Token Web JSON). Consultez Configuration de la connexion unique avec JWT (Token Web JSON).

Fonctionnement de la connexion unique SAML pour Zendesk

SAML pour Zendesk fonctionne de la même façon que SAML avec tous les autres prestataires de services. Une utilisation courante est une entreprise dans laquelle l’authentification de tous les utilisateurs est gérée par un système d’authentification d’entreprise comme Active Directory or LDAP (souvent appelé fournisseur d’identité). Zendesk établit une relation de confiance avec le fournisseur d’identité et l’autorise à authentifier et connecter les utilisateurs aux comptes Zendesk.

Une utilisation courante est un utilisateur qui se connecte à son système d’entreprise au début de sa journée de travail et qui, une fois connecté, a accès à d’autres applications et services de l’entreprise (comme l’e-mail ou Zendesk Support) sans avoir à se connecter indépendamment à ces services.

Si un utilisateur essaie de se connecter directement à un compte Zendesk, il est redirigé vers le service ou le serveur SAML pour s’authentifier. Une fois authentifié, il est à nouveau redirigé vers votre compte Zendesk et automatiquement connecté.

Un autre workflow consiste à permettre à vos utilisateurs d’accéder à Zendesk une fois qu’ils se sont connectés au site Web de votre entreprise. Quand un utilisateur se connecte au site Web avec ses identifiants pour ce site, le site Web envoie une demande de validation de l’utilisateur au fournisseur d’identité. Le site Web envoie ensuite la réponse du fournisseur au serveur SAML qui la transmet à votre Zendesk qui, alors, accorde une session à l’utilisateur.

Configuration requise pour l’activation de la connexion unique SAML

Rencontrez l’équipe responsable du système d’authentification SAML de votre entreprise (en général l’équipe informatique) pour vous assurer que votre entreprise satisfait les conditions suivantes :

L’entreprise a un serveur SAML avec des utilisateurs provisionnés ou connectés à un répertoire d’identités tel que Microsoft Active Directory ou LDAP. Les options incluent l’utilisateur d’un serveur SAML sur site, tel que OpenAM, ou un service SAML, tel qu’Okta, OneLogin ou PingIdentity.
Si vous utilisez un serveur ADFS (Active Directory Federation Services), l’authentification basée sur les formulaires doit être activée. Zendesk ne prend pas en charge Windows Integrated Authentication (WIA). Pour en savoir plus, consultez Configuration de la connexion unique en utilisant Active Directory avec ADFS et SAML.
Le trafic en direction de Zendesk utilise HTTPS, pas HTTP.

Demandez les informations suivantes à l’équipe :

L’URL de connexion à distance pour votre serveur SAML (parfois appelée URL de connexion unique SAML)
(facultatif) L’URL de déconnexion à distance vers laquelle Zendesk peut rediriger les utilisateurs quand ils se déconnectent de Zendesk
(facultatif) Une liste de plages pour rediriger les utilisateurs vers l’option de connexion appropriée. Les utilisateurs faisant des demandes à partir des plages IP spécifiées sont dirigés vers le formulaire d’authentification SAML à distance. Les utilisateurs faisant des demandes provenant d’adresses IP hors de ces plages sont dirigés vers le formulaire de connexion Zendesk normal. Si vous ne spécifiez pas de plage, tous les utilisateurs sont redirigés vers le formulaire d’authentification à distance.
L’empreinte digitale SHA2 du certificat SAML de votre serveur SAML. Les certificats X.509 sont pris en charge et doivent être au format PEM ou DER. Il n’y a pas de limite de taille maximale pour l’empreinte digitale SHA.

La prochaine étape consiste à saisir les informations dans le Centre d’administration Zendesk pour activer la connexion unique. Consultez Activation de la connexion unique SAML.

Il est possible que l’équipe informatique ait besoin de plus d’informations de Zendesk pour configurer l’implémentation SAML. Dites-lui de consulter la Fiche pour l’implémentation technique de cet article.

Activation de la connexion unique avec SAML

Vous pouvez activer la connexion unique SAML pour les utilisateurs finaux uniquement, pour les agents (y compris les agents light et les contributeurs) uniquement ou pour les deux groupes. Si vous utilisez JWT et SAML, vous devez en sélectionner un comme méthode d’authentification principale. Quand ils se connectent à Zendesk, les utilisateurs sont alors redirigés vers votre page de connexion principale. Les utilisateurs peuvent se connecter avec la méthode secondaire en accédant à la page de connexion secondaire. Pour en savoir plus, consultez Utilisation de différentes connexions uniques SAML et JWT pour les agents et les utilisateurs finaux.

Avant de commencer, procurez-vous les informations obligatoires auprès de l’équipe informatique de votre entreprise. Consultez Configuration requise pour l’activation de la connexion unique SAML.

Vous devez vous connecter à Zendesk en tant qu’administrateur pour activer la connexion unique SAML.

Pour activer la connexion unique SAML dans Zendesk

Dans n’importe quel produit, cliquez sur l’icône Produits Zendesk () dans la barre supérieure, puis sélectionnez Centre d’administration.
Cliquez sur l’icône Sécurité () dans la barre latérale, puis sur l’onglet Connexion unique.
Pour SAML, cliquez sur Configurer.
Dans le champ URL de connexion unique SAML, saisissez l’URL de connexion à distance pour votre serveur SAML.
Saisissez l’empreinte digitale du certificat. Nous en avons besoin pour communiquer avec votre serveur SAML.
(facultatif) Pour URL de connexion à distance, saisissez une URL de déconnexion vers laquelle Zendesk peut rediriger les utilisateurs quand ils se déconnectent de Zendesk.
(facultatif) Pour les plages IP, saisissez une liste de plages pour rediriger les utilisateurs vers l’option de connexion appropriée.
Les utilisateurs faisant des demandes à partir des plages IP spécifiées sont dirigés vers le formulaire d’authentification SAML à distance. Les utilisateurs faisant des demandes provenant d’adresses IP hors de ces plages sont dirigés vers le formulaire de connexion Zendesk normal. Ne spécifiez pas de plage si vous voulez que tous les utilisateurs soient redirigés vers le formulaire d’authentification à distance.
Une fois votre connexion unique SAML configurée, cliquez sur Activée pour pouvoir affecter cette option aux utilisateurs.
Cliquez sur Enregistrer.

Affectation de la connexion unique SAML aux utilisateurs

Une fois votre connexion unique SAML configurée, affectez cette option de connexion unique aux utilisateurs finaux, aux membres du personnel (administrateurs et agents, y compris les agents light et les contributeurs) ou aux deux groupes.

Dans le Centre d’administration, cliquez sur l’icône Sécurité () dans la barre latérale.
Cliquez sur l’onglet Membres du personnel ou Utilisateurs finaux et sélectionnez l’option Authentification externe.
Sélectionnez SAML comme option de connexion unique dans la section Authentification externe.
Pour les utilisateurs finaux, si l’option de connexion unique est sélectionnée, l’option d’authentification Zendesk est automatiquement désélectionnée (si elle était activée). Pour les membres du personnel, la connexion unique peut ne pas couvrir toutes les utilisations et vous pouvez donc garder les deux méthodes d’authentification activées. Par exemple, pour accéder à votre compte Zendesk à partir de nombreuses intégrations Zendesk ou pour réaliser tout travail de développement avec l’API Zendesk ou le framework des applications, vous avez besoin d’un mot de passe Zendesk.
Si vous voulez que seule la connexion unique soit utilisée par tous les utilisateurs, désélectionnez l’option Authentification Zendesk.

Tous les mots de passe Zendesk seront définitivement supprimés du compte dans un délai de 24 heures.
Cliquez sur Enregistrer.
Si vous avez désactivé les mots de passe Zendesk, cliquez sur Avancé > Authentification et sélectionnez une option Ignorer la connexion unique.
Vous pouvez choisir d’accorder l’accès au compte au propriétaire du compte ou à tous les administrateurs (y compris le propriétaire du compte) en cas de panne du fournisseur de connexion.

Pour obtenir l’accès, le propriétaire du compte ou un administrateur doit demander à recevoir un e-mail contenant un lien d’accès à usage unique. En cliquant sur ce lien, cette personne accède au compte. Aucun mot de passe n’est nécessaire. Consultez Accès au compte si les mots de passe sont désactivés.
Cliquez sur Enregistrer.

Gestion des utilisateurs dans Zendesk après l’activation de la connexion unique SAML

Après l’activation de la connexion unique SAML dans Zendesk, les modifications apportées aux utilisateurs à l’extérieur de Zendesk sont synchronisées avec votre compte Zendesk. Par exemple, si un utilisateur est ajouté à votre système Active Directory ou LDAP, l’utilisateur est automatiquement ajouté à votre compte Zendesk. Si vous supprimez un utilisateur de votre système interne, l’utilisateur ne pourra plus se connecter à votre Zendesk (mais son compte existera toujours dans Zendesk).

Par défaut, les seules données utilisateur stockées dans Zendesk quand la connexion unique est activée sont le prénom, le nom et l’adresse e-mail de l’utilisateur. Zendesk ne stocke pas les mots de passe. Par conséquent, vous devez désactiver toutes les notifications par e-mail automatisées envoyées par Zendesk au sujet des mots de passe. Consultez Désactivation des notifications par e-mail au sujet des mots de passe de Zendesk..

Pour fournir une meilleure expérience client, vous devriez envisager de stocker plus que le nom et l’adresse e-mail de l’utilisateur dans Zendesk. Consultez Obtention de données utilisateur supplémentaires.

Désactivation des notifications par e-mail au sujet des mots de passe de Zendesk

Quand un utilisateur est ajouté à un compte Zendesk, une notification par e-mail automatique peut lui être envoyée pour lui demander de vérifier son adresse e-mail et de créer un nom d’utilisateur et un mot de passe.

Un profil utilisateur Zendesk est créé pour chaque nouvel utilisateur qui accède à votre compte Zendesk par le biais de SAML. Comme il est authentifié par un mot de passe qui ne dépend pas de Zendesk, le profil est créé sans mot de passe car l’utilisateur n’a pas besoin de se connecter à Zendesk. Cependant, par défaut, chaque nouvel utilisateur recevra un e-mail lui demandant de confirmer son adresse e-mail et de créer un nom d’utilisateur et un mot de passe.

Pour que cela ne se produise pas, désélectionnez les options suivantes à la page des utilisateurs finaux (clients) de Zendesk Support (Admin > Clients) :

Dans la section E-mails du compte, désélectionnez l’option Aussi envoyer un e-mail de vérification lors de la création d’un nouvel utilisateur par un agent ou un administrateur.
Dans Permettre aux utilisateurs de changer de mot de passe, désélectionnez cette option.

Obtention de données utilisateur supplémentaires

Les seules données utilisateur que Zendesk exige de votre système d’authentification sont le prénom, le nom et l’adresse e-mail de l’utilisateur. Le prénom et le nom sont les seuls noms d’attribut que vous devriez utiliser pour capturer des informations au sujet du nom d’un utilisateur. Mais vous pouvez obtenir plus de données en demandant à votre équipe informatique d’ajouter des attributs utilisateur aux assertions SAML que le fournisseur d’identité envoie à Zendesk quand un utilisateur se connecte.

Une assertion SAML contient une ou plusieurs déclarations au sujet de l’utilisateur. Une déclaration est la décision d’autorisation (si l’utilisateur a obtenu l’accès ou non). Une autre déclaration peut se composer d’attributs décrivant l’utilisateur connecté.

Zendesk prend en charge les attributs utilisateur supplémentaires suivants pour les utilisateurs connectés. Définissez les données dont vous avez besoin dans Support, puis discutez avec votre équipe informatique de l’ajout d’attributs utilisateur à vos assertions SAML.

Table 1. Attributs utilisateur pris en charge
Attribut	Description
organization	Nom ou ID d’une organisation à laquelle ajouter l’utilisateur. L’attribut external_id d’une organisation n’est pas pris en charge. Si l’organisation n’existe pas dans Zendesk, elle ne sera pas créée. L’utilisateur, lui, sera créé, mais ne sera ajouté à aucune organisation.
organizations	Valeurs séparées par des virgules comme `org1`, `org2`, `org3`
organization_id	Exemple : `134211213`
organization_ids	Valeurs séparées par des virgules comme `23423433, 234324324, 23432`
ou	Nom d’une unité organisationnelle. Spécifiez-la comme un attribut `organization`.
phone	Numéro de téléphone, spécifié sous forme de chaîne.
tags	Marqueurs à définir pour un utilisateur. Ces marqueurs remplacent tous les autres marqueurs qui existent dans le profil utilisateur.
remote_photo_url	URL d’une photo pour le profil utilisateur.
locale (pour les utilisateurs finaux) locale_id (pour agents)	Langue dans Zendesk, spécifiée en tant que chiffre. Pour obtenir la liste des codes valides, consultez la section portant sur les langues dans la documentation de l’API.
role	Rôle de l’utilisateur. Peut être défini sur utilisateur final, agent ou administrateur. Par défaut : utilisateur final.
custom_role_id	Applicable uniquement si la valeur de l’attribut role ci-dessus est agent. Vous pouvez obtenir les ID de vos rôles personnalisés avec l’API de rôles personnalisés.
external_id	Un ID utilisateur de votre système si vos utilisateurs sont identifiés par autre chose qu’une adresse e-mail et si leurs adresses e-mail sont susceptibles de changer. Spécifié sous la forme d’une chaîne.
user_field_<key>	Une valeur pour un champ d’utilisateur personnalisé dans Zendesk Support. Consultez Ajout de champs personnalisés aux utilisateurs. <key> est la clé du champ affectée au champ personnalisé dans Zendesk Support. Exemple : `user_field_employee_number`. L’envoi d’une valeur nulle ou d’une chaîne vide dans la valeur d’attribut supprime toute valeur de champ personnalisé définie dans Zendesk Support.

Zendesk prend aussi en charge une série d’attributs d’InCommon Federation pour définir les attributs utilisateur dans le cadre de la connexion. Vous devriez spécifier l’espace de nommage complet avec le nom de l’attribut, pas le nom convivial, pour les attributs Federation. Exemples :

Tableau 2. Noms des attributs
Nom convivial	Nom SAML2 formel
ou (organization unit)	urn:oid:2.5.4.11
displayName	urn:oid:2.16.840.1.113730.3.1.241

Changement de méthode d’authentification

Important : si vous utilisez une méthode de connexion unique tierce pour créer et authentifier les utilisateurs dans Zendesk, puis passez à l’authentification Zendesk, ces utilisateurs n’auront pas de mot de passe pour se connecter. Pour obtenir l’accès, ces utilisateurs doivent réinitialiser leur mot de passe à la page de connexion Zendesk.

Fiche pour l’implémentation technique

Cette section est destinée à l’équipe responsable du système d’authentification SAML de l’entreprise. Elle fournit des détails au sujet de l’implémentation de la connexion unique SAML pour Zendesk.

Sujets couverts :

Données utilisateur nécessaires pour identifier l’utilisateur en cours d’authentification
Configuration du fournisseur d’identité pour Zendesk
Configuration du serveur SAML pour Zendesk
Paramètres renvoyés à vos URL de connexion et déconnexion à distance
Dépannage de la configuration SAML pour Zendesk

Données utilisateur nécessaires pour identifier l’utilisateur en cours d’authentification

Quand vous implémentez l’accès par connexion unique SAML à vos comptes Zendesk, vous spécifiez certaines données utilisateur pour identifier l’utilisateur en cours d’authentification.

Ces sujets décrivent les données que vous devez fournir :

Spécification de l’adresse e-mail de l’utilisateur dans l’ID du nom (NameID) du sujet SAML
Spécification de deux attributs utilisateur dans l’assertion SAML

Spécification de l’adresse e-mail de l’utilisateur dans l’ID du nom (NameID) du sujet SAML

Vous devez spécifier l’adresse e-mail de l’utilisateur dans l’ID du nom du sujet SAML

Tableau 3. Adresse e-mail requise dans l’ID du nom du sujet SAML
Concept	Là où spécifié	Description	Exemple de valeur
email		L’adresse e-mail de l’utilisateur en cours de connexion. Identifie l’utilisateur dans Zendesk de façon unique.	stevejobs@apple.com

Exemple d’adresse e-mail :

 <saml:Subject>
      <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">stevejobs@apple.com</saml:NameID>
      <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <saml:SubjectConfirmationData NotOnOrAfter="2014-04-23T21:42:47.412Z"/>
      </saml:SubjectConfirmation>
    </saml:Subject>

Si les attributs de prénom et de nom ne sont pas fournis, Zendesk utilisera le nom d’utilisateur de l’adresse e-mail fournir dans l’élément comme nom de l’utilisateur. La première partie d’une adresse e-mail, avant le symbole @, est le nom d’utilisateur. Si le nom d’utilisateur inclut un point, nous nous en servirons pour segmenter et séparer le prénom et le nom. En l’absence de point, la totalité du nom d’utilisateur devient le nom de l’utilisateur dans Zendesk.

Tableau 4. Exemple de segmentation d’adresse e-mail
Adresse e-mail dans	Nom de l’utilisateur authentifié dans Zendesk
Stanley.Yelnats@exemple.com	Stanley Yelnats
Stanleyyelnats@exemple.com	Stanleyyelnats

Spécification de deux attributs utilisateur dans l’assertion SAML

Quand vous spécifiez les attributs utilisateur, prénom et nom, vous devez spécifier les attributs avec l’espace de nommage complet. Par exemple, quand le nom convivial est « nom », la valeur que vous devez utiliser pour l’attribut est : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

Tableau 5. Attributs utilisateur requis dans l’assertion SAML
Concept	Attribut	Description	Exemple de valeur
prénom	givenname	Prénom de l’utilisateur. Vous devez spécifier l’espace de nommage complet pour cet attribut.	`http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname`
nom	surname	Nom de l’utilisateur. Un utilisateur dans Zendesk est créé ou mis à jour en fonction de ce prénom et ce nom. Voir l’exemple ci-après. Vous devez spécifier l’espace de nommage complet pour cet attribut.	`http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname`

Exemple de prénom et de nom :

<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
 <saml:AttributeValue xsi:type="xs:anyType">James</saml:AttributeValue>
 </saml:Attribute>
 <saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
 <saml:AttributeValue xsi:type="xs:anyType">Dietrich</saml:AttributeValue>
 </saml:Attribute>

Zendesk prend en charge des attributs utilisateur supplémentaires. Consultez Obtention de données utilisateur supplémentaires pour la liste des attributs pris en charge. Parlez à votre administrateur Zendesk Support pour savoir de quelles données il a besoin dans Support.

Configuration du fournisseur d’identité pour Zendesk

Tableau 6. Attributs du fournisseur d’identité
Attribut	Valeur
entityID	https://votre_sousdomaine.zendesk.com
AudienceRestriction	votre_sousdomaine.zendesk.com

où votre_sous-domaine est le sous-domaine Zendesk Support. Si vous n’êtes pas sûr du sous-domaine, demandez à administrateur Zendesk.

Zendesk applique l’attribut AudienceRestriction.

Configuration du serveur SAML pour Zendesk

Certains serveurs SAML peuvent exiger les informations suivantes lors de la configuration d’une intégration avec Zendesk :

URL ACS (Access Consumer Service) : Spécifiez https://votre_sousdomaine.zendesk.com/access/saml (sensible à la casse), où « accountname » est votre sous-domaine Zendesk.
Redirections vers l’URL de connexion unique SAML : utilisez HTTP POST.
Algorithme d’adressage (ADFS) : Zendesk prend en charge l’algorithme SHA-2 lors de l’utilisation d’ADFS (Active Directory Federation Services).

Paramètres renvoyés à vos URL de connexion et déconnexion à distance

Quand il redirige les utilisateurs vers votre système d’authentification, Zendesk ajoute les paramètres suivants aux URL de connexion et déconnexion à distance.

Tableau 7. Paramètres de l’URL de connexion à distance
Attribut	Description
brand_id	La marque du centre d’aide dans lequel se trouvait l’utilisateur quand il a essayé de se connecter. Pour en savoir plus, consultez Création d’un centre d’aide pour l’une de vos marques.

Tableau 8. Paramètres de l’URL de déconnexion à distance
Attribut	Description
email	L’adresse e-mail de l’utilisateur en cours de déconnexion.
external_id	Un identifiant unique de votre système, stocké dans le profil d’utilisateur Zendesk.
brand_id	La marque du centre d’aide dans lequel se trouvait l’utilisateur quand il s’est déconnecté. Pour en savoir plus, consultez Création d’un centre d’aide pour l’une de vos marques.

Si vous préférez ne pas recevoir les informations d’e-mail et d’ID externe dans l’URL de déconnexion, demandez à votre administrateur Zendesk de spécifier des paramètres vides dans le champ URL de déconnexion à distance de l’interface d’administrateur. Consultez Activation de la connexion unique SAML. Exemple :

https://www.votre_domaine.com/user/signout/?email=&external_id=

Dépannage de la configuration SAML pour Zendesk

Voici les métadonnées SAML 2.0 Zendesk :

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<EntityDescriptor entityID="yoursubdomain.zendesk.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
    <SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
        <AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yoursubdomain.zendesk.com/access/saml"/> <!-- Note: replace 'accountname' with your Zendesk subdomain -->
    </SPSSODescriptor>
</EntityDescriptor>

Zendesk attend une assertion SAML ressemblant à ce qui suit :

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="s2202bbbb
afa9d270d1c15990b738f4ab36139d463" InResponseTo="_e4a78780-35da-012e-8ea7-005056
9200d8" Version="2.0" IssueInstant="2011-03-21T11:22:02Z" Destination="https://yoursubdomain.zendesk.com/access/saml"> 
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">myidp.entity.id
    </saml:Issuer>
    <samlp:Status xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
        <samlp:StatusCode  xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
Value="urn:oasis:names:tc:SAML:2.0:status:Success">

Remarque – Remplacez « accountname » dans l’attribut Destination par votre sous-domaine Zendesk.

Zendesk s’attend à ce que les attributs utilisateur soient spécifiés dans la déclaration d’attribut d’une assertion () comme dans l’exemple suivant :

<saml:Attribute Name="organization">
  <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:type="xs:string">Acme Rockets</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="tags">
    <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:type="xs:string">tag1 tag2</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="phone">
    <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:type="xs:string">555-555-1234</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="role">
    <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:type="xs:string">agent</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="custom_role_id">
    <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:type="xs:string">12345</saml:AttributeValue>
 </saml:Attribute>

Pour les noms et descriptions des attributs utilisateur pris en charge par Zendesk, consultez le tableau dans Obtention de données utilisateur supplémentaires ci-dessus.

Attributs utilisateur requis dans l’assertion SAML

Tableau 9. Attributs pris en charge [otherprops="brouillon"]
Attribut	Obligatoire	Description
email	Oui	Adresse e-mail de l’utilisateur en cours de connexion, utilisée pour identifier de façon unique le dossier de l’utilisateur dans Zendesk.
name	Oui	Nom de l’utilisateur. L’utilisateur dans Zendesk sera créé ou mis à jour en fonction de cet attribut.
organization	Non	Nom ou ID d’une organisation à laquelle ajouter l’utilisateur.
tags	Non	Il s’agit d’un jeu de marqueurs JSON à configurer pour l’utilisateur. Ces marqueurs remplacent tous les autres marqueurs qui existent dans le profil utilisateur.
remote_photo_url	Non	URL d’une photo pour le profil utilisateur.

À propos des plages IP [otherprops="brouillon"]

Les demandes provenant de ces plages IP seront toujours dirigées via l’authentification à distance. Les demandes provenant d’adresses IP hors de ces plages seront dirigées vers le formulaire de connexion normal. Pour diriger toutes les demandes via l’authentification à distance, ne remplissez pas ce champ. Une plage IP a le format n.n.n.n, où n est un nombre ou un astérisque (*) de remplacement. Séparez plusieurs plages IP par un espace. Votre adresse IP actuelle est : 209.119.38.228 " < Expliquez leur utilisation > Utilisation ?

Fournisseurs SAML pris en charge et exemples de configuration [otherprops="brouillon"]

Certains fournisseurs SAML proposent des solutions intéressantes que nous prenons en charge. En voici des exemples :

Configuration de la connexion unique avec Okta
Configuration de la connexion unique avec OneLogin
Microsoft (prochainement)