OpenID Connect (OIDC) est un protocole d’authentification fondé sur le cadre OAuth 2.0. Il permet aux développeurs d’authentifier les utilisateurs et d’obtenir des informations de profil élémentaire de façon sécurisée et normalisée. OIDC utilise des tokens d’ID pour vérifier l’identité des utilisateurs en s’appuyant sur l’authentification effectuée par un serveur d’authentification, ce qui simplifie le processus de gestion des identités des utilisateurs et améliore la sécurité des interactions entre les utilisateurs et les applications.
La connexion unique OIDC avec Zendesk simplifie le processus d’authentification en permettant aux utilisateurs de se connecter via un fournisseur d’identité (IdP) central comme Google ou Okta, plutôt que de gérer des identifiants de connexion séparés pour Zendesk.
- Fonctionnement de la connexion unique OIDC pour Zendesk
- Considérations importantes
- Création de la configuration de la connexion unique OIDC
- Affectation de la connexion unique OIDC aux utilisateurs
- Gestion des utilisateurs dans Zendesk après l’activation de la connexion unique OIDC
- Changement de méthode d’authentification
- Attributs pris en charge par Zendesk
Articles connexes :
Fonctionnement de la connexion unique OIDC pour Zendesk
La connexion unique OIDC permet à un utilisateur de s’authentifier avec un fournisseur d’identité en utilisant un protocole standard. Une fois l’utilisateur authentifié, le fournisseur d’identité émet un token d’ID qui est utilisé pour vérifier l’identité et les droits d’accès de l’utilisateur.
Étapes du processus de connexion unique Zendesk avec OIDC :
- Un utilisateur non authentifié navigue jusqu’à votre URL Zendesk Support. Exemple : https://votre_sousdomaine.zendesk.com/.
- En fonction de votre workflow de connexion, à la page de connexion Zendesk, l’utilisateur clique sur un bouton pour se connecter avec la connexion unique, ce qui le dirige vers votre fournisseur d’identité, ou il est automatiquement redirigé vers votre fournisseur d’identité pour se connecter.
- Une fois l’utilisateur authentifié, le fournisseur d’identité génère un token d’ID qui contient des informations spécifiques à l’utilisateur.
- Le token est renvoyé à Zendesk, où il est validé en le comparant avec les détails de configuration partagés avec Zendesk et le fournisseur d’identité.
- Une fois la validation réussie, Zendesk accorde l’accès à l’utilisateur, en s’appuyant sur la confiance établie par le fournisseur d’identité.
Considérations importantes
- Si vous avez du mal à vous connecter avec Zendesk en utilisant la connexion unique OIDC, le problème vient probablement de votre fournisseur d’identité (IdP) et de sa configuration. Contactez votre administrateur système ou votre équipe informatique pour vérifier la configuration de votre IdP et vérifier ses exigences.
- Il n’est pas possible d’utiliser OIDC pour authentifier les utilisateurs dans la messagerie.
- Zendesk exige que tous les utilisateurs aient une adresse e-mail associée à leur profil, mais vos utilisateurs peuvent essayer de se connecter sans avoir d’adresse e-mail. Dans ce cas, pour éviter une boucle dans laquelle l’authentification échoue à cause de l’adresse e-mail manquante, Zendesk affiche un message d’erreur.
- Si vous voulez utiliser OIDC avec Entra, vous devez configurer un certain nombre d’exigences spécifiques.
- Le mode d’authentification doit être PKCE.
- Ajoutez l’URL de rappel au formulaire de configuration PKCE OIDC Entra sous Mobile and desktop applications - Redirect URIs.
Création de la configuration de la connexion unique OIDC
Les administrateurs peuvent activer la connexion unique OIDC pour les utilisateurs finaux uniquement, pour les membres de l’équipe (y compris les agents light et les contributeurs) uniquement ou pour les deux groupes. Vous pouvez créer plusieurs configurations de connexion unique OIDC.
Les informations nécessaires pour cette étape doivent provenir du fournisseur d’identité que vous utilisez, alors n’oubliez pas de la configurer avant de commencer. Vous devrez peut-être vous procurer les informations auprès de l’équipe informatique de votre entreprise.
Pour créer la configuration de la connexion unique OIDC dans Zendesk
- Dans le Centre d’administration, cliquez sur l’icône Compte () dans la barre latérale, puis sélectionnez Sécurité > Connexion unique.
- Cliquez sur Créer une configuration de connexion unique, puis sélectionnez OpenID Connect.
- Entrez un nom de configuration unique.
- (facultatif) Pour les plages IP, saisissez une liste de plages pour rediriger les utilisateurs vers l’option de connexion appropriée.
Les utilisateurs faisant des demandes à partir des plages IP spécifiées sont dirigés vers le formulaire d’authentification OIDC à distance. Les utilisateurs faisant des demandes provenant d’adresses IP hors de ces plages sont dirigés vers le formulaire de connexion Zendesk standard. Ne spécifiez pas de plage si vous voulez que tous les utilisateurs soient redirigés vers le formulaire d’authentification à distance.
- Dans le champ ID client, saisissez l’ID client que vous a donné votre fournisseur d’identité.
- Saisissez le secret client si votre fournisseur d’identité l’exige.
Le secret client doit rester confidentiel et vous ne le verrez plus dans sa totalité une fois la configuration enregistrée. Si vous avez besoin de mettre le secret à jour, modifiez cette configuration de la connexion unique pour saisir et enregistrer un nouveau secret.
- Dans le champ Autorisations, saisissez toutes les autorisations que vous voulez demander au fournisseur d’identité. Vous devez au moins ajouter
openid
etemail
. Les autorisations sont séparées par des espaces, sans virgules. Exemple :openid email phone
Les autorisations prises en charge avec la norme OIDC incluent
openid
,profile
,email
,address
etphone
. Vous pouvez aussi ajouter toutes les autorisations personnalisées qui ont été configurées dans votre fournisseur d’identité.Les autorisations non acceptées que votre fournisseur d’identité refuse déboucheront sur l’échec de la connexion avec l’erreur
Unknown error during sign-in
. Zendesk ne valide pas les autorisations dans ce champ. - Sélectionnez Activer la découverte automatique si vous voulez uniquement fournir l’URL de l’émetteur. Quand cette option est activée, Zendesk extrait automatiquement les détails de la configuration du document de configuration OIDC. Vous n’avez qu’à fournir l’URL de l’émetteur et le mode d’authentification.
- Saisissez les URL obligatoires.
Vérifiez si votre fournisseur d’identité exige un format spécifique pour les URL que vous utilisez. Si vos URL ne sont pas formatées correctement et sont refusées par votre fournisseur d’identité, vous risquez de subir un échec de connexion et de recevoir un message d’erreur
Unknown error during sign-in
. Zendesk ne valide pas les URL dans ces champs.- URL de l’émetteur (aussi appelée identifiant de l’émetteur) : un identifiant unique pour le fournisseur d’identité qui se charge de l’authentification des utilisateurs et émet les tokens d’ID.
- URL UserInfo : un point de terminaison fourni par le fournisseur d’identité qui, quand un utilisateur y accède avec un token d’accès valide, renvoie les attributs de l’utilisateur authentifié.
- URL du point de terminaison de la clé web JSON : un point de terminaison fourni par le fournisseur d’identité qui permet à Zendesk de récupérer les clés publiques du fournisseur. Ces clés servent à vérifier la signature des tokens Web JSON (JWT) émis par le fournisseur d’identité.
- URL d’autorisation : quand les utilisateurs accèdent à cette URL, ils sont invités à se connecter et à accepter les autorisations demandées.
- URL du token d’accès (aussi appelé URL du point de terminaison du token) : utilisée pour échanger un code d’autorisation, un ID client ou un secret client contre un token d’accès.
- Choisissez un mode d’authentification. Nous vous recommandons PKCE.
- L’utilisation de PKCE pour obtenir le token d’accès est recommandée pour les clients publics, comme les applications Web mobiles ou Javascript, car ce protocole utilise des clés générées dynamiquement afin d’empêcher les échanges de tokens non autorisés sans avoir besoin de secret client.
- Choisissez Flux de code d’autorisation si vous voulez que le token d’accès soit obtenu en utilisant le flux de code d’autorisation. Cela est recommandé pour les applications basées sur serveur avec un stockage back-end sécurisé qui utilise un secret client pour obtenir les tokens.
- Sélectionnez Afficher le bouton lorsque les utilisateurs se connectent si vous voulez permettre aux utilisateurs de choisir comment se connecter et si vous voulez que cette configuration fasse partie des options parmi lesquelles ils peuvent faire leur choix. Si vous sélectionnez cette option, vous devez aussi donner un nom au bouton qui s’affichera sur la page de connexion Zendesk.
Supprimez la coche si vos utilisateurs se connectent uniquement via un fournisseur d’identité, car ils n’utilisent pas la page de connexion Zendesk.
- Cliquez sur Enregistrer.
Par défaut, les configurations de connexion unique d’entreprise sont inactives. Vous devez affecter la connexion unique OIDC aux utilisateurs pour l’activer.
Affectation de la connexion unique OIDC aux utilisateurs
Après avoir créé votre configuration de connexion unique OIDC, vous devez l’activer en l’affectant aux utilisateurs finaux, aux membres de l’équipe ou aux deux.
Pour affecter une configuration de connexion unique aux membres de l’équipe ou aux utilisateurs finaux
- Ouvrez les paramètres de sécurité pour les membres de l’équipe et les utilisateurs finaux.
- Dans le Centre d’administration, cliquez sur Compte () dans la barre latérale, puis sélectionnez Sécurité > Authentification des membres de l’équipe.
- Dans le Centre d’administration, cliquez sur Compte () dans la barre latérale, puis sélectionnez Sécurité > Authentification des utilisateurs finaux.
- Sélectionnez Authentification externe pour afficher les options d’authentification.
- Sélectionnez le ou les noms de la ou des configurations que vous voulez utiliser.
La connexion unique peut ne pas couvrir toutes les utilisations, et l’authentification Zendesk reste donc active par défaut.
- Choisissez la façon dont vous voulez que les utilisateurs se connectent.
Laissez-les choisir permet aux utilisateurs de se connecter en utilisant n’importe quelle méthode d’authentification active. Consultez Permettre aux utilisateurs de se connecter à Zendesk de différentes façons.
Redirection vers la connexion unique autorise uniquement les utilisateurs à s’authentifier en utilisant la configuration de connexion unique principale. Ils ne voient pas d’autres options de connexion, même si ces options d’authentification sont actives. Quand vous sélectionnez Redirection vers la connexion unique, le champ Connexion unique principale s’affiche pour que vous puissiez sélectionner la configuration de connexion unique principale.
- Cliquez sur Enregistrer.
Gestion des utilisateurs dans Zendesk après l’activation de la connexion unique OIDC
Après l’activation de la connexion unique OIDC dans Zendesk, les modifications apportées aux utilisateurs à l’extérieur de Zendesk ne sont pas automatiquement synchronisées avec votre compte Zendesk. Les utilisateurs sont mis à jour dans Zendesk au moment de l’authentification. Par exemple, si un utilisateur est ajouté à votre système interne, l’utilisateur est ajouté à votre compte Zendesk quand il s’y connecte. Si un utilisateur est supprimé de votre système interne, il ne peut plus se connecter à Zendesk, mais son compte existe toujours dans Zendesk.
Par défaut, les seules données utilisateur stockées dans Zendesk quand la connexion unique est activée sont le nom et l’adresse e-mail de l’utilisateur. Zendesk ne stocke pas les mots de passe. Par conséquent, vous devez désactiver toutes les notifications par e-mail automatisées envoyées par Zendesk au sujet des mots de passe.
Désactivation des notifications par e-mail au sujet des mots de passe de Zendesk
Un profil utilisateur Zendesk est créé pour chaque nouvel utilisateur qui accède à votre compte Zendesk par le biais de la connexion unique SAML, JWT ou OpenID Connect (OIDC). Comme les utilisateurs sont authentifiés via un fournisseur d’identité par un mot de passe qui ne dépend pas de Zendesk, le profil est créé sans mot de passe, car l’utilisateur n’a pas besoin de se connecter à Zendesk directement.
Comme les nouveaux utilisateurs qui se connectent à Zendesk via la connexion unique sont vérifiés via un fournisseur d’identité, ils ne reçoivent pas de notification par e-mail leur demandant de vérifier leur compte. Cependant, nous vous conseillons malgré tout de désactiver ces notifications automatiques pour empêcher qu’elles ne soient envoyées si la vérification de l’utilisateur par le fournisseur d’identité échoue. Dans le cas de la connexion unique, la vérification des utilisateurs doit toujours se faire via le fournisseur d’identité.
Pour désactiver les notifications par e-mail au sujet des mots de passe
- Dans le Centre d’administration, cliquez sur Utilisateurs () dans la barre latérale, puis sélectionnez Configuration > Utilisateurs finaux.
- Dans la section E-mails du compte, désélectionnez l’option Aussi envoyer un e-mail de vérification lors de la création d’un nouvel utilisateur par un agent ou un administrateur.
- Dans Permettre aux utilisateurs de changer de mot de passe, désélectionnez cette option.
Changement de méthode d’authentification
Si vous utilisez une méthode de connexion unique tierce pour créer et authentifier les utilisateurs dans Zendesk, puis passez à l’authentification Zendesk, ces utilisateurs n’auront pas de mot de passe pour se connecter. Pour obtenir l’accès, ces utilisateurs doivent réinitialiser leur mot de passe à la page de connexion Zendesk.
Attributs pris en charge par Zendesk
-
Les attributs standards sont des attributs définis, largement acceptés, spécifiés par le protocole OIDC, qui permettent une compréhension uniforme de l’identité des utilisateurs dans différents systèmes. Zendesk prend en charge les attributs standards suivants :
sub
,email
,email_verified
etlocale
. - Les attributs personnalisés sont des attributs supplémentaires qui viennent compléter les attributs standards pour satisfaire aux exigences spécifiques à Zendesk. Vous pouvez transférer les attributs personnalisés dans les revendications de token d’ID ou userinfo.
Le tableau ci-dessous dresse la liste complète des attributs standards et personnalisés pris en charge par Zendesk.
Attribut | Description |
---|---|
name | Le nom complet de l’utilisateur dans un format affichable, incluant toutes les parties du nom, potentiellement la civilité et le suffixe, agencées en fonction de la langue et des préférences de l’utilisateur final. |
L’adresse e-mail principale de l’utilisateur. | |
email_verified | Vrai si l’adresse e-mail de l’utilisateur a été vérifiée. Sinon, faux. Quand la valeur de cet attribut est Vrai, cela signifie que le fournisseur OpenID a pris des mesures concrètes pour vérifier que cette adresse e-mail était contrôlée par l’utilisateur au moment de la vérification. Quand vous utilisez la connexion unique avec Zendesk, vous êtes responsable de la vérification des adresses e-mail de vos utilisateurs. |
organization | Nom ou ID d’une organisation à laquelle ajouter l’utilisateur. L’attribut external_id d’une organisation n’est pas pris en charge. Si l’organisation n’existe pas dans Zendesk, elle ne sera pas créée. L’utilisateur, lui, sera créé, mais ne sera ajouté à aucune organisation. |
organizations | Valeurs séparées par des virgules comme org1 , org2 , org3
|
organization_id |
ID externe de l’organisation dans l’API Zendesk. Si organization et organization_id sont fournies, alors l’attribut organization est ignoré. Exemple : Si vous voulez transférer plusieurs ID d’organisation à la fois, utilisez plutôt l’attribut organization_ids. Les ID d’organisation doivent être transférés dans une chaîne, séparés par des virgules. |
organization_ids |
ID externes de l’organisation dans l’API Zendesk. Utilisez cet attribut quand vous transférez plusieurs ID de l’organisation en même temps. Si organizations et organization_ids sont fournies, alors l’attribut organizations est ignoré. Exemple : valeurs séparées par des virgules comme |
phone | Numéro de téléphone, spécifié sous forme de chaîne. |
tags | Marqueurs à définir pour un utilisateur. Ces marqueurs remplacent tous les autres marqueurs qui existent dans le profil utilisateur. |
remote_photo_url | URL d’une photo pour le profil utilisateur. |
locale (pour agents) locale_id (pour utilisateurs finaux) |
Langue dans Zendesk, spécifiée en tant que chiffre. Pour obtenir la liste des codes valides, consultez la section portant sur les langues dans la documentation de l’API. |
zendesk_role | Rôle de l’utilisateur. Peut être défini sur utilisateur final, agent ou administrateur. Si vous ne transférez pas d’attribut zendesk_role, Zendesk crée l’utilisateur en tant qu’utilisateur final, sauf s’il existe déjà avec un autre rôle. |
custom_role_id | Applicable uniquement si la valeur de l’attribut role ci-dessus est agent. Vous pouvez obtenir les ID de vos rôles personnalisés avec l’API de rôles personnalisés. |
external_id | Un ID utilisateur de votre système si vos utilisateurs sont identifiés par autre chose qu’une adresse e-mail ou si leurs adresses e-mail sont susceptibles de changer. Spécifié sous la forme d’une chaîne. |
user_field_<key> | Une valeur pour un champ d’utilisateur personnalisé dans Zendesk Support. Consultez Ajout de champs personnalisés aux utilisateurs. <key> est la clé du champ affectée au champ d’utilisateur personnalisé dans Zendesk Support. Exemple : user_field_employee_number où employee_number est la clé du champ dans Zendesk. L’envoi d’une valeur nulle ou d’une chaîne vide dans la valeur d’attribut supprime toute valeur de champ personnalisé définie dans Zendesk Support. |