Guide SSO

Introduction

L’intégration de l’authentification unique (SSO) avec Zoom offre aux administrateurs des options de gestion des utilisateurs et de sécurité qui peuvent simplifier la gestion du compte. Une fois configurés, les utilisateurs s’authentifient avec leurs identifiants d’entreprise auprès du fournisseur d’identité de votre entreprise au lieu d’utiliser d’autres méthodes d’authentification comme les intégrations Google ou Facebook, ou un nom d’utilisateur et un mot de passe directs avec Zoom.

Ce document fournit un aperçu complet des configurations et paramètres SSO dans Zoom, ainsi que des informations de dépannage et de sécurité.

Intégrations SSO

Le SSO nécessite une URL Vanity pour commencer

Un compte doit disposer d’une URL Vanity approuvée avant de configurer le SSO. Une fois l’URL Vanity approuvée, les administrateurs Zoom peuvent accéder à la configuration SSO page via le sous-menu des options avancées du portail Web. Reportez-vous à notre article d’assistance sur URL Vanity pour plus d’informations.

Le SSO Zoom fonctionne avec tout fournisseur d’identité SAML 2.0

Zoom peut s’intégrer à tout fournisseur d’identité qui prend en charge l’authentification Security Assertion Markup Language (SAML) 2.0. Bien qu’il existe de nombreux guides d’intégration documentés, certains fournisseurs d’identité ne fournissent pas de documentation pour l’intégration avec Zoom. Les comptes qui ne trouvent pas d’instructions de configuration sont encouragés à contacter leur fournisseur d’identité pour plus d’informations.

Les administrateurs Zoom peuvent gérer les informations de profil utilisateur et les licences via le mappage de réponse SAML ou les intégrations SCIM

Les administrateurs peuvent gérer les informations de profil utilisateur et les licences via le mappage de réponse SAML ou les requêtes de l’API System for Cross-Domain Identity Management (SCIM), selon les fonctionnalités disponibles auprès du fournisseur d’identité. Les deux méthodes de gestion des utilisateurs offrent des fonctionnalités quasi identiques pour le mappage des informations de profil et la gestion des licences, mais certains mappages SCIM nécessitent une configuration manuelle.

Pour une liste complète des capacités SCIM, consultez notre documentation de l’API SCIM.

Les administrateurs Zoom peuvent gérer le statut du compte utilisateur via SCIM, mais pas via SAML

Parce que SCIM permet aux fournisseurs d’identité de communiquer directement avec Zoom à tout moment, les comptes utilisateur peuvent être activés, désactivés, créés, ou supprimés automatiquement via les intégrations SCIM. Par exemple, si le compte d’un utilisateur dans Active Directory est désactivé, ou s’il se voit retirer l’application, SCIM peut envoyer automatiquement une demande de désactivation pour le compte de l’utilisateur au sein de Zoom. Cette fonctionnalité dépend des capacités de l’application SCIM du fournisseur d’identité et les fonctionnalités peuvent varier selon le fournisseur.

Peu de fournisseurs d’identité proposent SCIM pour Zoom

De nombreux fournisseurs d’identité n’ont pas d’intégration SCIM conçue pour Zoom dans le cadre de leurs services. Les comptes utilisant un fournisseur d’identité qui ne prend pas en charge SCIM avec Zoom doivent utiliser le mappage de réponse SAML pour la gestion automatisée des utilisateurs.

SCIM nécessite un domaine associé pour provisionner automatiquement les utilisateurs

Les comptes qui utilisent SCIM pour gérer et provisionner des utilisateurs pour le SSO doivent associer le domaine d’e-mail à Zoom. Le fait de ne pas associer le domaine entraînera des échecs de provisionnement des utilisateurs. Reportez-vous à notre article d’assistance sur Domaines associés pour plus d’informations sur le processus.

Les intégrations SSO suivantes sont documentées

Active Directory sur site peut utiliser l’outil AD Sync au lieu de SCIM

Les comptes qui souhaitent automatiser le provisionnement des utilisateurs via SCIM mais ne disposent pas d’un fournisseur d’identité basé sur le cloud peuvent utiliser l’application Active Directory (AD) Sync Tool développée par Zoom pour gérer leurs utilisateurs. Cette application fonctionne sur Oracle JDK 8 et simule le provisionnement SCIM en gérant les utilisateurs via des commandes d’API. Consultez notre article d’assistance sur le Outil AD Sync pour plus d’informations.

Les fournisseurs d’identité peuvent même authentifier les participants à une réunion qui n’ont pas de compte Zoom

Les comptes qui souhaitent exiger que les utilisateurs authentifient leur identité sans vouloir attribuer de comptes Zoom peuvent configurer un profil d’authentification externe avec leur fournisseur d’identité. Lorsqu’il est activé pour une réunion, les utilisateurs qui tentent de rejoindre doivent authentifier leurs identifiants auprès de votre fournisseur d’identité pour obtenir l’accès. Il s’agit d’une configuration courante pour les écoles qui ne fournissent pas de comptes à tous les étudiants mais exigent une authentification pour rejoindre les cours. Reportez-vous à notre article d’assistance sur configuration de l’authentification externe pour plus d’informations.

Changer de fournisseur d’identité nécessite de reconfigurer le SSO dans Zoom

Les comptes qui changent de fournisseur d’identité doivent refaire leur configuration SSO dans Zoom. Cela inclut la mise à jour de tous les champs de la page de configuration pour correspondre à leur nouveau fournisseur d’identité. Il est recommandé aux comptes de confirmer que les mappages de réponse SAML ne changeront pas avec le nouveau fournisseur d’identité.

Aucune configuration ou changement supplémentaire ne devrait être requis, en supposant qu’il n’y ait pas d’autres modifications.

Les clients disposant de sous-comptes peuvent configurer le SSO depuis le compte principal ou le sous-compte

Les clients disposant de sous-comptes ont deux options pour configurer le SSO :

1. Tous les utilisateurs s’authentifient en utilisant l’URL Vanity du compte principal et sont automatiquement connectés au sous-compte via un mappage SAML avancé (certaines limites de mappage s’appliquent); ou

2. Chaque sous-compte dispose d’une URL Vanity unique et d’une configuration SSO indépendante, utilisée exclusivement par les membres de ce sous-compte

Chaque configuration offre des avantages uniques, la deuxième option offrant la plus grande flexibilité. Les clients qui envisagent la mise en œuvre de l’une ou l’autre configuration doivent en discuter avec leur équipe de compte pour déterminer celle qui convient le mieux à leurs besoins.

Paramètres et sécurité du SSO

Les administrateurs Zoom peuvent choisir les options optimales de sécurité et de paramètres pour leur organisation lors de la configuration d’une intégration SSO avec Zoom. Cette section explique ces paramètres et leurs implications pour une intégration SSO.

Zoom prend en charge la signature des requêtes SAML de connexion et de déconnexion

Les administrateurs Zoom qui exigent une authentification supplémentaire du fournisseur de service peuvent configurer Zoom pour signer toutes les requêtes de connexion et de déconnexion envoyées au fournisseur d’identité.

Les comptes qui utilisent ce paramètre peuvent nécessiter une rotation de certificat si leur fournisseur d’identité ne prend pas en charge le rafraîchissement dynamique des métadonnées. Consultez notre article d’assistance sur rotation de certificat pour plus d’informations.

Zoom prend en charge les assertions SAML chiffrées lors de l’authentification

Les administrateurs Zoom peuvent configurer Zoom pour prendre en charge les assertions chiffrées lors de l’authentification. Si ce paramètre est activé, les assertions non chiffrées seront rejetées. Les comptes qui utilisent ce paramètre peuvent nécessiter une rotation du certificat SSO si leur fournisseur d’identité ne prend pas en charge le rafraîchissement dynamique des métadonnées. Consultez notre article d’assistance sur rotation de certificat pour plus d’informations.

Les administrateurs Zoom peuvent imposer la déconnexion automatique après une durée définie

Les administrateurs Zoom peuvent configurer Zoom pour déconnecter automatiquement les utilisateurs des sessions actives après des durées définies, personnalisables de 15 minutes à 180 jours. Ce processus fera expirer le jeton d’accès Zoom à la durée prédéterminée une fois le jeton généré. Ce jeton n’a aucune relation avec un fournisseur d’identité et est propre à Zoom.

Les journaux de réponse SAML peuvent être enregistrés pour le dépannage

Zoom peut enregistrer les journaux de réponse SAML des tentatives d’authentification pendant sept jours après une authentification. Ces journaux de réponse peuvent être un outil inestimable pour dépanner les erreurs de configuration et d’utilisateur, en plus des configurations de mappage de réponse SAML. Consultez la section sur dépannage des erreurs avec les journaux de réponse SAML pour plus d’informations.

Le provisionnement à la connexion peut créer des comptes instantanément et est l’option de provisionnement la plus simple

Lorsque le SSO est défini pour provisionner À la connexion (également connu sous le nom de provisioning juste-à-temps), tout utilisateur autorisé au sein du fournisseur d’identité peut s’authentifier dans Zoom. Les utilisateurs qui n’ont pas de compte existant en verront un créé immédiatement lors de la connexion.

Le provisionnement à la connexion peut simplifier le déploiement de Zoom dans une entreprise en permettant aux utilisateurs de créer leurs comptes au moment de l’authentification au lieu d’exiger une création proactive des utilisateurs. Combiné au mappage de réponse SAML, un profil utilisateur complet et la licence sont prêts en quelques secondes après la première authentification d’un utilisateur.

De plus, le provisionnement à la connexion peut créer dynamiquement le type de connexion SSO pour les comptes préexistants. Si un utilisateur possède un compte Zoom existant avec un nom d’utilisateur et un mot de passe, un type de connexion SSO sera créé lors de la connexion avec cette configuration.

Le provisionnement avant la connexion nécessite des comptes pré-créés avec un type de connexion SSO

Le provisionnement des utilisateurs pour le SSO avant la connexion exige que les utilisateurs qui s’authentifient disposent à la fois d’un compte Zoom existant, et que le compte ait un type de connexion SSO créé. Ce type de provisionnement est souvent associé au provisionnement SCIM en raison du processus automatisé de création de compte mais n’y est pas exclusif. Les utilisateurs Zoom qui se consolident dans le compte d’entreprise via des domaines associés ou une invitation directe ne sont probablement pas susceptibles d’avoir le type de connexion SSO.

Les administrateurs Zoom peuvent confirmer si un compte dispose d’un type de connexion SSO en affichant le compte utilisateur sur la Gestion des utilisateurs page dans le portail Web et en recherchant l’icône “SSO” sous l’adresse e-mail de l’utilisateur.

Si l’icône est présente, l’utilisateur est provisionné pour le SSO ; si l’icône est absente, l’utilisateur ne pourra pas se connecter via SSO tant que le pré-provisionnement est activé, jusqu’à ce qu’elle soit ajoutée. Un administrateur Zoom peut ajouter ce type de connexion en ajoutant des utilisateurs en masse via un fichier CSV et en sélectionnant l’option “Utilisateur SSO” ou demander à l’utilisateur de s’authentifier pendant que le provisionnement à la connexion est activé.

Un domaine doit être associé et géré pour appliquer l’authentification SSO

Les administrateurs Zoom peuvent appliquer l’authentification SSO uniquement si le domaine de messagerie est associé et géré dans Zoom. Lorsqu’il est activé, tous les utilisateurs s’authentifiant avec le(s) domaine(s) de votre entreprise seront automatiquement redirigés vers la page d’authentification de votre fournisseur d’identité, quelle que soit la plateforme.

Une fois le domaine approuvé et géré, un administrateur Zoom peut appliquer l’authentification SSO via la page de sécurité sous Méthodes de connexion. Reportez-vous à notre article d’assistance sur Domaines associés pour plus d’informations sur l’association et la gestion d’un domaine.

Des utilisateurs spécifiés peuvent être exemptés de l’authentification SSO appliquée

Les administrateurs Zoom peuvent exclure des utilisateurs spécifiques de l’authentification SSO appliquée. L’exclusion de certains utilisateurs (comme un compte administrateur) peut être utile si une configuration SSO se casse et qu’un administrateur de compte a besoin d’un accès non-SSO au compte Zoom. Les administrateurs exemptés peuvent se connecter à admin.zoom.us à tout moment en cas de verrouillage du compte ou de configuration SSO défaillante (l’utilisateur doit avoir le rôle admin standard). Si un administrateur Zoom ne peut pas accéder au compte, il doit contacter l’assistance Zoom pour obtenir de l’aide.

Pour activer une exception d’utilisateur, accédez au page de sécurité compte sur le portail Web dans les options avancées, localisez la liste des domaines appliqués et ajoutez une exception via l’édition de la liste.

Les clients mobiles et de bureau peuvent être configurés pour exiger que les utilisateurs utilisent l’authentification SSO

Les clients Zoom peuvent être préconfigurés pour automatiser la fonctionnalité SSO, y compris la connexion automatique, la déconnexion automatique, l’authentification uniquement SSO sur l’appareil, et plus encore via la stratégie de groupe, les services de gestion des appareils mobiles (MDM) et les clients de déploiement massif.

Pour une liste complète des possibilités de configuration, consultez nos options de configuration pour Stratégie de groupe, iOS, Android, Mac et Windows.

Les utilisateurs Office 365 peuvent se connecter automatiquement au module complémentaire Zoom pour Outlook en utilisant les identifiants SSO

Les clients qui utilisent Office 365 peuvent connecter automatiquement leurs utilisateurs au module complémentaire Zoom pour Outlook en utilisant les identifiants SSO. Cela peut être associé à un manifeste d’extension personnalisé qui pré-remplit l’URL vanity du compte, créant une expérience d’authentification transparente pour les utilisateurs. Cette fonctionnalité utilise le jeton de session SSO de l’utilisateur s’il est actif, ou invitera à une nouvelle authentification auprès de votre fournisseur d’identité si aucune session active n’est trouvée.

Un administrateur Zoom peut activer ce paramètre dans page de sécurité du compte sous le menu avancé .

Mappage de réponse SAML

Les attributs SAML sont des catégories de données définies par des valeurs SAML, et sont utilisés pour transmettre des informations du fournisseur d’identité vers un fournisseur de service comme Zoom. Le mappage des attributs et des valeurs est essentiel pour automatiser les informations de profil utilisateur et gérer les licences utilisateur.

Le mappage de réponse SAML est divisé en deux parties : de base et avancé. Le mappage de base est utilisé pour mapper les informations de profil de base, y compris le nom, le numéro de téléphone, le département, etc. Le mappage avancé est utilisé pour gérer les affectations dynamiques de licences, l’attribution de groupes d’utilisateurs, les rôles des utilisateurs, et plus encore.

Cette section couvre les fondamentaux du mappage de réponse SAML, le mappage SAML de base et avancé, et met en évidence les conditions uniques requises pour certaines fonctionnalités.

Fondamentaux : attributs et valeurs SAML

La plupart des fournisseurs d’identité transmettent des informations de profil de base en utilisant des noms et des valeurs d’attributs simples. Par exemple, le département d’un employé peut être transmis via SAML avec un attribut department et une valeur Human Resources. Le tableau suivant illustre la relation entre les attributs et les valeurs lors de la transmission d’informations sur un utilisateur.

En affectant correctement un attribut SAML à un mappage de réponse, les informations utilisateur peuvent être appliquées automatiquement au profil d’un utilisateur pour simplifier le processus de création et de gestion du compte.

Mappage de base : informations de profil

Le mappage d’informations SAML de base est utilisé pour appliquer des informations de profil comme le prénom, le nom, le département, le numéro de téléphone, le centre de coût et l’emplacement à partir d’un annuaire vers le profil d’un utilisateur. Beaucoup de ces catégories sont explicites et peuvent être facilement configurées ; cependant, certaines catégories nécessitent une explication pour une configuration appropriée afin d’éviter des conséquences inattendues ou des erreurs d’application. La section suivante met en évidence les options de mappage et les paramètres de configuration uniques pour le mappage de base. Consultez notre article Mappage SAML de base pour une liste complète des attributs pris en charge.

Le type de licence par défaut ne s’applique qu’aux utilisateurs tout neufs

L’option de type de licence par défaut appliquera la licence désignée à tous les utilisateurs tout neufs qui sont provisionnés dans le compte via SAML. Cela ne s’applique pas aux utilisateurs qui s’authentifient pour la deuxième fois, aux utilisateurs qui se sont consolidés dans le compte depuis un compte précédent, aux utilisateurs provisionnés via SCIM, ou aux utilisateurs qui ont été invités manuellement.

Pour des informations sur la mise à jour des licences utilisateur via l’authentification, reportez-vous à la configuration des licences sous Mappage SAML avancé.

Un type de licence par défaut de Aucun n’autorisera pas les nouveaux utilisateurs à s’authentifier à moins que le mappage avancé ne soit configuré pour attribuer une licence

Les utilisateurs Zoom doivent disposer d’un type de licence attribué (Basique, Sous licence, ou Sur site) pour se connecter au service Zoom. Si un type de licence par défaut Aucun est sélectionné, les nouveaux utilisateurs ne peuvent pas se connecter ni créer un nouveau compte à moins qu’ils ne reçoivent une licence via Mappage SAML avancé.

La plupart des mappages de base seront réappliqués à la connexion, sauf indication contraire

La plupart des mappages SAML de base se mettront à jour chaque fois qu’un utilisateur se connecte par défaut, sauf pour le prénom, le nom, le nom d’affichage et le numéro de téléphone. Par défaut, ces quatre mappages ne s’appliqueront que la première fois qu’un utilisateur s’authentifie et ne se réappliqueront pas, même s’ils sont mis à jour par un utilisateur ou un administrateur. Les administrateurs Zoom peuvent modifier ce comportement en activant l’option Mettre à jour à chaque connexion SSO sur la page de mappage de réponse SAML.

Les mappages de numéro de téléphone doivent inclure un indicatif pays et un indicatif régional si en dehors des États-Unis

Les numéros de téléphone mappés via SAML doivent inclure, si possible, l’indicatif pays et l’indicatif régional de l’utilisateur dans l’assertion SAML. Par défaut, Zoom supposera un indicatif pays de +1 s’il n’est pas défini.

Les comptes qui ne conservent pas les indicatifs pays dans leur annuaire peuvent modifier leurs assertions SAML auprès de leur fournisseur d’identité pour les inclure automatiquement si nécessaire.

Chaque utilisateur peut avoir jusqu’à trois numéros de téléphone et un numéro de fax mappés à son profil

Les administrateurs Zoom peuvent configurer jusqu’à trois numéros de téléphone distincts et un mappage de numéro de fax pour chaque utilisateur. Chaque numéro de téléphone doit être unique et ne peut pas dupliquer la valeur d’un autre champ.

Les photos de profil doivent être mappées à partir d’une URL accessible publiquement ou encodées en Base64

Les comptes qui souhaitent mapper des photos de profil depuis leur annuaire doivent mapper les images en utilisant soit une URL accessible publiquement, soit encoder l’image en Base64 lors de l’assertion.

Identifiant unique de l’employé

L’identifiant unique de l’employé modifie l’identifiant principal utilisé par Zoom pour identifier les utilisateurs

Le Identifiant unique de l’employé est une fonctionnalité proposée par Zoom pour aider à la gestion des identités. Par défaut, l’identification principale d’un utilisateur Zoom est son email adresse. Cela signifie que si le type de connexion par e-mail professionnel est [email protected], alors Zoom identifiera toujours cet utilisateur par cette adresse e‑mail. Cet identifiant est ce qui permet à des intégrations comme le SSO ou les comptes OAuth Facebook et Google d’associer l’utilisateur au même compte Zoom.

Cependant, ce processus d’identification peut poser problème si le nom ou l’e‑mail d’un utilisateur change. Par exemple, si [email protected] a un changement d’e‑mail vers [email protected], Zoom ne peut pas déterminer en toute sécurité qu’il s’agit de la même personne (car l’identifiant fondamental est différent) et Zoom créera donc un nouveau compte la première fois que [email protected] se connecte.

Pour simplifier ce problème, Zoom propose la fonctionnalité Identifiant unique de l’employé, qui remplace l’identifiant principal d’un utilisateur par son adresse e‑mail par un ID unique établi. Cela ne modifie pas le nom d’utilisateur Zoom d’un utilisateur, mais offre plutôt un attribut d’identification alternatif. Ce changement permet à Zoom de mettre à jour dynamiquement l’adresse e‑mail d’un utilisateur dans Zoom si :

• un nouvel adresse e‑mail est accompagnée d’un Identifiant unique d’employé connu ; et

• le domaine de messagerie de l’utilisateur concerné est associé dans Zoom

Par exemple, si [email protected] s’authentifie et transmet une valeur SAML de 12345 (leur numéro d’employé) pour l’attribut Identifiant unique de l’employé, Zoom identifiera désormais l’utilisateur dans le compte par la valeur assertée. Si John s’authentifie à nouveau en utilisant l’adresse e‑mail [email protected] tout en transmettant toujours l’Identifiant unique de l’employé 12345, Zoom reconnaîtra que [email protected] est désormais [email protected] et mettra à jour dynamiquement l’e‑mail de l’utilisateur dans le compte si le domaine est associé.

Les administrateurs d’identité doivent être sûrs qu’aucun deux utilisateurs n’utiliseront le même identifiant unique d’employé avant d’établir le mappage SAML pour cette catégorie. Si un autre utilisateur s’authentifie et transmet la même valeur, l’e‑mail sera à nouveau mis à jour pour le nouvel utilisateur et peut provoquer des perturbations significatives des services et de l’expérience utilisateur.

La fonctionnalité Identifiant unique de l’employé nécessite des domaines associés pour modifier l’e‑mail d’un utilisateur

La fonctionnalité Identifiant unique de l’employé ne peut pas mettre à jour l’adresse e‑mail d’un utilisateur à moins que le domaine e‑mail ne soit officiellement associé à votre profil de compte. Consultez notre article d’assistance sur Domaines associés pour plus d’informations.

Les administrateurs et propriétaires ne peuvent pas mettre à jour leur e‑mail via l’Identifiant unique de l’employé

Les e‑mails des administrateurs et des propriétaires dans Zoom ne peuvent pas être mis à jour via la fonctionnalité Identifiant unique de l’employé. Ceci est conçu comme une mesure de sécurité pour empêcher un accès non autorisé. Les administrateurs et propriétaires doivent modifier leur e‑mail via leur page de profil.

Les e‑mails des utilisateurs ne peuvent être mis à jour qu’une fois par jour via l’Identifiant unique de l’employé

Les e‑mails des utilisateurs ne peuvent être mis à jour qu’une fois toutes les 24 heures via la fonctionnalité Identifiant unique de l’employé. Un utilisateur doit attendre un jour calendaire complet depuis la mise à jour précédente avant de mettre à jour son e‑mail via le SSO à nouveau.

Définir l’attribut SAML sur <NameID> utilisera le NameID asserté de l’utilisateur

Le mappage de l’attribut SAML Identifiant unique de l’employé sur <NameID> utilisera automatiquement la valeur NameID assertée de l’utilisateur comme identifiant unique. Cela peut être un outil utile si votre fournisseur d’identité affirme un NameID autre que l’e‑mail d’un utilisateur, comme un User Principal Name (UPN) ou une valeur similaire qui ne change pas. N’utilisez pas cette valeur si les NameID des utilisateurs correspondent à leur e‑mail.

Mappage avancé : licences, modules complémentaires et accès

La section Mappage d’informations SAML avancé peut appliquer dynamiquement des licences (y compris Zoom Phone), des modules complémentaires et des groupes d’accès utilisateur aux utilisateurs lorsqu’ils s’authentifient. Contrairement au mappage de base, le mappage avancé contient de nombreuses subtilités qui peuvent nécessiter une attention diligente lors de la configuration, en fonction de la complexité de votre environnement. Cette section met en évidence les particularités de la configuration du mappage SAML avancé. Consultez notre article Mappage SAML avancé pour une liste complète des attributs pris en charge.

Le mappage avancé s’applique à chaque fois qu’un utilisateur s’authentifie

Contrairement au mappage de base, qui comporte des mises à jour optionnelles pour certaines catégories, les configurations de mappage avancé s’appliqueront chaque fois qu’un utilisateur s’authentifie, conformément à l’ordre d’application de haut en bas.

Par exemple, si un utilisateur a une licence basique puis s’authentifie via SSO en transmettant un attribut SAML et une valeur mappés pour accorder une licence complète, l’utilisateur se verra immédiatement attribuer la licence complète. Si le profil de l’utilisateur est ensuite modifié dans le fournisseur d’identité pour le ramener à une licence basique, il se verra réattribuer la licence basique lors de sa réauthentification dans Zoom.

Le mappage avancé permet plusieurs attributs et valeurs SAML par catégorie

Contrairement au mappage de base, qui n’autorise qu’un seul attribut SAML par catégorie, le mappage avancé peut prendre en charge plusieurs attributs et valeurs pour chaque catégorie. Cela offre une grande flexibilité pour gérer les licences utilisateur et l’accès via des groupes de sécurité dans votre fournisseur d’identité comme illustré dans la configuration suivante.

Le mappage avancé attribue les licences de haut en bas lorsque plusieurs attributs sont assertés

Si un utilisateur transmet plusieurs attributs ou valeurs SAML configurés pour le mappage SAML avancé, Zoom mappera les licences de haut en bas. Voir l’exemple suivant :

Selon la configuration ci‑dessus, si un utilisateur passait un attribut pour à la fois global_users et marketing, parce que marketing est le plus élevé dans la configuration, cet attribut sera appliqué à l’utilisateur, et les autres attributs applicables seront ignorés.

Alternativement, si la configuration était définie avec global_users comme la priorité la plus élevée, comme montré dans la capture d’écran suivante, si l’assertion d’un utilisateur contenait global_users, marketing, human resources, et IT, parce que global_users est la priorité la plus élevée, seule une licence basique sera assertée.

Les administrateurs Zoom peuvent ajuster l’ordre d’application lors de l’édition des valeurs de mappage en utilisant les flèches ↑↓ dans l’éditeur.

Les mappages Webinar et Grande réunion peuvent partager une valeur commune pour appliquer les deux modules complémentaires

Pour simplifier le processus d’application, les administrateurs Zoom peuvent configurer le même attribut et la même valeur SAML deux fois pour appliquer à la fois les modules complémentaires Webinar et Grande réunion aux utilisateurs, comme illustré dans l’image suivante avec la global_users valeur. Ces modules complémentaires peuvent également être configurés indépendamment si souhaité, comme montré avec les webinar_only et large_meeting_only valeurs.

Les utilisateurs peuvent être ajoutés à plusieurs groupes d’utilisateurs en utilisant une seule valeur SAML

Les administrateurs Zoom peuvent configurer le mappage des groupes d’utilisateurs pour ajouter un utilisateur à plusieurs groupes avec une seule valeur SAML.

Le premier groupe d’utilisateurs ajouté sera défini comme Groupe principal de l’utilisateur et déterminera les paramètres par défaut de l’utilisateur sauf si un groupe sous-jacent a un paramètre verrouillé. Pour plus d’informations sur les groupes d’utilisateurs, reportez-vous à notre article d’assistance.

Des utilisateurs et groupes d’utilisateurs spécifiés peuvent être exemptés de mappages SAML spécifiques

Chaque option du Mappage SAML avancé peut être configurée pour exempter des utilisateurs spécifiques et des groupes d’utilisateurs du comportement de mappage. Cela peut être utile pour empêcher que des utilisateurs VIP ne subissent une interruption de service due à un éventuel changement de licence.

Le mappage automatique assigne automatiquement les utilisateurs à un groupe Utilisateur, Canal ou IM portant le nom de leur valeur SAML assertée si la valeur n’est pas déjà mappée à un groupe

Le mappage automatique peut être utilisé pour assigner automatiquement les utilisateurs à un groupe d’utilisateurs, un canal et un groupe IM portant le nom de leur valeur SAML assertée. Contrairement aux autres composants de mappage avancé, qui peuvent être configurés pour attribuer un utilisateur à n’importe quel groupe en fonction de la valeur SAML, le mappage automatique assigne toujours un utilisateur à un groupe basé sur la valeur SAML exacte. Si le groupe n’existait pas auparavant, il sera créé automatiquement.

Par exemple, si le mappage automatique est configuré pour mapper un utilisateur dans les groupes en fonction de leur département, si la valeur de leur département n’est pas déjà définie pour le groupe d’utilisateurs, le canal ou le groupe IM, les utilisateurs seront automatiquement affectés à un groupe correspondant au nom de leur département, comme indiqué dans le tableau suivant :

Zoom prend en charge jusqu’à cinq attributs SAML personnalisés

Les administrateurs Zoom peuvent configurer jusqu’à cinq attributs SAML personnalisés pour ajouter des données utilisateur à leur profil Zoom sous la page gestion avancée des utilisateurs . Après avoir ajouté les champs personnalisés, les administrateurs Zoom peuvent configurer le mappage sur la Mappage de réponse SAML page.

Mapper les utilisateurs vers un sous‑compte uniquement appliquera une licence de réunion et des modules complémentaires

Le mappage d’un utilisateur vers un sous‑compte n’appliquera qu’une licence de réunion de l’utilisateur et des modules complémentaires comme Webinar et Grande réunion au sous‑compte. Les groupes d’utilisateurs, les groupes IM, les rôles utilisateur, etc., ne s’appliqueront pas et doivent être configurés dans le sous‑compte.

Les clients qui exigent plus de flexibilité pour le mappage de réponse SAML avec des sous‑comptes nécessiteront une URL Vanity unique et une nouvelle configuration SSO au sein du sous‑compte.

Dépannage du SSO

Utilisation des journaux de réponse SAML pour le dépannage

Les journaux de réponse SAML enregistrés peuvent être un outil inestimable pour dépanner les erreurs de configuration et d’utilisateur, en plus des configurations de mappage de réponse SAML. Si votre configuration SSO est définie pour enregistrer les journaux de réponse SAML, ils sont accessibles via l’onglet Journal de réponse SAML disponible dans la page de configuration SSO dans Paramètres avancés. Pour afficher les journaux de réponse SAML, cliquez sur Afficher les détails à côté d’une tentative d’authentification.

La plupart des authentifications s’afficheront dans les journaux de réponse

La plupart des tentatives d’authentification échouées ou infructueuses s’afficheront sur la page des journaux de réponse. Si une tentative d’authentification ne s’affiche pas, il est très probable que Zoom n’ait pas reçu d’assertion SAML de votre fournisseur d’identité, ou que l’enregistrement des journaux de réponse SAML soit désactivé.

Les journaux de réponse peuvent indiquer si votre configuration est incorrecte ou si votre certificat est obsolète

Lorsque les journaux de réponse SAML sont activés, les informations du fournisseur d’identité sont assertées à Zoom pour authentifier les identités de chaque partie. Si un paramètre ou une chaîne d’informations assertés, comme le certificat X509 ou l’ID de l’émetteur, est différent de la configuration actuelle de Zoom, une erreur s’affichera indiquant que les informations « ne correspondent pas aux paramètres SSO actuels ». Un administrateur Zoom peut mettre à jour la configuration SSO pour faire correspondre ces valeurs assertées si elles sont correctes afin de résoudre l’erreur.

Les journaux de réponse indiquent quelles valeurs et quels attributs SAML sont assertés

L’examen des journaux de réponse peut aider à résoudre les configurations de mappage de réponse SAML en vérifiant quels attributs et quelles valeurs sont assertés par les utilisateurs lors de leur authentification. Ceux‑ci peuvent être comparés à la configuration pour s’assurer que les attributs et les valeurs correspondent.

Si des attributs ou des valeurs SAML sont manquants, les informations ne sont pas assertées par le service du fournisseur d’identité. Les utilisateurs rencontrant ce problème sont encouragés à contacter le support de leur fournisseur d’identité pour obtenir plus d’aide.

Les journaux de réponse incluent un code d’erreur et une brève explication en cas d’échec

Si un utilisateur ne peut pas s’authentifier ou reçoit une erreur, les journaux de réponse SAML contiennent un code d’erreur et une brève explication de l’erreur.

La plupart des problèmes peuvent être identifiés et résolus en utilisant ces messages d’erreur. Si vous ne parvenez pas à résoudre l’erreur, contactez l’assistance Zoom pour obtenir une aide supplémentaire.

Erreurs d’ID de suivi Web

Si un utilisateur échoue à l’authentification SSO, il recevra un code d’erreur WEB Tracking ID. Ces codes ne sont pas un message d’erreur lié à une défaillance spécifique, mais sont plutôt un identifiant de journal unique qui peut être examiné dans le mappage de réponse SAML pour identifier les problèmes d’authentification.

Pour identifier l’erreur, si l’enregistrement des réponses SAML est activé, accédez à l’onglet Journal de réponse SAML disponible dans la page de configuration SSO dans Paramètres avancés. À partir de là, saisissez l’identifiant de suivi WEB dans le champ Tracking ID et recherchez pour remplir le journal de réponse

Les journaux de réponse SAML doivent afficher l’assertion SAML et un code d’erreur ainsi qu’un message en bas de la réponse qui peuvent être utilisés pour un dépannage supplémentaire.

Erreurs SCIM

L’utilisateur n’existe pas ou n’appartient pas à ce compte

Cette erreur se produit lorsqu’une adresse e‑mail d’utilisateur ciblée ne peut pas être provisionnée en raison d’un compte déjà existant. Il est conseillé aux administrateurs Zoom de contacter directement l’utilisateur et d’inviter manuellement l’utilisateur sur le compte.

Vous ne pouvez pas ajouter d’utilisateurs payants

Cette erreur se produit lorsque SCIM tente de provisionner un utilisateur alors qu’il n’y a pas suffisamment de licences sur le compte. Pour résoudre l’erreur, l’utilisateur doit être provisionné en tant qu’utilisateur basique, ou une licence doit être rendue disponible pour le provisionnement.

Utilisation des journaux SCIM pour dépanner le provisionnement des utilisateurs

Zoom fournit les 100 derniers journaux de requêtes API dans le Zoom Marketplace. Un administrateur Zoom peut utiliser ces journaux pour confirmer quelles informations sont envoyées et reçues via les API de provisionnement. Pour accéder aux journaux, connectez‑vous au Zoom Marketplace en tant qu’administrateur Zoom et cliquez sur Gérer. Sur la page suivante, sélectionnez Journaux d’appels sous Gestion des applications personnelles. À partir de là, cliquez sur une entrée pour développer les journaux d’API et examiner le contenu.

L’image suivante montre un exemple de requête de provisionnement utilisateur SCIM, avec les attributs d’identité et de licence de l’utilisateur mis en évidence pour référence.

Comme pour le mappage de réponse SAML, Zoom ne peut appliquer que les informations soumises par le fournisseur d’identité dans la requête de provisionnement. Utilisez ces journaux pour confirmer que les attributs d’identité et de licence utilisateur sont envoyés par le fournisseur d’identité. Si les informations attendues sont absentes de ces assertions, contactez votre fournisseur d’identité pour obtenir de l’aide.

Flux de données et authentification

Authentification SAML

Le diagramme suivant détaille le flux d’authentification SAML d’un utilisateur lors de l’initiation d’une session d’authentification unique avec Zoom.

Jeton de connexion Web SSO

Après qu’un utilisateur s’est authentifié via SAML, la session de l’utilisateur est créée dans son navigateur, et a

une durée de deux heures par défaut. Si l’utilisateur continue d’utiliser activement sa page Web Zoom, la session se rafraîchira ; toutefois, si l’utilisateur n’utilise pas sa page Web pendant deux heures, le jeton expirera et l’utilisateur devra se réauthentifier. Les administrateurs Zoom peuvent configurer cette durée de session active sur la Sécurité page sous Utilisateurs doivent se reconnecter après une période d’inactivité et Définir la période d’inactivité sur le Web (minutes).

Jeton de connexion client

Lorsqu’un utilisateur tente de s’authentifier via SSO dans un client, la machine de l’utilisateur ouvrira un navigateur Web et le redirigera vers la page de connexion du fournisseur d’identité. Après l’authentification de l’utilisateur, le navigateur de l’utilisateur recevra un jeton de lancement du client Zoom. Une fois que l’utilisateur clique sur le bouton « ouvrir » ou « lancer », le navigateur utilise le schéma d’URL combiné au jeton de lancement pour ouvrir le client Zoom.

Le client Zoom utilisera le jeton de lancement pour obtenir le jeton d’accès et le jeton d’actualisation auprès du serveur Zoom. Le client utilisera le jeton d’accès pendant une durée de deux heures à la fois et, à l’expiration, utilisera le jeton d’actualisation pour obtenir un nouvel ensemble de jetons, qui sont stockés dans la base de données locale du client. Ce processus de rafraîchissement est illimité par défaut et peut continuer à cycler les jetons jusqu’à ce qu’un utilisateur se déconnecte ou que les jetons expirent. Les administrateurs Zoom peuvent personnaliser la durée de session dans les paramètres SSO page sous appliquer la déconnexion automatique.