Quand vous utilisez la connexion SAML avec ADFS, vous pouvez transférer d’autres valeurs, en plus des valeurs d’authentification. Cet article explique comment transférer le nom complet de l’utilisateur, son organisation, son numéro de téléphone, son rôle ou son rôle personnalisé.
Ces valeurs sont définies comme des règles de revendication dans l’approbation de partie de confiance (Relying Party Trust, RPT). Pour modifier les règles de revendication, sélectionnez le dossier Relying Party Trusts dans AD FS Management et choisissez Edit Claim Rules dans la barre latérale Actions. Pour ajouter les nouvelles règles, cliquez sur Add Rule, puis sélectionnez un modèle dans la fenêtre qui s’affiche. Exemple :
Nom complet
Pour transférer le nom complet d’un utilisateur, créez une règle avec le modèle Send LDAP Attributes.
- Pour LDAP Attribute, ajoutez une ligne pour le nom (Surname) et une ligne pour le prénom (Given-Name).
- Pour Outgoing Claim Type, sélectionnez Surname et Given Name.
Organisation
Pour définir l’organisation à laquelle sera associé un utilisateur dans Zendesk, créez une règle avec le modèle Send LDAP Attributes. Cette règle mappera un champ dans Active Directory au type de revendication sortant (Outgoing Claim Type) « organization ». L’attribut LDAP dépendra de la façon dont vous souhaitez mapper les utilisateurs. Par exemple, vous pouvez vouloir mapper les services avec des organisations différentes.
- Pour LDAP Attribute, sélectionnez le champ avec lequel vous voulez mapper l’organisation.
- Pour Outgoing Claim Type, saisissez le mot organization en minuscules dans le champ.
Numéro de téléphone
Pour transférer le numéro de téléphone d’un utilisateur, créez une règle avec le modèle Send LDAP Attributes.
- Pour LDAP Attribute, sélectionnez Telephone-Number.
- Pour Outgoing Claim Type, saisissez le mot phone en minuscules dans le champ.
Rôle
La configuration du rôle d’un utilisateur en fonction de leur appartenance à un groupe se fait en deux étapes. Commencez par créer une nouvelle règle en utilisant le modèle Send Group Membership as a Claim. Ensuite, modifiez légèrement la définition générée par cette règle pour créer une règle personnalisée qui transfère correctement les informations à Zendesk.
Pour créer la règle d’appartenance à un groupe :
- Ajoutez une nouvelle règle et sélectionnez le modèle Select Send Group Membership as a Claim.
- Cherchez le groupe que vous voulez mapper avec le rôle avec le bouton Browse.
- Pour Outgoing Claim Type, sélectionnez Role.
- Pour Outgoing claim value, utilisez la valeur spécifiée dans le tableau des attributs utilisateur de notre documentation SAML.
- Cliquez sur Finish, puis sur Edit Rule pour la règle que vous venez de créer.
- Cliquez sur le bouton View Rule Language afin d’obtenir le code brut pour la règle. Copiez ce code. Vous l’utiliserez à l’étape suivante.
Pour créer la règle de fonctionnement personnalisée :
- Une fois que vous avez copié le code de la fenêtre Rule Language, cliquez sur OK pour fermer la boîte de dialogue.
- Supprimez la règle et ajoutez-en une nouvelle avec le modèle Send Claims using a Custom Rule.
- Collez le code que vous avez copié dans l’éditeur de règle personnalisée, puis supprimez la chaîne « http://schemas.microsoft.com/ws/2008/06/identity/claims/ » du champ Type. Il ne devrait rester que le mot role.
- Enregistrez la règle.
Rôle personnalisé
Pour définir un rôle personnalisé, vous devez utiliser l’API Rôles d’agent personnalisés pour en obtenir l’ID. Suivez ensuite les étapes de création d’une règle de rôle générique de la section 4, modifiées comme suit :
- Au lieu d’utiliser agent ou admin pour Outgoing claim value, saisissez l’ID du rôle.
- Au lieu de laisser le mot role dans le champ Type, remplacez la valeur par custom_role_id.
La dernière instruction de la règle ressemblera à ce qui suit :
issue(Type = "custom_role_id", Value = "ROLE_ID_HERE", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);
Le mappage de rôle personnalisé ne fonctionnera que si l’utilisateur a déjà un rôle d’agent.