Quand vous utilisez la connexion SAML avec ADFS, vous pouvez passer des valeurs autres que les valeurs d’authentification. Cet article explique comment passer le nom complet, l’organisation, le numéro de téléphone, le rôle ou le rôle personnalisé d’un utilisateur.

Ces valeurs sont définies comme règles de revendication dans l’approbation de partie de confiance. Pour modifier les règles de revendication, sélectionnez le dossier Relying Party Trusts dans AD FS Management et choisissez Edit Claim Rules dans la barre latérale Actions. Pour ajouter une nouvelle règle, cliquez sur Add Rule et sélectionnez un modèle dans la fenêtre qui s’affiche. Exemple :

Nom complet

Pour passer le nom complet d’un utilisateur, créez une règle avec le modèle Send LDAP Attributes.

1. Pour LDAP Attribute, ajoutez une ligne pour le nom de famille (Surname) et une ligne pour le prénom (Given-Name).
2. Pour Outgoing Claim Type, sélectionnez Surname et Given Name.

Organisation

Pour définir l’organisation à laquelle sera associé un utilisateur dans Zendesk, créez une règle avec le modèle Send LDAP Attributes. Cette règle mappera un champ dans Active Directory avec le type de revendication sortante d’organisation. L’attribut LDAP dépendra de la façon dont vous voulez mapper les utilisateurs. Par exemple, vous pouvez vouloir mapper les services avec différentes organisations.

1. Pour LDAP Attribute, sélectionnez le champ que vous mappez avec l’organisation.
2. Pour le Outgoing Claim Type, tapez le mot organization en minuscules dans le champ.
   
   

Numéro de téléphone

Pour passer le numéro de téléphone d’un utilisateur, créez une règle avec le modèle Send LDAP Attributes.

1. Pour LDAP Attribute, sélectionnez le Telephone-Number.
2. Pour le Outgoing Claim Type, tapez le mot phone en minuscules dans le champ.

Rôle

La configuration du rôle d’un utilisateur en fonction de leur appartenance à un groupe est un processus en deux étapes. Vous devez d’abord créer une nouvelle règle en utilisant le modèle Send Group Membership as a Claim. Puis vous devez un peu modifier la définition générée par la règle afin de créer une règle personnalisée qui passe correctement les informations à Zendesk.

Pour créer la règle d’appartenance au groupe :

1. Ajoutez une nouvelle règle et sélectionnez Send Group Membership as a Claim comme modèle.
2. Cherchez le groupe que vous voulez mapper avec le rôle en utilisant le bouton Parcourir.
   
3. Pour Outgoing claim type, sélectionnez Role.
   
4. Pour Outgoing claim value, utilisez la valeur spécifiée dans le tableau des attributs utilisateur dans notre documentation SAML.
5. Cliquez sur Finish, puis cliquez sur Edit Rule pour la règle que vous venez de créer.
6. Utilisez le bouton View Rule Language pour obtenir le code brut de la règle. Copiez le code quelque part. Vous en aurez besoin pendant l’étape suivante.
   

Pour créer la règle personnalisée :

1. Après avoir copié le code de la fenêtre de langue de la règle, cliquez sur OK pour la fermer.
2. Supprimez la règle et ajoutez une nouvelle règle avec le modèle Send Claims using a Custom Rule.
3. Collez le code que vous avez copié dans l’éditeur de règle personnalisée, puis supprimez la chaîne « http://schemas.microsoft.com/ws/2008/06/identity/claims/ » du champ Type. Il ne devrait plus rester que le mot role.
   
4. Enregistrez la règle.

Rôle personnalisé

Pour définir un rôle personnalisé, suivez les mêmes étapes que pour créer une règle de rôle générique, détaillées à l’étape 4. Au lieu d’agent ou d’admin pour Outgoing claim value, utilisez l’ID du rôle. Au lieu de laisser le mot role dans le champ Type, remplacez-le par custom_role_id. La dernière déclaration de la règle devrait ressembler à ce qui suit :

issue(Type = "custom_role_id", Value = "ROLE_ID_HERE", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);

Le mappage de rôle personnalisé ne fonctionnera que si l’utilisateur a déjà le rôle d’agent.