Mon édition

Disponible avec toutes les éditions Suite Disponible avec tous les produits

Accès rapide : Centre d’administration > Compte > Sécurité > Connexion unique

La connexion unique est un mécanisme qui vous permet d’authentifier les utilisateurs dans vos systèmes pour ensuite indiquer à Zendesk qu’ils ont été authentifiés. Si vous utilisez la connexion unique avec JWT (token Web JSON), les utilisateurs sont automatiquement vérifiés auprès du fournisseur d’identité quand ils se connectent. Les utilisateurs sont alors autorisés à accéder à Zendesk sans avoir à saisir d’identifiants de connexion supplémentaires.

En tant qu’administrateur Zendesk, votre rôle est d’activer les options de connexion unique. Cet article décrit comment activer plusieurs configurations de connexion unique JWT qui peuvent servir à authentifier les membres de l’équipe (administrateurs et agents, y compris les agents light et les contributeurs), les utilisateurs finaux ou les deux.

Au centre de la connexion unique se trouve un mécanisme de sécurité qui permet à Zendesk de faire confiance aux demandes de connexion reçues depuis vos systèmes. Zendesk accorde l’accès uniquement aux utilisateurs que vous avez authentifiés. La connexion unique Zendesk utilise JWT pour sécuriser l’échange des données d’authentification des utilisateurs.

Important : quand vous utilisez la connexion unique basée sur JWT ou SAML, c’est à vous de vérifier l’identité de vos utilisateurs, y compris leurs adresses e-mail. Si vous ne vérifiez pas les utilisateurs et leurs adresses e-mail, vous exposez votre compte à des accès non autorisés et Zendesk ne peut pas en garantir la sécurité.
Cet article contient les sections suivantes :
  • Fonctionnement de la connexion unique avec JWT pour Zendesk
  • Exigences pour l’activation de la connexion unique avec JWT
  • Activation de la connexion unique avec JWT
  • Affectation de la connexion unique avec JWT aux utilisateurs
  • Gestion des utilisateurs dans Zendesk après l’activation de la connexion unique JWT
  • Création d’un nouveau secret partagé
  • Changement de méthode d’authentification
  • Informations supplémentaires au sujet de JWT

L’équipe informatique d’une entreprise est généralement chargée de la configuration et de la gestion du système d’authentification JWT de l’entreprise. Son rôle est d’implémenter la connexion unique pour Zendesk dans le système. L’équipe peut consulter le sujet suivant dans cet article :

  • Fiche pour l’implémentation technique

Articles connexes :

  • Options de connexion unique dans Zendesk
  • Permettre aux utilisateurs de se connecter à Zendesk de différentes façons
  • Accès à votre compte Zendesk en cas d’indisponibilité du service de connexion unique

Fonctionnement de la connexion unique avec JWT pour Zendesk

Une fois la connexion unique activée, les demandes de connexion sont envoyées à une page de connexion à l’extérieur de Zendesk Support.

Étapes du processus d’authentification par connexion unique avec JWT :

  1. Un utilisateur non authentifié navigue jusqu’à votre URL Zendesk Support. Exemple : https://votre_sousdomaine.zendesk.com/.
  2. Le mécanisme de connexion unique Zendesk détecte que la connexion unique est activée et que l’utilisateur n’est pas authentifié.
  3. Zendesk essaie de déterminer si l’utilisateur non authentifié est un utilisateur final ou un membre de l’équipe et le redirige vers la page de connexion à distance appropriée de votre organisation. Exemple : https://mon_entreprise.com/zendesk/sso.
  4. Un script sur le serveur à distance authentifie l’utilisateur en utilisant le processus de connexion de votre organisation.
  5. Le système d’authentification crée une demande JWT contenant les données utilisateur appropriées.
  6. Le système d’authentification redirige l’utilisateur vers le point de terminaison Zendesk suivant avec la charge JWT :

    https://votre_sousdomaine.zendesk.com/access/jwt

  7. Zendesk vérifie le token, puis analyse les détails de l’utilisateur de la charge JWT et lui accorde une session.

Comme vous le voyez, ce processus s’appuie sur des redirections du navigateur et la transmission de messages signés avec JWT. Les redirections ont lieu entièrement dans le navigateur et il n’y a pas de connexion directe entre Zendesk et vos systèmes, ce qui vous permet de placer vos scripts d’authentification en sécurité derrière le pare-feu de votre entreprise.

Exigences pour l’activation de la connexion unique avec JWT

Rencontrez l’équipe responsable du système d’authentification JWT de votre entreprise (en général l’équipe informatique) pour vous assurer que le trafic Zendesk utilise HTTPS et non HTTP.

Vous aurez besoin des informations suivantes pour configurer une méthode de connexion unique JWT dans Zendesk. Votre équipe informatique devrait pouvoir vous les fournir.
  • L’URL de connexion à distance vers laquelle rediriger les utilisateurs Zendesk quand ils essaient d’accéder à Zendesk.
  • (facultatif) L’URL de déconnexion à distance vers laquelle Zendesk peut rediriger les utilisateurs quand ils se déconnectent de Zendesk.
  • (facultatif) Une liste de plages IP pour rediriger les utilisateurs vers l’option de connexion appropriée. Les utilisateurs faisant des demandes à partir des plages IP spécifiées sont dirigés vers le formulaire d’authentification JWT à distance. Les utilisateurs faisant des demandes provenant d’adresses IP hors de ces plages sont dirigés vers le formulaire de connexion Zendesk normal. Si vous ne spécifiez pas de plage, tous les utilisateurs sont redirigés vers le formulaire d’authentification à distance.

Il est possible que l’équipe informatique ait besoin de plus d’informations de la part de Zendesk pour configurer l’implémentation JWT. Dites-lui de consulter la Fiche pour l’implémentation technique de cet article.

Une fois que vous avez vérifié que vous remplissez toutes les exigences et disposez de toutes les informations nécessaires, vous êtes prêt à activer la connexion unique JWT.

Activation de la connexion unique avec JWT

Les administrateurs peuvent activer la connexion unique JWT pour les utilisateurs finaux uniquement, pour les membres de l’équipe (y compris les agents light et les contributeurs) uniquement ou pour les deux groupes. Vous pouvez créer plusieurs configurations de connexion unique JWT. Avant de commencer, procurez-vous les informations obligatoires auprès de l’équipe informatique de votre entreprise. Consultez Exigences pour l’activation de la connexion unique avec JWT.

Pour activer la connexion unique JWT

  1. Dans le Centre d’administration, cliquez sur l’icône Compte () dans la barre latérale, puis sélectionnez Sécurité > Connexion unique.
  2. Cliquez sur Créer une configuration de connexion unique, puis sélectionnez Token Web JSON.
  3. Entrez un nom de configuration unique.
  4. Pour URL de connexion à distance, saisissez l’URL vers laquelle rediriger vos utilisateurs quand ils essaient d’accéder à votre URL Zendesk.

    Zendesk ajoute automatiquement un paramètre brand_id à l’URL. Il s’agit de la marque Zendesk Support que consultait l’utilisateur quand il a essayé de se connecter.

  5. (facultatif) Pour URL de déconnexion à distance, saisissez une URL de déconnexion vers laquelle les utilisateurs doivent être redirigés quand ils se déconnectent de Zendesk.

    Zendesk ajoute automatiquement les paramètres email, external_id et brand_id à l’URL de déconnexion. Si vous préférez que l’URL n’inclue pas les informations d’e-mail et d’ID externe, spécifiez des paramètres vides dans l’URL de déconnexion. Exemple :

    https://www.xyz.com/user/signout/?email=&external_id=

    Remarque – Si vous utilisez une application Ember.js, vous devez modifier l’URL pour utiliser des paramètres vides avant l’adressage. Par exemple, https://somedomain.com/?brand_id=&return_to=&email=#/zendesk-login/.
  6. (facultatif) Pour les plages IP, saisissez une liste de plages pour rediriger les utilisateurs vers l’option de connexion appropriée.

    Les utilisateurs faisant des demandes à partir des plages IP spécifiées sont dirigés vers le formulaire d’authentification JWT. Les utilisateurs faisant des demandes provenant d’adresses IP hors de ces plages sont dirigés vers le formulaire de connexion Zendesk normal. Ne spécifiez pas de plage si vous voulez que tous les utilisateurs soient redirigés vers le formulaire d’authentification JWT.

  7. Si vous utilisez des ID externes pour vos utilisateurs, vous pouvez les mettre à jour dans Zendesk Support en sélectionnant On pour Autoriser la mise à jour des ID externes ?
  8. Fournissez le secret partagé à votre équipe informatique. Elle en aura besoin pour son implémentation JWT.
    Important : conservez votre secret partagé en sécurité. S’il est compromis, toutes les données de votre compte Support sont en danger.
  9. Sélectionnez Afficher le bouton lorsque les utilisateurs se connectent pour ajouter un bouton Continuer avec la connexion unique à la page de connexion Zendesk.

    Vous pouvez personnaliser le libellé du bouton en saisissant une valeur dans le champ Nom du bouton. Les libellés de bouton personnalisés sont utiles si vous ajoutez plusieurs boutons de connexion unique à la page de connexion. Consultez Ajout de boutons Continuer avec la connexion unique à la page de connexion Zendesk pour en savoir plus.

  10. Cliquez sur Enregistrer.

Par défaut, les configurations de connexion unique d’entreprise sont inactives. Vous devez affecter la configuration de connexion unique aux utilisateurs pour l’activer.

Affectation de la connexion unique avec JWT aux utilisateurs

Après avoir créé votre configuration de connexion unique JWT, vous devez l’activer en l’affectant aux utilisateurs finaux, aux membres de l’équipe ou aux deux.

Pour affecter une configuration de connexion unique aux membres de l’équipe ou aux utilisateurs finaux

  1. Ouvrez les paramètres de sécurité pour les membres de l’équipe et les utilisateurs finaux.
    • Dans le Centre d’administration, cliquez sur Compte () dans la barre latérale, puis sélectionnez Sécurité > Authentification des membres de l’équipe.
    • Dans le Centre d’administration, cliquez sur Compte () dans la barre latérale, puis sélectionnez Sécurité > Authentification des utilisateurs finaux.
  2. Sélectionnez Authentification externe pour afficher les options d’authentification.
  3. Sélectionnez le ou les noms de la ou des configurations que vous voulez utiliser.

    La connexion unique peut ne pas couvrir toutes les utilisations, et l’authentification Zendesk reste donc active par défaut.

  4. Choisissez la façon dont vous voulez que les utilisateurs se connectent.

    Laissez-les choisir permet aux utilisateurs de se connecter en utilisant n’importe quelle méthode d’authentification active. Consultez Permettre aux utilisateurs de se connecter à Zendesk de différentes façons.

    Redirection vers la connexion unique autorise uniquement les utilisateurs à s’authentifier en utilisant la configuration de connexion unique principale. Ils ne voient pas d’autres options de connexion, même si ces options d’authentification sont actives. Quand vous sélectionnez Redirection vers la connexion unique, le champ Connexion unique principale s’affiche pour que vous puissiez sélectionner la configuration de connexion unique principale.

  5. Cliquez sur Enregistrer.

Gestion des utilisateurs dans Zendesk après l’activation de la connexion unique JWT

Après l’activation de la connexion unique JWT dans Zendesk, les modifications apportées aux utilisateurs à l’extérieur de Zendesk ne sont pas automatiquement synchronisées avec votre compte Zendesk. Les utilisateurs sont mis à jour dans Zendesk au moment de l’authentification. Par exemple, si un utilisateur est ajouté à votre système interne, l’utilisateur est ajouté à votre compte Zendesk quand il s’y connecte. Si un utilisateur est supprimé de votre système interne, il ne peut plus se connecter à Zendesk, mais son compte existe toujours dans Zendesk.

Par défaut, les seules données utilisateur stockées dans Zendesk quand la connexion unique est activée sont le nom et l’adresse e-mail de l’utilisateur. Zendesk ne stocke pas les mots de passe. Par conséquent, vous devez désactiver toutes les notifications par e-mail automatisées envoyées par Zendesk au sujet des mots de passe.

Pour fournir une meilleure expérience client, vous devriez envisager de stocker plus que le nom et l’adresse e-mail de l’utilisateur dans Zendesk. Pour ce faire, vous pouvez utiliser des attributs JWT supplémentaires.

Désactivation des notifications par e-mail au sujet des mots de passe de Zendesk

Un profil utilisateur Zendesk est créé pour chaque nouvel utilisateur qui accède à votre compte Zendesk par le biais de la connexion unique SAML, JWT ou OpenID Connect (OIDC). Comme les utilisateurs sont authentifiés via un fournisseur d’identité par un mot de passe qui ne dépend pas de Zendesk, le profil est créé sans mot de passe, car l’utilisateur n’a pas besoin de se connecter à Zendesk directement.

Comme les nouveaux utilisateurs qui se connectent à Zendesk via la connexion unique sont vérifiés via un fournisseur d’identité, ils ne reçoivent pas de notification par e-mail leur demandant de vérifier leur compte. Cependant, nous vous conseillons malgré tout de désactiver ces notifications automatiques pour empêcher qu’elles ne soient envoyées si la vérification de l’utilisateur par le fournisseur d’identité échoue. Dans le cas de la connexion unique, la vérification des utilisateurs doit toujours se faire via le fournisseur d’identité.

Pour désactiver les notifications par e-mail au sujet des mots de passe

  1. Dans le Centre d’administration, cliquez sur Utilisateurs () dans la barre latérale, puis sélectionnez Configuration > Utilisateurs finaux.
  2. Dans la section E-mails du compte, désélectionnez l’option Aussi envoyer un e-mail de vérification lors de la création d’un nouvel utilisateur par un agent ou un administrateur.
  3. Dans Permettre aux utilisateurs de changer de mot de passe, désélectionnez cette option.

Création d’un nouveau secret partagé

Dans certains cas, par exemple si votre secret est compromis, vous devrez peut-être créer un nouveau secret partagé JWT et le communiquer à votre équipe informatique ou un fournisseur d’identité tiers. Vous pouvez générer un nouveau secret partagé JWT à partir du Centre d’administration Zendesk. Cela crée un nouveau secret et annule l’ancien. Vous devez informer votre équipe informatique ou votre fournisseur d’identité externe de votre nouveau secret partagé pour que l’authentification par connexion unique du compte Zendesk fonctionne.

Important : les utilisateurs ne peuvent plus s’authentifier avec la connexion unique JWT jusqu’à ce que le nouveau secret soit mis en place. Assurez-vous que les utilisateurs disposent d’une autre méthode d’authentification.

Pour créer un nouveau secret partagé

  1. Dans le Centre d’administration, cliquez sur l’icône Compte () dans la barre latérale, puis sélectionnez Sécurité > Connexion unique.
  2. Placez votre curseur sur la configuration JWT pour laquelle vous voulez créer un nouveau secret partagé, puis cliquez sur l’icône du menu des options () et sélectionnez Modifier.
  3. Allez à Secret partagé en bas de la page de configuration et cliquez sur Réinitialiser le secret.

    Un message de confirmation s’affiche.

  4. Cliquez sur Réinitialiser le secret pour confirmer la réinitialisation.

    Vous devriez voir un nouveau secret partagé en texte brut.

  5. Cliquez sur Copier pour faire une copie de votre nouveau secret partagé et la remettre à votre équipe informatique ou votre fournisseur d’identité externe.
  6. Enregistrez vos modifications.

Changement de méthode d’authentification

Si vous utilisez une méthode de connexion unique tierce pour créer et authentifier les utilisateurs dans Zendesk, puis passez à l’authentification Zendesk, ces utilisateurs n’auront pas de mot de passe pour se connecter. Pour obtenir l’accès, ces utilisateurs doivent réinitialiser leur mot de passe à la page de connexion Zendesk.

Informations supplémentaires au sujet de JWT

JWT est une norme ouverte, pilotée par un organisme de normes international (IETF) et soutenue par des poids lourds du secteur technologique (par exemple, Microsoft, Facebook et Google).

Les éléments fondamentaux de JWT sont des composants très bien compris, ce qui débouche sur une spécification relativement simple, disponible ici http://tools.ietf.org/html/draft-jones-json-web-token-10. Il existe de nombreuses implémentations open source de la spécification JWT qui couvrent la plupart des technologies modernes. Cela signifie que vous pouvez configurer la connexion unique JWT sans grandes difficultés.

Attention cependant, la charge JWT est seulement codée et signée, pas chiffrée, ne placez donc pas de données sensibles dans le tableau d’adressage. JWT fonctionne en sérialisant le JSON qui est transmis à une chaîne. La chaîne est codée en base 64, puis JWT convertit cette chaîne base 64 en HMAC, qui dépend du secret partagé. Cela produit une signature que le côté du destinataire peut utiliser pour valider l’utilisateur.

Fiche pour l’implémentation technique

Cette section est destinée à l’équipe responsable du système d’authentification JWT de l’entreprise. Elle fournit des détails au sujet de l’implémentation de la connexion unique JWT pour Zendesk.

Remarque – Si vous mettez à niveau à partir d’une ancienne version de la connexion unique Zendesk (appelée authentification à distance Zendesk) vers JWT, vous pouvez avoir plusieurs implémentations de connexion unique activées simultanément. Zendesk détecte si une demande est adressée à JWT ou un autre type de connexion unique et la traite donc en conséquence. Cela signifie que vous pouvez activer et tester JWT avant de désactiver votre implémentation de connexion unique précédente.

Sujets couverts :

  • Algorithme JWT
  • Point de terminaison JWT
  • Attributs JWT
  • Paramètre de l’URL de connexion à distance (return_to)
  • Traitement des erreurs
  • Exemples d’envoi du formulaire
  • Exemples de génération de JWT

Algorithme JWT

Spécifiez HS256 comme algorithme JWT dans l’en-tête de votre charge JWT :

{
  "typ":"JWT",
  "alg":"HS256"
}

HS256 signifie HMAC SHA 256, un algorithme de chiffrement 256 bits conçu par la NSA (US National Security Agency).

Remarque – Zendesk ne prend pas en charge les algorithmes JWT RS256 et ES256.

Point de terminaison JWT

Une fois l’utilisateur authentifié, créez la charge JWT et envoyez une demande POST qui contient cette charge vers le point de terminaison Zendesk suivant :

https://votre_sousdomaine.zendesk.com/access/jwt

La charge doit être chiffrée en base64 et envoyée via un formulaire à partir d’un client. L’envoi de la charge via une demande AJAX, fetch ou axios côté client ne fonctionnera pas car elle sera bloquée par la politique d’origine du client. L’envoi d’une demande POST depuis votre serveur ne fonctionnera pas non plus car cela ne définira pas correctement les cookies utilisés pour l’authentification dans le navigateur de l’utilisateur.

La charge JWT doit être envoyée à votre sous-domaine Zendesk Support en utilisant le protocole https. Exemple : 

https://yoursubdomain.zendesk.com/access/jwt

Les sous-domaines avec mappage d’hôte ne sont pas pris en charge.

Attributs JWT

Envoyez les attributs JWT en utilisant un hachage (Ruby) ou un dictionnaire (Python). Le JWT doit être chiffré base64. Exemple utilisant Ruby :

payload = JWT.encode({
   :email => "bob@example.com", :name => "Bob", :iat => Time.now.to_i, :jti => rand(2<<64).to_s
}, "Our shared secret")

Zendesk exige une adresse e-mail pour identifier l’utilisateur de façon unique. En plus des attributs obligatoires que vous pouvez voir dans le tableau ci-dessous, vous pouvez envoyer des données de profil utilisateur supplémentaires facultatives. Ces données sont synchronisées entre votre système de gestion des utilisateurs et Zendesk Support.

Attributs requis
Attribut Type de données Description
iat date au format numérique Émis à. L’heure à laquelle le token a été généré. Cela permet de s’assurer qu’un token donné est utilisé peu de temps après sa génération. La valeur doit être le nombre de secondes depuis l’epoch UNIX. Zendesk autorise un décalage d’horloge maximum de trois minutes, alors n’oubliez pas de configurer le protocole NTP ou similaire sur vos serveurs.
jti chaîne ID du token Web JSON. Un identifiant unique pour le token, utilisé par Zendesk pour empêcher les attaques de réutilisation de token.
email chaîne Adresse e-mail de l’utilisateur en cours de connexion, utilisée pour identifier de façon unique le dossier de l’utilisateur dans Zendesk Support.
name chaîne Nom de l’utilisateur. L’utilisateur dans Zendesk Support sera créé ou mis à jour en fonction de cet attribut.
Attributs utilisateur facultatifs
Attribut Type de données Description
external_id chaîne Si vos utilisateurs sont identifiés de façon unique par autre chose qu’une adresse e-mail et si leur adresse e-mail risque de changer, envoyez l’ID unique depuis votre système. Spécifiez l’ID sous la forme d’une chaîne.
locale (pour utilisateurs finaux)

locale_id (pour agents)

 entier Langue dans Zendesk Support, spécifiée en tant que chiffre.
organization chaîne Nom d’une organisation à laquelle ajouter l’utilisateur.

Si l’option Autoriser les utilisateurs à appartenir à plusieurs organisations est activée, des organisations supplémentaires sont ajoutées à celle d’origine et sont considérées comme des organisations secondaires. Cela ne supprime pas les affiliations existantes.

Si vous voulez transférez plusieurs noms d’organisation à la fois, utilisez plutôt l’attribut organizations. Les noms d’organisation doivent être transférés dans une chaîne, séparés par des virgules.
organization_id entier ID externe de l’organisation dans l’API Zendesk. Si organization et organization_id sont fournies, alors l’attribut organization est ignoré.

Si l’option Autoriser les utilisateurs à appartenir à plusieurs organisations est activée, des organisations supplémentaires sont ajoutées à celle d’origine et sont considérées comme des organisations secondaires. Cela ne supprime pas les affiliations existantes.

Si vous voulez transférer plusieurs ID d’organisation à la fois, utilisez plutôt l’attribut organization_ids. Les ID d’organisation doivent être transférés dans une chaîne, séparés par des virgules.
phone chaîne Numéro de téléphone, spécifié sous forme de chaîne.

Le numéro de téléphone doit être conforme au plan de numérotage des télécommunications E.164 international. Exemple : +15551234567.

Les numéros E164 sont des numéros internationaux avec un indicatif pays, généralement un indicatif régional et le numéro d’un abonné. Un numéro E.164 valide doit inclure l’indicatif du pays.
tags tableau Il s’agit d’un jeu de marqueurs JSON à configurer pour l’utilisateur. Ces marqueurs remplacent tous les autres marqueurs qui existent dans le profil utilisateur.
remote_photo_url chaîne URL d’une photo pour le profil utilisateur.
role chaîne Rôle de l’utilisateur. Cette valeur peut être définie sur end_user, agent ou admin. La valeur par défaut est end_user. Si le rôle de l’utilisateur est différent du rôle dans Zendesk Support, le rôle est modifié dans Zendesk Support.
custom_role_id entier Applicable seulement si le rôle de l’utilisateur est « agent ».
user_fields objet

Adressage JSON de la clé de champ d’utilisateur personnalisé et des valeurs à définir pour l’utilisateur. Le champ d’utilisateur personnalisé doit exister pour définir la valeur du champ. Chaque champ d’utilisateur personnalisé est identifié par sa clé de champ, qui se trouve dans les paramètres d’administration des champs d’utilisateur. Le format des valeurs de date est : aaaa-mm-jj.

Si une valeur ou une clé de champ d’utilisateur personnalisé n’est pas valide, la mise à jour du champ échouera sans message d’erreur et l’utilisateur pourra toujours se connecter. Pour en savoir plus au sujet des champs d’utilisateur personnalisés, consultez Ajout de champs personnalisés aux utilisateurs.
Remarque – L’envoi de valeurs null dans l’attribut user_fields supprimera toute valeur existante dans les champs correspondants.

Paramètre de l’URL de connexion à distance (return_to)

Le transfert du paramètre return_to est facultatif, mais nous vous le conseillons pour une expérience utilisateur plus conviviale. Quand Zendesk redirige un utilisateur vers votre page de connexion à distance, il peut transférer un paramètre d’URL return_to. Le paramètre contient la page à laquelle Zendesk renverra l’utilisateur une fois que votre système l’a identifié. Ajoutez le nom et la valeur du paramètre au point de terminaison JWT Zendesk.

Par exemple, supposez qu’un agent qui est déconnecté clique sur le lien suivant pour ouvrir un ticket dans Support : https://mon_entreprise.zendesk.com/tickets/1232. Le flux est le suivant :

  1. Quand l’utilisateur clique, Zendesk le redirige vers l’URL de connexion à distance et ajoute le paramètre return_to suivant à l’URL : 
    https://mycompany.com/zendesk/sso?return_to=https://mycompany.zendesk.com/tickets/123
  2. Votre système d’authentification extrait le paramètre return_to de l’URL et, une fois l’authentification de l’utilisateur effectuée, l’ajoute au point de terminaison JWT Zendesk ou au corps de la demande. Exemple :
    https://mycompany.zendesk.com/access/jwt?&return_to=https://mycompany.zendesk.com/tickets/123
  3. Zendesk utilise le paramètre pour ouvrir la page du ticket pour l’agent.

Le paramètre return_to est une URL absolue pour l’interface d’agent et une URL relative pour le centre d’aide.

Remarque – Si l’adresse de votre paramètre return_to contient ses propres valeurs d’URL, vérifiez que votre script code en URI toute la valeur return_to lors de l’envoi du token JWT.

Traitement des erreurs

Si Zendesk rencontre une erreur lors du traitement d’une demande de connexion JWT, un message expliquant le problème est envoyé. Si vous avez spécifié une URL de connexion à distance quand vous avez configuré l’intégration JWT. Zendesk vous redirige vers cette URL et transmet un paramètre message et un paramètre kind. En cas d’erreur, le paramètre kind aura toujours la valeur « error ». Zendesk vous conseille de configurer une URL de connexion à distance et des messages de connexion, en plus du type. La plupart des erreurs qui peuvent survenir doivent être résolues (par exemple, décalage d’horloge, limites de taux atteintes, tokens non valides, etc.).

Exemples d’envoi du formulaire

La charge JWT doit être envoyée par le biais d’un envoi de formulaire via un navigateur au point de terminaison Zendesk suivant :

https://yoursubdomain.zendesk.com/access/jwt

Zendesk fournit une série d’exemples pour diverses piles technologiques dans le répertoire de connexion unique JWT sur GitHub. Vous devez envoyer la charge JWT en utilisant un envoi du formulaire via un navigateur pour que les cookies soient définis correctement dans le navigateur et pour que la demande ne soit pas bloquée par CORS.

Consultez les exemples d’envoi de formulaire suivants :
  • Exemple JavaScript
  • Exemple jQuery
  • Exemple Rails
  • Exemple React

Réponse

La réponse doit être HTML avec un statut 200 OK. Le format de la réponse est le suivant :

<html><body>You are being <a href="">redirected</a>.</body></html>

Si href correspond à votre valeur return_to, l’authentification de l’utilisateur a réussi et les cookies devraient être définis. Si href commence par https://SUBDOMAIN.zendesk.com/access/unauthenticated Zendesk n’a pas réussi à authentifier l’utilisateur.

Exemples de génération de JWT

Le codage JWT est simple et de nombreux ouvrages sont disponibles dans la plupart des langues. Zendesk fournit une série d’exemples pour diverses piles dans le répertoire GitHub de connexion unique JWT :

  • https://github.com/zendesk/zendesk_jwt_sso_examples/tree/master/jwt_generation

Le code de génération JWT est pour l’implémentation de votre serveur. Vous pouvez retransférer le JWT généré à votre page de connexion, puis initier l’envoi du formulaire à partir du navigateur.

Si vous implémentez JWT dans une autre pile, nous serions enchantés d’en inclure un exemple. Ajoutez un commentaire à cet article afin de partager votre implémentation.

Si vous exécutez IIS/AD et ne voulez pas créer votre propre solution .NET, nous fournissons une implémentation complète en ASP classique, qui ne vous demandera que l’ajustement de quelques variables. Téléchargez le script d’authentification ASP à partir de GitHub :

Réalisé par Zendesk