Passer au contenu principal

Intégrez-vous avec un fournisseur d'identité et connectez-vous avec SAML SSO

Connectez-vous à votre espace de travail Fin avec SAML SSO en utilisant Okta, OneLogin ou un autre fournisseur d'identité.

Intégrer votre espace de travail Fin avec votre fournisseur d'identité facilite et sécurise la connexion pour votre équipe.

Suivez les étapes de cet article pour configurer votre fournisseur d'identité, exiger le SAML SSO (Single Sign On) de tous vos coéquipiers, ou l'offrir comme l'une de vos options de connexion.

Configurer votre fournisseur d'identité

Pour activer SAML SSO, allez dans Paramètres > Sécurité et activez SAML SSO sous « Méthodes d'authentification » :

Capture d'écran de la page Paramètres > Sécurité montrant la section Méthodes d'authentification avec le bouton bascule SAML SSO activé

Une fois activé, la section SAML SSO apparaîtra 👇

Capture d'écran montrant la section de configuration SAML SSO qui apparaît après activation du bouton bascule, avec les champs de configuration du fournisseur d'identité

La première chose que vous verrez est l'URL SAML unique pour votre espace de travail :

Capture d'écran montrant l'URL SAML unique pour l'espace de travail affichée en haut de la section de configuration SAML SSO

Vous devrez inclure ceci pour configurer SAML SSO avec votre fournisseur d'identité. Si vous configurez SAML avec l'application Intercom Okta ou OneLogin, vous n'avez besoin que de <SAML URL>.

  • URL de connexion unique : <SAML URL>/consume

  • URL du destinataire : <SAML URL>/consume

  • Restriction d'audience/ID d'entité : <SAML URL>

  • NameID : Adresse e-mail

  • Assertions signées : Oui

  • Attributs mappés

    • firstName (Prénom de l'utilisateur)

    • lastName (Nom de famille de l'utilisateur)

  • Chiffrement : AES256_CBC avec ce certificat :

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour intégrer, vous devrez également ajouter les informations suivantes dans votre espace de travail Fin depuis votre fournisseur d'identité :

  • URL de connexion unique du fournisseur d'identité — C'est l'URL utilisée pour démarrer le processus de connexion.

  • Certificat public — Cela permet à votre espace de travail Fin de valider les requêtes SAML de votre fournisseur d'identité. Il doit s'agir d'un certificat X.509.

    Capture d'écran des paramètres SAML SSO dans Intercom montrant le champ URL de connexion unique du fournisseur d'identité et le champ Certificat public où le certificat X.509 est collé

Si votre fournisseur d'identité le supporte, vous pouvez aussi définir une durée de session dans la configuration de votre fournisseur d'identité, qui fixe la durée avant l'expiration de la session d'un coéquipier et la nécessité de se reconnecter à l'espace de travail Fin. Si ce n'est pas défini, la durée par défaut est de 3,5 jours.

Ensuite, spécifiez les domains autorisés à s'authentifier avec SAML SSO. Entrez un domain sous « Domains autorisés », puis cliquez sur Ajouter domain. Lors de la configuration des domains, assurez-vous qu'ils correspondent à la région sélectionnée de votre espace de travail (par ex., EU ou autres régions géographiques) sur la page de connexion SP pour éviter les erreurs d'authentification.

Capture d'écran de la section Domains autorisés montrant un champ de saisie de domain et le bouton Ajouter domain

Pour garantir que toute votre équipe puisse se connecter avec succès via SAML SSO avant de désactiver d'autres méthodes de connexion, vous devriez laisser ces options activées :

Capture d'écran de la section Méthodes d'authentification montrant les boutons bascule Google Sign-On et Email et mot de passe qui doivent rester activés pendant les tests SAML SSO

Important : Pour décocher cette option et imposer SAML SSO comme méthode de connexion requise, vous devez être connecté avec SAML SSO. Vous pouvez le faire après avoir enregistré vos paramètres.

Ensuite, vous devez vérifier que vous possédez le domain en ajoutant un enregistrement TXT dans vos paramètres DNS avec les valeurs affichées ici :

Capture d'écran montrant la section de vérification DNS avec le nom et la valeur de l'enregistrement TXT à ajouter aux paramètres DNS du domain

Si vous n'avez pas accès à votre fournisseur DNS, vous pourriez avoir besoin d'aide d'un membre de votre équipe.

Après avoir ajouté l'enregistrement TXT dans vos paramètres DNS, cliquez sur « Vérifier l'enregistrement DNS » :

Capture d'écran montrant le bouton Vérifier l'enregistrement DNS à côté du domain en attente de vérification

Note : Si vous venez de créer l'enregistrement DNS, il peut encore être en cours de propagation, dans ce cas vous verrez le message d'avertissement suivant : « Impossible de vérifier l'enregistrement DNS. Veuillez réessayer plus tard. »

Une fois l'enregistrement DNS vérifié, vous verrez un message de succès et le domain apparaîtra ici :

Capture d'écran de la section Domains autorisés montrant un domain vérifié avec un message de confirmation

Si vous devez ajouter plus d'un domain, répétez ce processus pour les autres. 👌

Connexion avec SAML SSO

Une fois SAML SSO activé, les coéquipiers peuvent se connecter en l'utilisant.

E-mail non enregistré pour un compte SAML

Si l'e-mail saisi sur la page de connexion SAML ne correspond à aucun coéquipier appartenant à un espace de travail avec SAML SSO activé, alors le coéquipier voit un message d'erreur.

E-mail enregistré pour un compte SAML

Si l'e-mail correspond à un espace de travail avec SAML SSO, l'utilisateur est directement redirigé vers le fournisseur d'identité qu'il utilise, et invité à se connecter.

E-mail enregistré pour plusieurs comptes SAML

Si l'e-mail correspond à plusieurs espaces de travail avec SAML SSO, vous verrez le sélecteur d'espace de travail où vous pouvez choisir l'espace de travail auquel vous souhaitez vous connecter.

Capture d'écran de l'écran du sélecteur d'espace de travail affiché lorsqu'un e-mail de coéquipier est enregistré dans plusieurs espaces de travail avec SAML SSO activé, listant les espaces de travail disponibles à choisir

Selon le fournisseur d'identité que le coéquipier utilise pour chaque espace de travail, il est redirigé vers l'expérience de connexion du bon fournisseur d'identité. Après la connexion, l'utilisateur est ramené à l'espace de travail correct et connecté.

Prise en charge de SAML lors du changement de comptes

Le SSO SAML est pris en charge lors du passage entre les workspaces.

Lorsque le coéquipier souhaite passer à un workspace où il est déjà connecté, le changement se fait sans friction. Sinon, le coéquipier est redirigé vers le sélecteur de workspace et doit se connecter une fois.

Scénario :

  • Lorsqu’un coéquipier est connecté à deux workspaces utilisant des fournisseurs SSO SAML similaires, il n’est pas nécessaire de se réauthentifier pour passer d’un workspace à l’autre.

  • Si le coéquipier a accès à un troisième workspace avec mot de passe comme méthode d’authentification, et qu’il ne s’est pas connecté, alors nous le redirigeons vers le sélecteur de workspace pour qu’il se connecte une fois avec son mot de passe.

Dépannage du SSO Google Workspace

Si vous utilisez Google Workspace comme fournisseur SSO et que vous voyez un message d’erreur indiquant que vous n’avez pas accès (similaire à l’image ci-dessous), vous pouvez activer les messages de remédiation pour mieux comprendre la raison de l’erreur.

Capture d’écran d’un message d’erreur d’accès SSO Google Workspace indiquant que l’utilisateur n’a pas accès

Une fois activé, vous pourrez voir des informations plus détaillées dans le message d’erreur.

Par exemple, l’erreur suivante pourrait indiquer que l’appareil utilisé n’est pas géré par la gestion des points de terminaison Google :

Capture d’écran d’un message d’erreur détaillé SSO Google Workspace indiquant que l’appareil n’est pas géré par la gestion des points de terminaison Google

Invitations au workspace

Le SSO SAML est également compatible avec les invitations au workspace. Lors de la validation de l’invitation, celle-ci échoue si l’email de l’invitation ne correspond pas à l’email retourné par les fournisseurs d’identité. Sinon, l’invitation peut être validée.

Choisissez d’activer la provision Just-in-Time (JIT)

La provision Just-in-Time ajoutera automatiquement les coéquipiers à votre workspace Fin la première fois qu’ils se connectent avec le SSO SAML, s’ils n’ont pas déjà un compte Fin.

Pour activer cela, allez dans Paramètres > Sécurité, assurez-vous que le SSO SAML est activé, puis cliquez sur Provisioning.

Capture d’écran de la page des paramètres SSO SAML montrant la section Provisioning avec les options de provision Just-in-Time

Puis activez la provision Just-in-Time.

Capture d’écran montrant le bouton de provision Just-in-Time activé

Vous pouvez également configurer les permissions pour les nouveaux coéquipiers ajoutés via la provision JIT ou lorsque la provision des rôles basée sur SCIM est désactivée. Pour définir les permissions par défaut des coéquipiers, cliquez sur Modifier.

Capture d’écran des paramètres de permissions par défaut pour les nouveaux coéquipiers ajoutés via la provision Just-in-Time

Enfin, enregistrez vos paramètres et testez votre configuration en vous authentifiant avec votre fournisseur d’identité.

Une fois que votre workspace a activé le SSO SAML avec n’importe quel fournisseur, les coéquipiers ne pourront plus modifier leur propre adresse email depuis leur page Sécurité du compte. Le champ email sera en lecture seule.

Configuration de SAML avec OneLogin

Il est facile de configurer le SSO SAML avec OneLogin. Utilisez simplement l’application Intercom dans la boutique OneLogin.

Allez dans « Applications » sur votre page d’administration et cliquez sur « Ajouter une application » :

Capture d’écran du tableau de bord administrateur OneLogin sur la page Applications avec le bouton Ajouter une application

Ensuite, recherchez l’application « Intercom SAML 2.0 » et ajoutez-la :

Capture d’écran des résultats de recherche de l’application OneLogin montrant l’application Intercom SAML 2.0

Après avoir ajouté l’application Intercom, ouvrez l’onglet Configuration et saisissez le nom SAML de votre workspace :

Capture d’écran de l’onglet Configuration de l’application OneLogin Intercom montrant le champ nom SAML où le nom SAML du workspace est saisi

Dans l’onglet SSO, copiez l’URL "SAML 2.0 Endpoint" et collez-la dans les paramètres SAML de votre workspace :

Capture d’écran de l’onglet SSO de l’application OneLogin Intercom montrant l’URL SAML 2.0 Endpoint à copier dans les paramètres SAML d’Intercom

Enfin, cliquez sur « Voir les détails » sous le certificat et copiez-le également dans votre workspace Fin :

Capture d’écran de la vue des détails du certificat OneLogin montrant le certificat à copier-coller dans le champ Certificat public d’Intercom

Vous pouvez maintenant vous authentifier avec OneLogin et enregistrer vos paramètres dans votre workspace Fin, et vous êtes prêt à partir. 👌

Note : Si votre workspace est hébergé dans l’UE ou l’AU, contactez l’équipe OneLogin pour vous assurer que votre intégration est prise en charge.

Configuration du SSO SAML avec Okta

Configurez facilement le SSO SAML avec l’application Intercom dans la boutique d’applications Okta.

Allez dans « Ajouter une application » sur votre page d’administration et recherchez Intercom. Cliquez sur « Ajouter » :

Capture d’écran de la boutique d’applications Okta montrant le résultat de recherche de l’application Intercom avec un bouton Ajouter


Procédez à l’étape 2 et consultez les instructions d’installation :

Capture d’écran des instructions d’installation de l’application Okta Intercom montrant l’URL de l’émetteur du fournisseur d’identité et les champs du certificat public


Ces instructions sont adaptées à votre compte Okta et contiennent les éléments suivants :

  • URL de l’émetteur du fournisseur d’identité.

  • Certificat public.

Vous devez copier et coller ces valeurs dans les paramètres SAML de votre workspace.

Après avoir ajouté l’URL et le certificat, retournez sur Okta et saisissez le nom SAML de votre workspace dans « Paramètres avancés de connexion » :

Capture d’écran du champ Paramètres avancés de connexion de l’application Okta Intercom où le nom SAML du workspace est saisi

Voir ci-dessus les instructions pour trouver votre nom SAML.


Ensuite, enregistrez le certificat de chiffrement fourni par Okta sous intercom.pem et téléchargez-le ici :

Capture d'écran du champ de téléchargement du certificat de chiffrement Okta où le fichier certificat intercom.pem est téléchargé

Vous pouvez maintenant enregistrer vos paramètres dans Okta, puis confirmer l'authentification dans votre espace de travail Fin, et tout est prêt. 👌

Articles connexes
Déployer Copilot sur Zendesk
Protégez votre compte avec 2FA, Google Sign-On ou SAML SSO
Avez-vous trouvé la réponse à votre question ?