# Guide pratique SSO

### Introduction

L’intégration de l’Authentification unique (SSO) avec Zoom offre aux administrateurs des options de Gestion des utilisateurs et de sécurité qui peuvent simplifier la gestion du compte. Une fois configurés, les utilisateurs authentifient à l’aide de leurs identifiants d’entreprise auprès du fournisseur d’identité de votre entreprise au lieu d’utiliser d’autres méthodes d’authentification comme les intégrations Google ou Facebook, ou un Nom d'utilisateur et mot de passe directs avec Zoom.

Ce document fournit une vue d’ensemble complète des configurations et Paramètres SSO dans Zoom, en plus d’informations sur le dépannage et la sécurité.

### Intégrations SSO

#### <mark style="color:bleu;">L’Authentification unique nécessite une URL de redirection pour commencer</mark>

Un compte doit disposer d’une URL de redirection approuvée avant de configurer l’Authentification unique. Une fois l’URL de redirection approuvée, les administrateurs Zoom peuvent accéder à la [configuration SSO](https://zoom.us/account/sso) page via le sous-menu des options avancées sur le portail web. Reportez-vous à notre article d’Assistance sur [URL de redirection](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) pour plus d'informations.

#### <mark style="color:bleu;">Zoom SSO fonctionne avec n’importe quel fournisseur d’identité SAML 2.0</mark>

Zoom peut s’intégrer à tout fournisseur d’identité qui prend en charge Security Assertion Markup Language (SAML) 2.0 authentification. Bien qu’il existe de nombreuses procédures d’intégration documentées, certains fournisseurs d’identité ne fournissent pas de documentation pour l’intégration avec Zoom. Les comptes qui ne parviennent pas à trouver des instructions de configuration sont invités à contacter leur fournisseur d’identité pour plus d’informations.

#### <mark style="color:bleu;">Les administrateurs Zoom peuvent gérer les informations de profil utilisateur et les licences via le mappage de réponse SAML ou les intégrations SCIM</mark>

Les administrateurs peuvent gérer les informations du profil utilisateur et les licences via le mappage des réponses SAML ou des requêtes de l’interface de programmation d’application (API) du système de gestion des identités interdomaines (SCIM), selon les fonctionnalités disponibles auprès du fournisseur d’identité. Les deux méthodes de gestion des utilisateurs offrent une fonctionnalité presque équivalente pour le mappage des informations de profil et la gestion des licences, mais certains mappages SCIM nécessitent une configuration manuelle.

Pour une liste complète des fonctionnalités SCIM, consultez notre [Documentation de l'API SCIM](https://marketplace.zoom.us/docs/api-reference/scim-api/methods#tag/User).

#### <mark style="color:bleu;">Les administrateurs Zoom peuvent gérer le statut du compte utilisateur via SCIM, mais pas SAML</mark>

Parce que SCIM permet aux fournisseurs d’identité de communiquer directement avec Zoom à tout moment, les comptes utilisateur peuvent être *activé*, *désactivé*, *créé*, ou *supprimé* via les intégrations SCIM automatiquement. Par exemple, si le compte d’un utilisateur dans Active Directory est désactivé, ou s’ils ne sont pas affectés à l’application, SCIM peut envoyer une demande de désactivation automatique pour le compte de l’utilisateur dans Zoom. Cette Fonctionnalités dépend des capacités de l’application SCIM du fournisseur d’identité et la fonctionnalité peut varier selon le fournisseur.

#### <mark style="color:bleu;">Un nombre limité de fournisseurs d’identité proposent SCIM pour Zoom</mark>

De nombreux fournisseurs d'identité n'ont pas d'Intégrations SCIM intégrée pour Zoom dans le cadre de leurs services. Les comptes utilisant un fournisseur d'identité qui ne prend pas en charge SCIM avec Zoom doivent utiliser le mappage des réponses SAML pour la gestion automatisée des utilisateurs.

#### <mark style="color:bleu;">SCIM nécessite un domaine associé pour provisionner automatiquement les utilisateurs</mark>

Comptes qui utilisent SCIM pour gérer et provisionner les utilisateurs pour le SSO **doit** associez le domaine e-mail à Zoom. Le fait de ne pas associer le domaine entraînera des échecs de provisionnement des utilisateurs. Reportez-vous à notre article d’Assistance sur [Domaines associés](https://support.zoom.us/hc/en-us/articles/203395207) pour plus d’informations sur le processus.

#### <mark style="color:bleu;">Les intégrations SSO suivantes sont documentées</mark>

{% hint style="success" %}
**Astuce Zoom**

Cliquez sur le ✔ dans la colonne Fournisseur ou Documentation Zoom pour ouvrir une nouvelle fenêtre contenant les instructions.
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>Documentation du fournisseur</th><th>Documentation Zoom</th><th>Prend en charge SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>outil AD Sync</td></tr><tr><td>Malin</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Duo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID (anciennement Azure)</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:bleu;">Active Directory sur site peut utiliser l’outil AD Sync au lieu de SCIM</mark>

Les comptes qui souhaitent automatiser l’approvisionnement des utilisateurs via SCIM, mais qui ne disposent pas d’un fournisseur d’identité cloud, peuvent utiliser l’application Active Directory (AD) Sync Tool développée par Zoom pour gérer leurs utilisateurs. Cette application s’exécute sur Oracle JDK 8 et simule l’approvisionnement SCIM en gérant les utilisateurs via des commandes d’API. Consultez notre article d’Assistance sur le [outil AD Sync](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) pour plus d'informations.

{% hint style="success" %}
**Recommandation Zoom**

L'outil AD Sync nécessite une configuration précise pour Gestion des utilisateurs. Des tests approfondis et une relecture de la configuration de l’outil sont requis avant une mise en œuvre complète afin d’éviter toute interruption du service.
{% endhint %}

#### <mark style="color:bleu;">Les fournisseurs d’identité peuvent même authentifier les participants à la réunion qui n’ont pas de compte Zoom</mark>

Les comptes qui souhaitent exiger que les utilisateurs authentifient leur identité mais ne veulent pas fournir de comptes Zoom peuvent configurez un profil d’authentification externe avec leur fournisseur d’identité. Lorsqu’il est activé pour une réunion, les utilisateurs qui tentent de Participer doivent authentifier leurs identifiants de connexion auprès de votre fournisseur d’identité afin d’obtenir Access. Il s’agit d’une configuration courante pour les écoles qui ne fournissent pas de comptes à tous les étudiants mais exigent une authentification pour Participer aux cours. Consultez notre article d’Assistance sur [configuration de l’authentification externe](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) pour plus d'informations.

#### <mark style="color:bleu;">La modification du fournisseur d’identité nécessite de reconfigurer le SSO dans Zoom</mark>

Les comptes qui changent de fournisseur d’identité doivent refaire leur configuration SSO dans Zoom. Cela inclut la mise à jour de tous les champs de la page de configuration afin de les faire correspondre à leur nouveau fournisseur d’identité. Il est recommandé aux comptes de confirmer que les mappages des réponses SAML ne changeront pas avec le nouveau fournisseur d’identité.

Aucune configuration ou modification supplémentaire ne devrait être nécessaire, en supposant qu’il n’y ait pas d’autres changements.

#### <mark style="color:bleu;">Les Clients disposant de sous-comptes peuvent configurer le SSO depuis le compte principal ou le sous-compte</mark>

Les Clients disposant de sous-comptes ont deux options pour configurer le SSO :

1. Tous les utilisateurs s’authentifient à l’aide de l’URL de redirection du compte principal et sont automatiquement connectés au sous-compte via le mappage SAML avancé ([certaines limitations de mappage s’appliquent](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons) ); ou
2. Chaque sous-compte dispose d’une URL de redirection unique et d’une configuration SSO indépendante, utilisée exclusivement par les membres de ce sous-compte

Chaque configuration offre des avantages uniques, la deuxième option offrant la plus grande flexibilité. Les Clients qui envisagent la mise en œuvre de l’une ou l’autre configuration devraient discuter avec leur équipe de compte afin de déterminer quelle configuration est la mieux adaptée à leurs besoins.

### Paramètres SSO et sécurité

Les administrateurs Zoom peuvent choisir les options optimales de sécurité et de Paramètres pour leur organisation lors de la configuration d’une Intégrations SSO avec Zoom. Cette section explique ces paramètres et leurs implications pour une Intégrations SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de paramètres d’Intégrations SSO.</p></figcaption></figure>

#### <mark style="color:bleu;">Zoom prend en charge les requêtes SAML de connexion et de déconnexion signées</mark>

Les administrateurs Zoom qui nécessitent une authentification supplémentaire du fournisseur de services peuvent configurez Zoom afin de signer toutes les requêtes de connexion et de déconnexion envoyées au fournisseur d’identité.

Les comptes qui utilisent ce Paramètres peuvent nécessiter une rotation du certificat si leur fournisseur d’identité ne prend pas en charge l’actualisation dynamique des métadonnées. Consultez notre article d’Assistance sur [rotation du certificat](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) pour plus d'informations.

#### <mark style="color:bleu;">Zoom prend en charge les assertions SAML chiffrées lors de l’authentification</mark>

Les administrateurs Zoom peuvent configurez Zoom pour prendre en charge les assertions chiffrées lors de l’authentification. Si ce Paramètres est activé, les assertions non chiffrées seront ignorées. Les comptes qui utilisent ce Paramètres peuvent nécessiter une rotation du certificat SSO si leur fournisseur d’identité ne prend pas en charge l’actualisation dynamique des métadonnées. Consultez notre article d’Assistance sur [rotation du certificat](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) pour plus d'informations.

#### <mark style="color:bleu;">Les administrateurs Zoom peuvent imposer une déconnexion automatique après une durée définie</mark>

Les administrateurs Zoom peuvent configurer Zoom pour déconnecter automatiquement les utilisateurs des sessions actives après des durées définies, personnalisables de 15 minutes à 180 jours. Ce processus définira l’expiration du jeton d’accès Zoom à la durée prédéterminée une fois le jeton généré. Ce jeton n’a aucun lien avec un fournisseur d’identité et est propre à Zoom.

#### <mark style="color:bleu;">Les journaux de réponse SAML peuvent être enregistrés pour le dépannage</mark>

Zoom peut enregistrer pendant sept jours les journaux de réponse SAML issus des tentatives d’authentification après une authentification. Ces journaux de réponse peuvent constituer un outil inestimable pour le dépannage des problèmes de configuration et d’erreurs utilisateur, en plus des configurations de mappage des réponses SAML. Consultez la section sur [le dépannage des erreurs avec les journaux de réponse SAML](#using-saml-response-logs-to-troubleshoot) pour plus d'informations.

{% hint style="success" %}
**Recommandation Zoom**

Activer l’enregistrement des journaux de réponse SAML pour faciliter le dépannage.
{% endhint %}

#### <mark style="color:bleu;">Le provisionnement à la connexion peut créer des comptes instantanément et constitue l’option de provisionnement la plus simple</mark>

Lorsque le SSO est configuré pour provisionner *À la connexion* (également appelé provisionnement juste-à-temps), tout utilisateur autorisé au sein du fournisseur d’identité peut s’authentifier dans Zoom. Les utilisateurs qui n’ont pas de compte existant en verront un créé immédiatement lors de la connexion.

Le provisionnement à la connexion peut simplifier les déploiements Zoom dans une entreprise en permettant aux utilisateurs de créer leurs comptes au moment de l’authentification plutôt que d’exiger la création proactive d’utilisateurs. Associé au mappage des réponses SAML, un profil utilisateur complet et une licence sont prêts en quelques secondes après la première authentification d’un utilisateur.

De plus, le provisionnement à la connexion peut créer dynamiquement le type de connexion SSO pour les comptes préexistants. Si un utilisateur dispose d’un compte Zoom existant avec un Nom d'utilisateur et un mot de passe, un type de connexion SSO sera créé lors de la connexion avec cette configuration.

#### <mark style="color:bleu;">Le provisionnement avant la connexion nécessite des comptes précréés avec un type de connexion SSO</mark>

Provisionnement des utilisateurs pour le SSO *avant la connexion* nécessite que les utilisateurs s’authentifiant aient **les deux** un compte Zoom existant, et que le compte ait un type de connexion SSO créé. Ce type de provisionnement est souvent associé au provisionnement SCIM en raison du processus automatisé de création de compte, mais n’y est pas exclusif. Les utilisateurs Zoom qui se Consolider dans le compte de l’entreprise via les Domaines associés ou un Inviter direct n’auront probablement pas le type de connexion SSO.

Les administrateurs Zoom peuvent confirmer si un compte possède un type de connexion SSO en affichant le compte utilisateur dans la [Gestion des utilisateurs](https://zoom.us/account/user#/) page dans le portail Web et recherchez l’icône « SSO » sous l’e-mail de l’utilisateur.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Emplacement de l’icône SSO sous l’e-mail d’un utilisateur.</p></figcaption></figure>

Si l’icône est présente, l’utilisateur est provisionné pour le SSO ; si l’icône est absente, l’utilisateur ne pourra pas se connecter via le SSO tant que le pré-provisionnement est activé, jusqu’à ce qu’elle soit ajoutée. Un administrateur Zoom peut ajouter ce type de connexion en ajoutant des utilisateurs en masse via un fichier CSV et en sélectionnant l’option « Utilisateur SSO », ou demander à l’utilisateur de s’authentifier lorsque le provisionnement à la connexion est activé.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemple montrant l’option Utilisateur SSO pour le chargement en masse.</p></figcaption></figure>

{% hint style="success" %}
**Recommandation Zoom**

Pour empêcher les utilisateurs de ne pas pouvoir se connecter, utilisez le provisionnement à la connexion lors de la première configuration du SSO sur un compte. Passez au pré-provisionnement si vous le souhaitez une fois que vous avez confirmé que vos utilisateurs sont pré-provisionnés et que vous disposez des méthodes de pré-provisionnement appropriées.
{% endhint %}

#### <mark style="color:bleu;">Un domaine doit être associé et géré pour appliquer l’authentification SSO</mark>

Les administrateurs Zoom peuvent appliquer l’authentification SSO *uniquement* si le domaine de l’e-mail est associé et géré dans Zoom. Lorsque cette option est activée, tous les utilisateurs qui s’authentifient à l’aide du ou des domaines de votre entreprise seront automatiquement redirigés vers la page d’authentification de votre fournisseur d’identité, quelle que soit la plateforme.

Une fois le domaine approuvé et géré, un administrateur Zoom peut appliquer l’authentification SSO via le [page de sécurité](https://zoom.us/account/setting/security) sous **Méthodes de connexion**. Reportez-vous à notre article d’assistance sur [Domaines associés](https://support.zoom.us/hc/en-us/articles/203395207) pour plus d’informations sur l’association et la gestion d’un domaine.

#### <mark style="color:bleu;">Les utilisateurs spécifiés peuvent être exemptés de l’authentification SSO appliquée</mark>

Les administrateurs Zoom peuvent exclure des utilisateurs spécifiques de l’authentification SSO appliquée. L’exclusion d’utilisateurs spécifiques (comme un compte admin) peut être utile si une configuration SSO est défaillante et qu’un administrateur de compte a besoin d’un accès non SSO au compte Zoom. Les administrateurs exemptés peuvent se connecter à admin.zoom.us à tout moment en cas de verrouillage du compte ou de configuration SSO défaillante (l’utilisateur doit avoir le standard **admin** Rôle). Si un admin Zoom ne peut pas accéder au compte, ils doivent prendre contact avec Assistance Zoom pour obtenir de l’aide.

Pour Activer une exception d’utilisateur, accédez au compte [page de sécurité](https://zoom.us/account/setting/security) sur le portail web, sous les options avancées, localisez la liste des domaines imposés et effectuez l’ajout d’une exception via la liste de modification.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemple de liste de domaines pour le SSO.</p></figcaption></figure>

#### <mark style="color:bleu;">Les clients mobiles et de bureau peuvent être configurés pour exiger que les utilisateurs utilisent l’authentification SSO</mark>

Les clients Zoom peuvent être préconfigurés pour automatiser les fonctionnalités SSO, notamment la connexion automatique, la déconnexion automatique, l’authentification SSO uniquement sur l’Appareil, et plus encore via la stratégie de groupe, les services de gestion des appareils mobiles (MDM) et les clients de déploiement de masse.

Pour une liste complète des possibilités de configuration, reportez-vous à nos options de configuration pour [Stratégie de groupe](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) et [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:bleu;">Les utilisateurs d’Office 365 peuvent se connecter automatiquement au complément d’ajout Zoom pour Outlook à l’aide d’identifiants SSO</mark>

Les Clients qui utilisent Office 365 peuvent connecter automatiquement leurs utilisateurs au module d’ajout Zoom pour Outlook à l’aide d’identifiants SSO. Cela peut être associé à un [manifeste d’ajout personnalisé](https://support.zoom.us/hc/en-us/articles/360041403311) qui préremplit l’URL de redirection du compte, créant une expérience d’authentification fluide pour les utilisateurs. Cette Fonctionnalités utilise le jeton de session SSO de l’utilisateur s’il est Actif, ou invitera à une nouvelle authentification auprès de votre fournisseur d’identité si aucune session Actif n’est trouvée.

Un admin Zoom peut Activer ce paramètre sur le compte [page de sécurité](https://zoom.us/account/setting/security) sous le **avancé** menu.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de paramètre admin pour SSO avec le complément Outlook ajout.</p></figcaption></figure>

### Correspondance des réponses SAML

Les attributs SAML sont des catégories de données définies par des valeurs SAML, et sont utilisés pour transmettre des informations du fournisseur d’identité à un fournisseur de services comme Zoom. La correspondance des attributs et des valeurs est essentielle pour automatiser les informations du profil utilisateur et gérer les licences utilisateur.

La correspondance des réponses SAML se divise en deux parties : *basique* et *avancé*. La correspondance Basique est utilisée pour faire correspondre des informations de profil de base, y compris le nom, le numéro de téléphone, le service, etc. La correspondance avancée est utilisée pour gérer les attributions dynamiques de licences, l’attribution de groupes d’utilisateurs, de rôles utilisateur, et plus encore.

Cette section couvre les fondamentaux de la correspondance des réponses SAML, la correspondance Basique et avancée des réponses SAML, et met en évidence les conditions particulières requises pour certaines fonctionnalités.

#### <mark style="color:bleu;">Fondamentaux : attributs et valeurs SAML</mark>

La plupart des fournisseurs d’identité transmettent les informations de profil de base à l’aide de noms et de valeurs d’attributs simples. Par exemple, le service d’un·e employé·e peut être transmis via SAML avec un attribut de service et une valeur de Ressources humaines. Le tableau suivant illustre la relation entre les attributs et les valeurs lors de la transmission d’informations sur un utilisateur.

| Attribut SAML  | Valeur SAML                    |
| -------------- | ------------------------------ |
| prénom         | John                           |
| nom de famille | Smith                          |
| e-mail         | <john.smith@companydomain.com> |
| service        | Ressources humaines            |

En attribuant correctement un attribut SAML à un mappage de réponse, les informations de l'utilisateur peuvent être automatiquement appliquées à un profil utilisateur afin de simplifier le processus de création et de gestion du compte.

#### <mark style="color:bleu;">Basique Mappage : Informations de profil</mark>

Le mappage des informations de base SAML est utilisé pour appliquer des informations de profil telles que le prénom, le nom, le service, le numéro de téléphone, le centre de coûts et l’Emplacement d’un annuaire au profil d’un utilisateur. Bon nombre de ces catégories sont explicites et peuvent être facilement configurées ; toutefois, certaines catégories nécessitent des explications pour une configuration correcte afin d’ empêcher des conséquences imprévues ou des erreurs d’application. La section suivante met en évidence les options de mappage uniques et les Paramètres  de configuration pour le mappage de base. Consultez notre [article sur le mappage SAML Basique](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) pour obtenir la liste complète des attributs pris en charge.

#### <mark style="color:bleu;">Le type de licence par défaut s’applique uniquement aux</mark> *<mark style="color:bleu;">nouveaux utilisateurs</mark>*

L’option du type de licence par défaut appliquera la licence désignée à tous les *nouveaux* utilisateurs qui sont provisionnés dans le compte via SAML. Cela ne s’applique pas aux utilisateurs qui s’authentifient pour la deuxième fois, aux utilisateurs qui ont été consolidés dans le compte à partir d’un compte précédent, aux utilisateurs provisionnés via SCIM, ni aux utilisateurs qui ont été invités manuellement.

Pour obtenir des informations sur *la mise à jour* les licences utilisateur avec authentification, reportez-vous à la configuration de la licence sous [Mappage SAML avancé](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:bleu;">Un type de licence par défaut de</mark> *<mark style="color:bleu;">Aucun</mark>* <mark style="color:bleu;">n’autorisera pas les nouveaux utilisateurs à s’authentifier, sauf si le mappage avancé est configuré pour attribuer une licence</mark>

Les utilisateurs Zoom doivent avoir un type de licence attribué (Basique, Détenteur de licence ou sur site) pour se connecter au service Zoom. Si un type de licence par défaut de Aucun est sélectionné, les nouveaux utilisateurs ne peuvent pas se connecter ni créer un nouveau compte, sauf s’ils recevront une licence via [Mappage SAML avancé](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:bleu;">La plupart des mappages de base seront réappliqués à la connexion, sauf indication contraire</mark>

La plupart des mappages SAML de base seront mis à jour à chaque fois qu’un utilisateur se connecte par défaut, *sauf* *pour* prénom, nom de famille, nom à afficher et numéros de téléphone. Par défaut, ces quatre mappages ne s’appliqueront qu’à la première authentification d’un utilisateur et ne seront pas réappliqués, même s’ils sont mis à jour par un utilisateur ou un admin. Les administrateurs Zoom peuvent changez ce comportement en activant l’option pour **Mettre à jour à chaque connexion SSO** sur la page de mappage des réponses SAML.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de l’option Mettre à jour à chaque connexion SSO.</p></figcaption></figure>

#### <mark style="color:bleu;">Les mappages de numéros de téléphone doivent inclure un indicatif de pays et un indicatif régional s’ils se trouvent en dehors des États-Unis</mark>

Les numéros de téléphone mappés via SAML doivent inclure l’indicatif de pays et l’indicatif régional de l’utilisateur dans l’assertion SAML lorsque cela est possible. Zoom supposera un indicatif de pays de +1 s’il n’est pas défini par défaut.

Les comptes qui ne conservent pas les indicatifs de pays dans leur annuaire peuvent modifier leurs assertions SAML dans leur fournisseur d’identité afin de les inclure automatiquement si nécessaire.

#### <mark style="color:bleu;">Chaque utilisateur peut avoir jusqu’à trois numéros de téléphone et un numéro de fax mappés à son profil</mark>

Les administrateurs Zoom peuvent configurez jusqu’à trois mappages distincts de numéros de téléphone et un mappage de numéro de fax pour chaque utilisateur. Chaque numéro de téléphone doit être unique et ne peut pas dupliquer la valeur d’un autre champ.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemple d’options de numéros de téléphone pour chaque utilisateur.</p></figcaption></figure>

#### <mark style="color:bleu;">Les photos de profil doivent être mappées à partir d’une URL accessible publiquement ou encodées en Base64</mark>

Les comptes qui souhaitent associer des photos de profil à partir de leur annuaire doivent associer les images en utilisant soit une URL accessible publiquement, soit encoder l’image en Base64 lors de l’assertion.

#### Identifiant unique de l’employé·e

<mark style="color:bleu;">**L’identificateur unique de l’employé·e modifie l’identificateur principal que Zoom utilise pour identifier les utilisateurs**</mark>

Le *Identifiant unique de l’employé·e* est une Fonctionnalités que Zoom propose pour aider à la gestion des identités. Par défaut, l'identification principale d'un utilisateur Zoom est son **e-mail** **adresse**. Cela signifie que si le type de connexion de l'e-mail de travail est **<john.smith@company.com>**, puis Zoom identifiera toujours cet utilisateur à l’aide de cette adresse E-mail. Cet identificateur permet aux intégrations comme les comptes SSO ou Facebook et Google OAuth d’associer l’utilisateur au même compte Zoom.

Cependant, ce processus d’identification peut poser problème si le nom ou l’e-mail d’un utilisateur change. Par exemple, si **<john.smith@company.com>** a un e-mail changez vers **<jonathan.smith@company.com>**, Zoom ne peut pas déterminer en toute sécurité qu’il s’agit de la même personne (parce que l’identificateur fondamental est différent) ; Zoom créera donc un nouveau compte la première fois **<jonathan.smith@company.com>** se connecte.

Pour simplifier ce problème, Zoom propose la Fonctionnalités ID unique employé·e, qui change l’identificateur principal d’un utilisateur de son adresse e-mail vers un identificateur unique établi. *Cela ne changez pas le Nom d'utilisateur Zoom de l’utilisateur*, mais propose plutôt un attribut d’identification alternatif. Ce changez permet à Zoom de mettre à jour dynamiquement l’adresse e-mail d’un utilisateur dans Zoom si :

* un *nouveau* l’adresse e-mail est accompagnée d’un ID unique employé·e connu ; et
* le domaine e-mail de l’utilisateur concerné est associé dans Zoom

Par exemple, si **<john.smith@company.com>** s’authentifie et transmet une valeur SAML de 12345 (son numéro d’employé·e) pour l’attribut ID unique employé·e, Zoom identifiera désormais l’utilisateur dans le compte par la valeur déclarée. Si John s’authentifie à nouveau en utilisant l’e-mail **<jonathan.smith@company.com>** tout en transmettant toujours l’ID unique employé·e de 12345, Zoom identifiera que <john.smith@company.com> est désormais **<jonathan.smith@company.com>** et mettra à jour dynamiquement l’e-mail de l’utilisateur dans le compte si le domaine est associé.

Les administrateurs d’identité devraient être *positifs* qu’aucun des deux utilisateurs ne se chevauchera avec la même valeur d’ID unique employé·e avant d’établir le mappage SAML pour cette catégorie. Si un autre utilisateur s’authentifie et transmet la même valeur, l’e-mail sera à nouveau mis à jour vers le nouvel utilisateur et peut causer une perturbation importante des services et de l’expérience utilisateur.

<mark style="color:bleu;">**La Fonctionnalités ID unique employé·e nécessite des Domaines associés pour changez l’e-mail d’un utilisateur**</mark>

La Fonctionnalités d’ID unique de l’employé·e ne peut pas mettre à jour l’adresse e-mail d’un utilisateur, sauf si le domaine de e-mail est officiellement associé à votre profil du compte. Consultez notre article d’assistance sur [Domaines associés](https://support.zoom.us/hc/en-us/articles/203395207) pour plus d'informations.

<mark style="color:bleu;">**Les admins et les propriétaires ne peuvent pas mettre à jour leur e-mail via l’ID unique de l’employé·e**</mark>

Les e-mails des admins et des propriétaires dans Zoom ne peuvent pas être mis à jour via la Fonctionnalités d’ID unique de l’employé·e. Cela est prévu comme mesure de sécurité pour empêcher tout accès non autorisé. Les admins et les propriétaires doivent changez leur e-mail via leur page de profil.

<mark style="color:bleu;">**Les e-mails des utilisateurs ne peuvent être mis à jour qu’une fois par jour via l’ID unique de l’employé·e**</mark>

Les e-mails des utilisateurs ne peuvent être mis à jour qu’une fois toutes les 24 heures via la Fonctionnalités d’ID unique de l’employé·e. Un utilisateur doit attendre un jour complet de calendrier après la mise à jour précédente avant de mettre à jour son e-mail via SSO à nouveau.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Schéma d’un exemple de flux pour la mise à jour des e-mails des utilisateurs.</p></figcaption></figure>

<mark style="color:bleu;">**Définir l’attribut SAML sur \<NameID> utilisera le NameID déclaré de l’utilisateur**</mark>

Mapper l’attribut SAML d’ID unique de l’employé·e à **\<NameID>** utilisera automatiquement la valeur NameID déclarée de l’utilisateur comme son identificateur unique. Cela peut être un outil utile si votre fournisseur d’identité déclare un NameID autre que l’e-mail d’un utilisateur, comme un nom principal d’utilisateur (UPN) ou une valeur similaire qui ne changez pas. N’utilisez pas cette valeur si les NameID des utilisateurs correspondent à leur e-mail.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple du paramètre admin &#x3C;NameID>.</p></figcaption></figure>

### Mappage avancé : licences, ajouts et Access

La section Mappage avancé des informations SAML peut appliquer dynamiquement des licences (y compris Zoom Phone), des ajouts et des groupes d’accès utilisateur aux utilisateurs lorsqu’ils s’authentifient. Contrairement au mappage Basique, le mappage avancé comporte de nombreuses nuances qui peuvent nécessiter une attention rigoureuse lors de la configuration, selon la complexité de votre environnement. Cette section met en évidence les nuances de configuration du mappage SAML avancé. Consultez notre [article sur le mappage SAML avancé](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) pour obtenir la liste complète des attributs pris en charge.

#### <mark style="color:bleu;">Le mappage avancé s’applique à chaque fois qu’un utilisateur s’authentifie</mark>

Contrairement au mappage Basique, qui comporte des mises à jour Optionnel pour certaines catégories, les configurations de mappage avancé s’appliqueront à chaque fois qu’un utilisateur s’authentifie, selon l’ordre d’application de haut en bas.

Par exemple, si un utilisateur dispose d’une licence Basique puis s’authentifie via SSO en transmettant un attribut et une valeur SAML mappés à l’attribution d’une licence complète, l’utilisateur recevra instantanément la licence complète. Si le profil de l’utilisateur est ensuite modifié dans le fournisseur d’identité pour le ramener à une licence Basique, la licence Basique lui sera réattribuée dès qu’il se réauthentifiera dans Zoom.

#### <mark style="color:bleu;">Le mappage avancé permet plusieurs attributs et valeurs SAML par catégorie</mark>

Contrairement au mappage Basique, qui n’autorise qu’un seul attribut SAML par catégorie, le mappage avancé peut prendre en charge plusieurs attributs et valeurs pour chaque catégorie. Cela offre une grande flexibilité lors de la gestion de la licence et de l’Access des utilisateurs via des groupes de sécurité dans votre fournisseur d’identité, comme le montre la configuration suivante.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de mappage d’attribut pour SAML.</p></figcaption></figure>

{% hint style="success" %}
**Astuce Zoom**

Les attributs SAML peuvent varier selon le fournisseur d’identité, notamment pour les groupes de sécurité. Confirmez avec votre fournisseur d’identité ou via [les journaux de réponse SAML](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) comment les attributs SAML sont déclarés.
{% endhint %}

#### <mark style="color:bleu;">Le mappage avancé applique les licences de haut en bas lorsque plusieurs attributs sont déclarés</mark>

Si un utilisateur transmet plusieurs attributs SAML ou des valeurs configurées pour le mappage avancé SAML, Zoom mappiera les licences de haut en bas. Consultez l’exemple suivant :

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de sélection du type de licence dans les Paramètres admin.</p></figcaption></figure>

Selon la configuration ci-dessus, si un utilisateur devait transmettre un attribut pour les deux **global\_users** et **marketing**, car **marketing** est la plus élevée dans la configuration, cet attribut sera appliqué à l’utilisateur, et les autres attributs applicables seront ignorés.

Sinon, si la configuration a été définie avec **global\_users** comme la plus élevée, comme le montre la capture d’écran suivante, si l’assertion d’un utilisateur contenait **global\_users**, **marketing**, **humain** **ressources**, et **IT**, car **global\_users** est la priorité la plus élevée, seule une licence Basique sera attribuée.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d’ajustement de l’ordre de priorité</p></figcaption></figure>

Les administrateurs Zoom peuvent ajuster l’ordre d’application lors de la modification des valeurs de correspondance à l’aide des flèches ↑↓ dans l’éditeur.

{% hint style="success" %}
**Recommandation Zoom**

Configurez les configurations avancées du plus spécifique au plus général pour empêcher une mauvaise application de licence.
{% endhint %}

#### <mark style="color:bleu;">Les mappages de webinaire et de Grande réunion peuvent partager une valeur commune pour appliquer les deux ajouts</mark>

Pour simplifier le processus de l’application, les administrateurs Zoom peuvent configurez le même attribut et la même valeur SAML deux fois afin d’appliquer aux utilisateurs à la fois les ajouts de webinaire et de Grande réunion, comme le montre l’image suivante avec le **global\_users** valeur. Ces ajout-ons peuvent également être configurés indépendamment si souhaité, comme illustré avec le **webinaire\_only** et **large\_réunion\_only** valeurs.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d’attributs SAML pour large_réunion_only et webinaire_only.</p></figcaption></figure>

#### <mark style="color:bleu;">Des utilisateurs peuvent être ajoutés à plusieurs groupes d'utilisateurs à l'aide d'une valeur SAML</mark>

Les administrateurs Zoom peuvent configurez le mappage groupe-utilisateur pour ajout un utilisateur à plusieurs groupes avec une valeur SAML.

Le premier groupe d’utilisateurs ajouté sera défini comme le groupe principal de l’utilisateur et déterminera les Paramètres par défaut de l’utilisateur *à moins qu’un groupe sous-jacent n’ait un paramètre verrouillé*. Pour plus d’informations sur les groupes d’utilisateurs, consultez notre [article d’Assistance](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de mappage de plusieurs groupes d’utilisateurs.</p></figcaption></figure>

#### <mark style="color:bleu;">Les utilisateurs spécifiés et les groupes d’utilisateurs peuvent être exemptés de mappages SAML spécifiques</mark>

Chaque option sous le mappage SAML avancé peut être configurée pour exempter des utilisateurs et des groupes d’utilisateurs spécifiques du comportement de mappage. Cela peut être utile pour éviter aux utilisateurs VIP une interruption de service en raison d’un changement potentiel de licence.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d’exemptions d’utilisateur.</p></figcaption></figure>

#### <mark style="color:bleu;">Le mappage automatique attribue automatiquement les utilisateurs à un groupe d’utilisateurs, un canal ou un groupe IM nommé d’après leur valeur SAML déclarée si cette valeur n’est pas déjà mappée à un groupe</mark>

Le mappage automatique peut être utilisé pour attribuer automatiquement les utilisateurs à un groupe d’utilisateurs, un canal et un groupe IM nommés d’après leur valeur SAML déclarée. Contrairement à d’autres composants de mappage avancé, qui peuvent être configurés pour attribuer un utilisateur à n’importe quel groupe en fonction de la valeur SAML, le mappage automatique attribue toujours un utilisateur à un groupe en fonction de la valeur SAML exacte. Si le groupe n’existait pas auparavant, il sera automatiquement créé.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de mappage automatique SAML.</p></figcaption></figure>

Par exemple, si le mappage automatique est défini pour mapper un utilisateur dans les groupes en fonction de son département, si la valeur de son département n’est pas déjà définie pour le groupe d’utilisateurs, le canal ou le groupe IM, les utilisateurs seront automatiquement affectés à un groupe correspondant à leur nom de département, comme indiqué dans le tableau suivant :

| Attribut SAML | Valeur SAML         | Le groupe Zoom existe-t-il déjà ? | Résultat                                                                                    |
| ------------- | ------------------- | --------------------------------- | ------------------------------------------------------------------------------------------- |
| Département   | Ressources humaines | Oui                               | Utilisateur ajouté au groupe Ressources humaines                                            |
| Département   | Marketing           | Oui                               | Utilisateur ajouté au groupe Marketing                                                      |
| Département   | Service commercial  | Non                               | Le groupe de Service commercial est créé, l'utilisateur ajouté au groupe Service commercial |

#### Zoom prend en charge jusqu'à cinq attributs SAML personnalisés

Les administrateurs Zoom peuvent configurer jusqu'à *cinq* attributs SAML personnalisés pour ajouter des données utilisateur à leur profil Zoom dans la [gestion avancée des utilisateurs](https://zoom.us/account/user#/advanced) page. Après avoir ajouté les champs personnalisés, les administrateurs Zoom peuvent configurer le mappage sur la [Correspondance des réponses SAML](https://zoom.us/account/sso/mapping) page.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemple d'attributs SAML personnalisés</p></figcaption></figure>

#### <mark style="color:bleu;">Le mappage des utilisateurs vers un sous-compte permettra de</mark> *<mark style="color:bleu;">uniquement</mark>* <mark style="color:bleu;">appliquer une licence de réunion et des modules complémentaires</mark>

Le mappage d’un utilisateur vers un sous-compte n’appliquera que la licence de réunion et les modules complémentaires d’un utilisateur, comme le webinaire et les grandes réunions, au sous-compte. Les groupes d’utilisateurs, les groupes de MI, les rôles d’utilisateur, etc., ne s’appliqueront pas et devront être configurés dans le sous-compte.

Les Clients qui ont besoin de plus de flexibilité pour le mappage des réponses SAML avec des sous-comptes auront besoin d’une URL de redirection unique et d’une nouvelle configuration SSO dans le sous-compte.

### Dépannage du SSO

#### <mark style="color:bleu;">Utilisation des journaux de réponse SAML pour le dépannage</mark>

Les journaux de réponse SAML enregistrés peuvent être un outil inestimable pour le dépannage des erreurs de configuration et d’utilisateur, en plus des configurations de mappage des réponses SAML. Si votre configuration SSO est définie pour enregistrer les journaux de réponse SAML, ils sont accessibles via le [Journal des réponses SAML](https://zoom.us/account/sso/saml_logs) onglet disponible dans la page de configuration SSO des Paramètres avancés. Pour afficher les journaux de réponse SAML, cliquez sur **Voir les détails** à côté d’une tentative d’authentification.

#### <mark style="color:bleu;">La plupart des authentifications s’afficheront dans les journaux de réponse</mark>

La plupart des tentatives d’authentification échouées ou non abouties s’afficheront sur la page des journaux de réponse. Si une tentative d’authentification ne s’affiche pas, il est fort probable que Zoom n’ait pas reçu d’assertion SAML de votre fournisseur d’identité, ou que l’enregistrement des journaux de réponse SAML soit désactivé.

#### <mark style="color:bleu;">Les journaux de réponse peuvent vous indiquer si votre configuration est incorrecte ou si votre certificat est obsolète</mark>

Lorsque les journaux de réponse SAML sont activés, les informations du fournisseur d’identité sont transmises à Zoom pour authentifier les identités de chaque partie. Si un paramètre ou une chaîne d’informations transmis, comme le certificat X509 ou l’identifiant de l’émetteur, diffère de la configuration actuelle de Zoom, une erreur s’affichera indiquant que les informations « ne correspondent pas aux Paramètres SSO actuels ». Un administrateur Zoom peut mettre à jour la configuration SSO pour qu’elle corresponde à ces valeurs transmises si elles sont correctes afin de résoudre l’erreur.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d’avertissements de configuration incorrecte.</p></figcaption></figure>

#### <mark style="color:bleu;">Les journaux de réponse vous indiquent quelles valeurs et quels attributs SAML sont transmis</mark>

L’examen des journaux de réponse peut aider à résoudre les configurations de mappage des réponses SAML en vérifiant quels attributs et quelles valeurs sont transmis par les utilisateurs lorsqu’ils s’authentifient. Ceux-ci peuvent être comparés à la configuration pour s’assurer que les attributs et les valeurs correspondent.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d’informations transmises par le service du fournisseur d’identité.</p></figcaption></figure>

Si des attributs ou des valeurs SAML sont manquants, cela signifie que les informations ne sont pas transmises par le service du fournisseur d’identité. Il est conseillé aux utilisateurs confrontés à ce problème de contacter les services d’assistance de leur fournisseur d’identité pour obtenir une aide supplémentaire.

#### <mark style="color:bleu;">Les journaux de réponse incluent un code d’erreur et une brève explication, en cas d’échec</mark>

Si un utilisateur ne peut pas s’authentifier ou reçoit une erreur, les journaux de réponse SAML contiennent un code d’erreur et une brève explication de l’erreur.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de code d’erreur et d’explication.</p></figcaption></figure>

La plupart des problèmes peuvent être identifiés et résolus à l’aide de ces messages d’erreur. Si vous ne parvenez pas à résoudre l’erreur, contactez Assistance Zoom pour obtenir une aide supplémentaire.

#### <mark style="color:bleu;">Erreurs d’ID de suivi Web</mark>

Si l’authentification SSO d’un utilisateur échoue, il recevra un code d’erreur d’ID de suivi WEB. Ces codes ne sont pas un message d’erreur lié à un échec spécifique, mais plutôt un identifiant de journal unique qui peut être examiné dans le mappage des réponses SAML pour identifier les problèmes d’authentification.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d’une erreur visible par l’utilisateur avec un code d’erreur d’ID de suivi WEB.</p></figcaption></figure>

Pour identifier l’erreur, si la journalisation des réponses SAML est activée, accédez à l’ [Journal des réponses SAML](https://zoom.us/account/sso/saml_logs) onglet disponible dans la page de configuration SSO des Paramètres avancés. À partir de là, entrer l’ID de suivi WEB dans le champ ID de suivi et recherchez pour renseigner le journal de réponse

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de recherche dans le Journal des réponses SAML avec le code d’erreur d’ID de suivi WEB mentionné précédemment.</p></figcaption></figure>

Les journaux de réponse SAML doivent afficher l’assertion SAML ainsi qu’un code et un message d’erreur au bas de la réponse, qui peuvent être utilisés pour un dépannage supplémentaire.

### Erreurs SCIM

#### <mark style="color:bleu;">L’utilisateur n’existe pas ou n’appartient pas à ce compte</mark>

Cette erreur se produit lorsque l’adresse e-mail d’un utilisateur ciblé ne peut pas être provisionnée en raison d’un compte déjà existant. Il est conseillé aux administrateurs Zoom de contacter directement l’utilisateur et d’inviter manuellement l’utilisateur au compte.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d’une erreur de provisionnement.</p></figcaption></figure>

#### <mark style="color:bleu;">Vous ne pouvez pas ajouter d’utilisateurs payants</mark>

Cette erreur se produit lorsque SCIM tente de provisionner un utilisateur alors qu’il n’y a pas suffisamment de licences sur le compte. Pour résoudre l’erreur, l’utilisateur doit être provisionné en tant qu’utilisateur basique, ou une licence doit être rendue disponible pour le provisionnement.

### Utilisation des journaux SCIM pour le dépannage du provisionnement des utilisateurs

Zoom fournit les 100 journaux de requêtes API les plus récents dans le [Zoom Marketplace](https://marketplace.zoom.us/). Un administrateur Zoom peut utiliser ces journaux pour confirmer quelles informations sont envoyées et reçues via les API de provisionnement. Pour accéder aux journaux, connectez-vous au Zoom Marketplace en tant qu’administrateur Zoom et cliquez sur **Gérer**Sur la page suivante, sélectionnez **Journaux d’appels** sous **Gestion des applications personnelles**. À partir de là, cliquez sur une entrée pour développer les journaux API et examiner le contenu.

L’image suivante montre un exemple de requête de provisionnement d’utilisateur SCIM, avec l’identité de l’utilisateur et les attributs de licence mis en évidence à titre de référence.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de requête de provisionnement d’utilisateur SCIM.</p></figcaption></figure>

Comme pour le mappage des réponses SAML, Zoom ne peut appliquer que les informations soumises par le fournisseur d’identité dans la requête de provisionnement. Utilisez ces journaux pour confirmer que l’identité de l’utilisateur et les attributs de licence sont bien soumis par le fournisseur d’identité. Si des informations attendues manquent dans ces assertions, contactez votre fournisseur d’identité pour obtenir de l’assistance.

### Flux de données et authentification

#### <mark style="color:bleu;">Authentification SAML</mark>

Le diagramme suivant détaille le flux d’authentification SAML d’un utilisateur lors de l’initiation d’une session d’Authentification unique avec Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramme d’un exemple de flux d’authentification SAML.</p></figcaption></figure>

#### <mark style="color:bleu;">Jeton de connexion Web SSO</mark>

Après qu’un utilisateur s’authentifie via SAML, la session de l’utilisateur est créée dans son navigateur, et a

une vie de deux heures par défaut. Si l’utilisateur continue à utiliser activement sa page web Zoom, la session se mettra à jour ; toutefois, si l’utilisateur n’utilise pas sa page web pendant deux heures, le jeton expirera et l’utilisateur devra se réauthentifier. Les administrateurs Zoom peuvent configurer cette durée de session active sur le [Sécurité](https://zoom.us/account/setting/security) page sous Les utilisateurs doivent se connecter à nouveau après une période d'inactivité et **Définir la durée d’inactivité sur le web (minutes)**.

#### <mark style="color:bleu;">Jeton de connexion client</mark>

Lorsqu’un utilisateur tente de s’authentifier via SSO dans un client, la machine de l’utilisateur ouvrira un navigateur Web et le redirigera vers la page de connexion du fournisseur d’identité. Après qu’un utilisateur s’est authentifié, le navigateur de l’utilisateur recevra un jeton de lancement du client Zoom. Une fois que l’utilisateur clique sur le bouton « ouvrir » ou « lancer », le navigateur utilise le schéma d’URL combiné au jeton de lancement pour ouvrir le client Zoom.

Le client Zoom utilisera le jeton de lancement pour obtenir le jeton Access et le jeton d’actualisation du serveur Zoom. Le client utilisera le jeton Access pendant une durée de deux heures à la fois, puis, à son expiration, utilisera le jeton d’actualisation pour obtenir un nouvel ensemble de jetons, qui sont stockés dans la base de données locale du client. Ce processus de renouvellement est illimité par défaut et peut continuer à faire défiler les jetons jusqu’à ce qu’un utilisateur se déconnecte ou que les jetons expirent. Les administrateurs Zoom peuvent personnaliser la durée de la session sur la [Paramètres SSO](https://zoom.us/account/sso) page sous [*forcer la déconnexion automatique*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).