# Guide pratique SSO

### Introduction

L’intégration de l’Authentification unique (SSO) avec Zoom offre aux administrateurs des options de Gestion des utilisateurs et de sécurité qui peuvent simplifier la gestion du compte. Une fois configurés, les utilisateurs s’authentifier en utilisant les identifiants de leur entreprise auprès du fournisseur d’identité de leur entreprise, au lieu d’utiliser d’autres méthodes d’authentification comme les intégrations Google ou Facebook, ou un Nom d'utilisateur et un mot de passe directs avec Zoom.

Ce document fournit un aperçu complet des configurations SSO et des Paramètres dans Zoom, en plus d’informations de dépannage et de sécurité.

### Intégrations SSO

#### <mark style="color:bleu;">Le SSO nécessite une URL de redirection pour commencer</mark>

Un compte doit avoir une URL de redirection approuvée avant de configurer le SSO. Une fois l’URL de redirection approuvée, les administrateurs Zoom peuvent accéder au [configuration SSO](https://zoom.us/account/sso) page via le sous-menu des options avancées sur le portail web. Consultez notre article d’Assistance sur [URL de redirection](https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests) pour plus d’informations.

#### <mark style="color:bleu;">Zoom SSO fonctionne avec n'importe quel fournisseur d'identité SAML 2.0</mark>

Zoom peut s’intégrer à n’importe quel fournisseur d’identité qui prend en charge la authentification Security Assertion Markup Language (SAML) 2.0. Bien qu’il existe de nombreuses procédures d’ Intégrations documentées, certains fournisseurs d’identité ne fournissent pas de documentation pour l’intégration avec Zoom. Les comptes qui ne parviennent pas à trouver des instructions de configuration sont invités à contacter leur fournisseur d’identité pour plus d’informations.

#### <mark style="color:bleu;">Les administrateurs Zoom peuvent gérer les informations du profil utilisateur et les licences via le mappage des réponses SAML ou les intégrations SCIM</mark>

Les administrateurs peuvent gérer les informations du profil utilisateur et les licences via le mappage des réponses SAML ou des requêtes de l’interface de programmation d’applications (API) System for Cross-Domain Identity Management (SCIM), selon les fonctionnalités disponibles auprès du fournisseur d’identité. Les deux méthodes de gestion des utilisateurs offrent des fonctionnalités presque équivalentes pour le mappage des informations du profil et la gestion des licences, mais certains mappages SCIM nécessitent une configuration manuelle.

Pour une liste complète des fonctionnalités SCIM, consultez notre [Documentation de l'API SCIM](https://developers.zoom.us/docs/api/?ampDeviceId=157cfe5d-7f7a-45eb-afb0-efde5a7d3feb\&ampSessionId=1778697171616).

#### <mark style="color:bleu;">Les administrateurs Zoom peuvent gérer le statut du compte utilisateur via SCIM, mais pas SAML</mark>

Parce que SCIM permet aux fournisseurs d'identité de communiquer directement avec Zoom à tout moment, les comptes utilisateur peuvent être *activé*, *désactivé*, *créé*, ou *supprimé* via des intégrations SCIM automatiquement. Par exemple, si un compte d’utilisateur dans Active Directory est désactivé, ou s’ils n’est pas affecté à l’application, SCIM peut envoyer une demande de désactivation automatique pour le compte de l’utilisateur dans Zoom. Cette Fonctionnalités dépend des capacités de l’application SCIM du fournisseur d’identité et la fonctionnalité peut varier selon le fournisseur.

#### <mark style="color:bleu;">Seuls certains fournisseurs d'identité proposent SCIM pour Zoom</mark>

De nombreux fournisseurs d'identité ne disposent pas d'une Intégrations SCIM conçue pour Zoom dans le cadre de leurs services. Les comptes utilisant un fournisseur d'identité qui ne prend pas en charge SCIM avec Zoom doivent utiliser le mappage des réponses SAML pour la gestion automatisée des utilisateurs.

#### <mark style="color:bleu;">SCIM nécessite un domaine associé pour provisionner automatiquement les utilisateurs</mark>

Comptes qui utilisent SCIM pour gérer et provisionner les utilisateurs pour l’authentification unique (SSO) **doit** associez le domaine e-mail à Zoom. Le fait de ne pas associer le domaine entraînera des échecs de provisionnement de l’utilisateur. Consultez notre article d’Assistance sur [Domaines associés](https://support.zoom.us/hc/en-us/articles/203395207) pour plus d’informations sur le processus.

#### <mark style="color:bleu;">Les intégrations SSO suivantes sont documentées</mark>

{% hint style="success" %}
**Astuce Zoom**

Cliquez sur le ✔ dans la colonne Documentation du fournisseur ou Documentation Zoom pour ouvrir une nouvelle fenêtre contenant les instructions.
{% endhint %}

<table><thead><tr><th width="211.5616455078125"></th><th>Documentation du fournisseur</th><th>Documentation Zoom</th><th>Prend en charge SCIM</th></tr></thead><tbody><tr><td>auth0</td><td><a href="https://marketplace.auth0.com/integrations/zoom-sso">✔</a></td><td><br></td><td><br></td></tr><tr><td>ADFS</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRpBI%2F8Dww6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJXaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMjAyMzc0Mjg3LUNvbmZpZ3VyaW5nLVpvb20tU1NPLXdpdGgtQURGUwY7CFQ6DnNlYXJjaF9pZEkiKTVlZWY5ZWQ2LTJjNWItNDRhMS1hYzdhLTQ3ODc2ZmZjYTM2YgY7CEY6CXJhbmtpBzoLbG9jYWxlSSIKZW4tdXMGOwhUOgpxdWVyeUkiCFNTTwY7CFQ6EnJlc3VsdHNfY291bnRpcQ%3D%3D--06df9ad44c3254348746ce701bdf45cdf6fd36db">✔</a></td><td>outil AD Sync</td></tr><tr><td>Malin</td><td><a href="https://support.clever.com/hc/s/articles/360040481852">✔</a></td><td><br></td><td><br></td></tr><tr><td>CyberArk</td><td><a href="https://docs.cyberark.com/Product-Doc/OnlineHelp/Idaptive/Latest/en/Content/Applications/AppsWeb/Zoom.htm">✔</a></td><td><br></td><td><br></td></tr><tr><td>Duo</td><td><a href="https://duo.com/docs/sso-zoom">✔</a></td><td><br></td><td><br></td></tr><tr><td>Entra ID (anciennement Azure)</td><td><a href="https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/zoom-tutorial">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/115005887566-Configuring-Zoom-with-Azure">✔</a></td><td>✔</td></tr><tr><td>Google</td><td><a href="https://support.google.com/a/answer/7577316?hl=en">✔</a></td><td><a href="https://support.zoom.com/hc/en/article?id=zm_kb&#x26;sysparm_article=KB0066144">✔</a></td><td><br></td></tr><tr><td>JumpCloud</td><td><a href="https://support.jumpcloud.com/support/s/article/single-sign-on-sso-with-zoom1-2019-08-21-10-36-47">✔</a></td><td><br></td><td>✔</td></tr><tr><td>miniOrange</td><td><a href="https://www.miniorange.com/zoom-us-saml-single-sign-on-solution">✔</a></td><td><br></td><td><br></td></tr><tr><td>Okta</td><td><a href="https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Zoom.us.html">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/search/click?data=BAh7DjoHaWRsKwiKBeDGGgA6D2FjY291bnRfaWRpAxQqAjoJdHlwZUkiDGFydGljbGUGOgZFVDoIdXJsSSJYaHR0cHM6Ly9zdXBwb3J0Lnpvb20udXMvaGMvZW4tdXMvYXJ0aWNsZXMvMTE1MDA1NzE5OTQ2LU9rdGEtY29uZmlndXJhdGlvbi13aXRoLVpvb20GOwhUOg5zZWFyY2hfaWRJIikxZmJjMjhhNC03OTM1LTRmOGYtOTllMi02YTBiYTgwNzk0NTYGOwhGOglyYW5raQw6C2xvY2FsZUkiCmVuLXVzBjsIVDoKcXVlcnlJIhVjb25maWd1cmluZyB6b29tBjsIVDoScmVzdWx0c19jb3VudGkC6AM%3D--97242e750cce02ed61dfa39c762dcb565fb71ea6">✔</a></td><td>✔</td></tr><tr><td>OneLogin</td><td><a href="https://www.onelogin.com/connector/zoom">✔</a></td><td><a href="https://support.zoom.us/hc/en-us/articles/204752775-Configuring-Zoom-with-OneLogin">✔</a></td><td>✔</td></tr><tr><td>Ping Identity</td><td><a href="https://docs.pingidentity.com/bundle/pingfederate-zoom-connector/page/ejj1584646507320.html">✔</a></td><td><br></td><td>✔</td></tr><tr><td>Shibboleth</td><td><br></td><td><a href="https://support.zoom.us/hc/en-us/search?utf8=%E2%9C%93&#x26;query=configuring+zoom">✔</a></td><td><br></td></tr></tbody></table>

#### <mark style="color:bleu;">Active Directory sur site peut utiliser l’outil AD Sync au lieu de SCIM</mark>

Les comptes qui souhaitent automatiser l’approvisionnement des utilisateurs via SCIM, mais qui ne disposent pas d’un fournisseur d’identité basé sur le cloud, peuvent utiliser l’application de l’outil de Synchroniser Active Directory (AD) développée par Zoom pour gérer leurs utilisateurs. Cette application s’exécute sur Oracle JDK 8 et simule l’approvisionnement SCIM en gérant les utilisateurs via des commandes API. Consultez notre article d’Assistance sur le [outil AD Sync](https://support.zoom.us/hc/en-us/articles/115005865543-Managing-the-AD-Sync-Tool) pour plus d’informations.

{% hint style="success" %}
**Recommandation Zoom**

L’outil AD Sync nécessite une configuration précise pour Gestion des utilisateurs. Des tests approfondis et un examen de la configuration de l’outil sont requis avant l’implémentation complète afin d’éviter toute interruption de service.
{% endhint %}

#### <mark style="color:bleu;">Les fournisseurs d’identité peuvent même authentifier les participants de la réunion qui n’ont pas de compte Zoom</mark>

Les comptes qui souhaitent exiger que les utilisateurs authentifier leur identité mais ne souhaitent pas fournir de comptes Zoom peuvent configurez un profil d’authentification externe avec leur fournisseur d’identité. Lorsqu’il est activé pour une réunion, les utilisateurs qui tentent de Participer doivent authentifier leurs identifiants de connexion auprès de votre fournisseur d’identité pour obtenir Access. Il s’agit d’une configuration courante pour les écoles qui ne fournissent pas de comptes à tous les élèves mais exigent l’authentification pour Participer aux cours. Consultez notre article d’Assistance sur [configuration de l’authentification externe](https://support.zoom.us/hc/en-us/articles/360053351051-Configuring-external-authentication-for-K-12-schools) pour plus d’informations.

#### <mark style="color:bleu;">La modification du fournisseur d’identité nécessite de reconfigurer le SSO dans Zoom</mark>

Les comptes qui changent de fournisseur d’identité doivent refaire leur configuration SSO dans Zoom. Cela inclut la mise à jour de tous les champs de la page de configuration afin qu’ils correspondent à leur nouveau fournisseur d’identité. Il est recommandé aux comptes de confirmer que les mappages des réponses SAML ne changeront pas avec le nouveau fournisseur d’identité.

Aucune configuration ou modification supplémentaire ne devrait être nécessaire, en supposant qu’il n’y ait pas d’autres changements.

#### <mark style="color:bleu;">Les Clients disposant de sous-comptes peuvent configurer le SSO depuis le compte principal ou le sous-compte</mark>

Les Clients disposant de sous-comptes ont deux options pour configurer le SSO :

1. Tous les utilisateurs s’authentifient à l’aide de l’URL de redirection du compte principal et sont automatiquement connectés au sous-compte via un mappage SAML avancé ([certaines limites de mappage s’appliquent](#mapping-users-to-a-sub-account-will-only-apply-a-meeting-license-and-add-ons)) ; ou
2. Chaque sous-compte dispose d’une URL de redirection unique et d’une configuration SSO indépendante, utilisée exclusivement par les membres de ce sous-compte

Chaque configuration offre des avantages uniques, la deuxième option offrant le plus de flexibilité. Les Clients envisageant la mise en œuvre de l’une ou l’autre configuration devraient discuter avec leur équipe de compte de la configuration la mieux adaptée à leurs besoins.

### Paramètres SSO et sécurité

Les administrateurs Zoom peuvent choisir les options de sécurité et de Paramètres optimales pour leur organisation lors de la configuration d’une Intégrations SSO avec Zoom. Cette section explique ces Paramètres et leurs implications pour une Intégrations SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXeXmQBNFuErBRXMkNDUpAzmtzjie--UtxIekSeSTm79LDCCRI-C1Omn7liMtPzVRH3zZkpLLt262eCCw3g-a71DPZ0wqu4qrHV3UnkdMy_gU7YXwYLrM81TYM0yBvm28gBM-tpmpg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de Paramètres d’Intégrations SSO.</p></figcaption></figure>

#### <mark style="color:bleu;">Zoom prend en charge les requêtes SAML signées de connexion et de déconnexion</mark>

Les administrateurs Zoom qui ont besoin d’une authentification supplémentaire du fournisseur de services peuvent configurez Zoom pour signer toutes les requêtes de connexion et de déconnexion adressées au fournisseur d’identité.

Les comptes qui utilisent ce Paramètre peuvent nécessiter une rotation de certificat si leur fournisseur d’identité ne prend pas en charge le rafraîchissement dynamique des métadonnées. Consultez notre article d’Assistance sur [rotation de certificat](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) pour plus d’informations.

#### <mark style="color:bleu;">Zoom prend en charge les assertions SAML chiffrées lors de l’authentification</mark>

Les administrateurs Zoom peuvent configurez Zoom pour prendre en charge les assertions chiffrées lors de l’authentification. Si ce Paramètre est activé, les assertions non chiffrées seront ignorées. Les comptes qui utilisent ce Paramètre peuvent nécessiter une rotation du certificat SSO si leur fournisseur d’identité ne prend pas en charge le rafraîchissement dynamique des métadonnées. Consultez notre article d’Assistance sur [rotation de certificat](https://support.zoom.us/hc/en-us/articles/360057049812-Zoom-SSO-certificate-rotation-) pour plus d’informations.

#### <mark style="color:bleu;">Les administrateurs Zoom peuvent imposer une déconnexion automatique après une durée définie</mark>

Les administrateurs Zoom peuvent configurez Zoom pour déconnecter automatiquement les utilisateurs des sessions actives après des durées définies, personnalisables de 15 minutes à 180 jours. Ce processus définira l’expiration du jeton d’accès Zoom à la durée prédéterminée une fois le jeton généré. Ce jeton n’a aucun lien avec un fournisseur d’identité et est unique à Zoom.

#### <mark style="color:bleu;">Les journaux de réponses SAML peuvent être enregistrés pour le dépannage</mark>

Zoom peut enregistrer les journaux de réponses SAML des tentatives d’authentification pendant sept jours après une authentification. Ces journaux de réponses peuvent être un outil inestimable pour le dépannage des erreurs de configuration et des erreurs utilisateur, en plus des configurations de mappage des réponses SAML. Consultez la section sur [le dépannage des erreurs avec les journaux de réponses SAML](#using-saml-response-logs-to-troubleshoot) pour plus d’informations.

{% hint style="success" %}
**Recommandation Zoom**

Activer l’enregistrement des journaux de réponses SAML pour faciliter le dépannage.
{% endhint %}

#### <mark style="color:bleu;">Le provisionnement à la connexion peut créer des comptes instantanément et constitue l’option de provisionnement la plus simple</mark>

Lorsque le SSO est configuré pour provisionner *À la connexion* (également appelé provisionnement juste-à-temps), tout utilisateur autorisé dans le fournisseur d’identité peut authentifier dans Zoom. Les utilisateurs qui n’ont pas de compte existant en auront un créé immédiatement lors de la connexion.

L’approvisionnement à la connexion peut simplifier les déploiements Zoom dans une entreprise en permettant aux utilisateurs de créer leurs comptes au moment de l’authentification plutôt que d’exiger une création proactive des utilisateurs. Combiné au mappage des réponses SAML, un profil utilisateur complet et la licence sont prêts en quelques secondes après la première authentification d’un utilisateur.

De plus, l’approvisionnement à la connexion peut créer dynamiquement le type de connexion SSO pour les comptes préexistants. Si un utilisateur possède un compte Zoom existant avec un Nom d'utilisateur et un mot de passe, un type de connexion SSO sera créé lors de la connexion avec cette configuration.

#### <mark style="color:bleu;">L’approvisionnement avant la connexion nécessite des comptes précréés avec un type de connexion SSO</mark>

Approvisionnement des utilisateurs pour SSO *avant la connexion* nécessite que les utilisateurs s’authentifiant aient **les deux** un compte Zoom existant, et que le compte ait un type de connexion SSO créé. Ce type d’approvisionnement est souvent associé à l’approvisionnement SCIM en raison du processus automatisé de création de compte, mais il ne lui est pas exclusif. Les utilisateurs Zoom qui se Consolider dans le compte de l’entreprise via des Domaines associés ou une Inviter directe n’ont probablement pas le type de connexion SSO.

Les administrateurs Zoom peuvent confirmer si un compte a un type de connexion SSO en consultant le compte utilisateur sur [Gestion des utilisateurs](https://zoom.us/account/user#/) page dans le portail web et à la recherche de l’icône « SSO » sous l’e-mail de l’utilisateur.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcreMLZApFm8ejVa0ka9Z8eqYuNxu79PNBLNRQMSXiYuhd7i_yVll8yuREcJto4NqP1PWcodZJcONRGl97_uQx7fIg7XIaESAtwqFmtg94DGrwzWgJJSPITSivg8XydSZEJPGMY7Q?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Emplacement de l’icône SSO sous l’e-mail d’un utilisateur.</p></figcaption></figure>

Si l’icône est présente, l’utilisateur est provisionné pour le SSO ; si l’icône est absente, l’utilisateur ne pourra pas se connecter via le SSO tant que le préprovisionnement est activé, jusqu’à ce qu’elle soit ajoutée. Un administrateur Zoom peut ajout ce type de connexion en ajoutant des utilisateurs en masse via un fichier CSV et en sélectionnant l’option « Utilisateur SSO » ou demander à l’utilisateur de s’authentifier lorsque Provision at Sign-in est activé.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcoPrIr5MH76SjZUpz7giqvgeI20rLRN6ZRT__7ltUhhuaWNyH4nM0EePcE7V3aFx1tbMqPICLZ_9dHs7Gc3_tXWOGZ4KOKQzPCdb4meMTpRxcBvNOJ2QwQmAisWT-KtWUzl_B1gQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemple montrant l’option Utilisateur SSO pour le téléchargement groupé.</p></figcaption></figure>

{% hint style="success" %}
**Recommandation Zoom**

Pour empêcher que les utilisateurs ne puissent pas se connecter, utilisez le provisionnement lors de la connexion lors de la configuration initiale du SSO sur un compte. Passez au préprovisionnement si vous le souhaitez une fois que vous avez confirmé que vos utilisateurs sont préapprovisionnés et que vous disposez de méthodes de préprovisionnement en place.
{% endhint %}

#### <mark style="color:bleu;">Un domaine doit être associé et géré pour appliquer l’authentification SSO</mark>

Les administrateurs Zoom peuvent imposer l’authentification SSO *seulement* si le domaine e-mail est associé et géré dans Zoom. Lorsque cette option est activée, tous les utilisateurs s’authentifiant à l’aide du ou des domaine(s) de votre entreprise seront automatiquement redirigés vers la page d’authentification de votre fournisseur d’identité, quelle que soit la plateforme.

Une fois que le domaine est approuvé et géré, un administrateur Zoom peut imposer l’authentification SSO via votre compte [page de sécurité](https://zoom.us/account/setting/security) sous **Méthodes de connexion**. Consultez notre article d'assistance sur [Domaines associés](https://support.zoom.us/hc/en-us/articles/203395207) pour plus d'informations sur l'association et la gestion d'un domaine.

#### <mark style="color:bleu;">Des utilisateurs spécifiés peuvent être exemptés de l'authentification SSO imposée</mark>

Les administrateurs Zoom peuvent exclure des utilisateurs spécifiques de l'authentification SSO imposée. Exclure des utilisateurs spécifiques (comme un compte admin) peut être utile si une configuration SSO échoue et qu'un administrateur de compte a besoin d'un accès non-SSO au compte Zoom. Les admins exemptés peuvent se connecter à admin.zoom.us à tout moment en cas de verrouillage du compte ou de configuration SSO défectueuse (l'utilisateur doit avoir le rôle Standard **admin** ). Si un admin Zoom ne peut pas accéder au compte, il doit contacter l'Assistance Zoom pour obtenir de l'aide.

Pour Activer une exception utilisateur, accédez au compte [page de sécurité](https://zoom.us/account/setting/security) sur le portail web, dans les options avancées, localisez la liste des domaines imposés et ajoutez une exception via la liste de modification.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe23kx3YxMdjE3_CZSecp2CF3HA42tOP80rwvDJo5JApEYW3sPKjo4p2qyJFQ912BHysKjQ51M5p04hb_ODjApxTyL3bh9-PooZZ1lrf1odC8z1n8xtOcDjROAjCO-45Idn5nVglw?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemple de liste de domaines pour le SSO.</p></figcaption></figure>

#### <mark style="color:bleu;">Les clients mobiles et de bureau peuvent être configurés pour exiger que les utilisateurs utilisent l’authentification SSO</mark>

Les clients Zoom peuvent être préconfigurés pour automatiser les fonctionnalités SSO, y compris la connexion automatique, la déconnexion automatique, l’authentification réservée au SSO sur l’Appareil, et plus encore, via les stratégies de groupe, les services de gestion des Appareils mobiles (MDM) et les clients de déploiement en masse.

Pour obtenir une liste complète des possibilités de configuration, consultez nos options de configuration pour [Stratégie de groupe](https://support.zoom.us/hc/en-us/articles/360039100051), [iOS](https://support.zoom.us/hc/en-us/articles/360022302612-Using-MDM-to-configure-Zoom-on-iOS), [Android](https://support.zoom.us/hc/en-us/articles/360031913292-Using-MDM-to-configure-Zoom-on-Android), [Mac](https://support.zoom.us/hc/en-us/articles/115001799006-Mass-deploying-preconfigured-settings-for-Mac) et [Windows](https://support.zoom.us/hc/en-us/articles/201362163-Mass-deployment-with-preconfigured-settings-for-Windows).

#### <mark style="color:bleu;">Les utilisateurs d’Office 365 peuvent automatiquement se connecter au module d’ajout Zoom pour Outlook à l’aide des identifiants SSO</mark>

Les clients qui utilisent Office 365 peuvent connecter automatiquement leurs utilisateurs au complément Zoom pour Outlook à l’aide d’identifiants SSO. Cela peut être associé à un [manifeste d’ajout personnalisé](https://support.zoom.us/hc/en-us/articles/360041403311) qui préremplit l’URL de redirection du compte, créant une expérience d’authentification fluide pour les utilisateurs. Cette Fonctionnalités utilise le jeton de session SSO de l’utilisateur s’il est Actif, ou demandera une nouvelle authentification auprès de votre fournisseur d’identité si aucune session Actif n’est trouvée.

Un admin Zoom peut Activer ce paramètre sur le compte [page de sécurité](https://zoom.us/account/setting/security) sous le **avancé** menu.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfEdymeE4sK16jjdIFscCwWJFRXrCOOa_JUC8l0P7qxR3mXD4HFeDP9V3SUEsJCFMFqn41oKdwmS2Rk7Ilu-NgPfaPj0IpVnYxYUCPYdtcVCU63p7GfceHm5GrhvgdFEPC67hpP?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de paramètre admin pour SSO avec Outlook ajout-in.</p></figcaption></figure>

### Mappage des réponses SAML

Les attributs SAML sont des catégories de données définies par des valeurs SAML, et sont utilisés pour transmettre des informations du fournisseur d’identité à un fournisseur de services comme Zoom. Le mappage des attributs et des valeurs est essentiel pour automatiser les informations de profil utilisateur et gérer les licences utilisateur.

Le mappage des réponses SAML se divise en deux parties : *basique* et *avancé*. Le mappage Basique est utilisé pour mapper les informations de profil basiques, notamment le nom, le numéro de téléphone, le département, etc. Le mappage avancé est utilisé pour gérer les attributions dynamiques de licences, en attribuant des groupes d’utilisateurs, des rôles utilisateur, et plus encore.

Cette section couvre les fondamentaux du mappage des réponses SAML, le mappage des réponses SAML basique et avancé, et met en évidence les conditions uniques requises pour certaines fonctionnalités.

#### <mark style="color:bleu;">Fondamentaux : attributs et valeurs SAML</mark>

La plupart des fournisseurs d’identité transmettent les informations de profil basiques à l’aide de noms d’attributs et de valeurs simples. Par exemple, le département d’un employé·e peut être transmis via SAML avec un attribut department et une valeur Human Resources. Le tableau suivant montre la relation entre les attributs et les valeurs lors de la transmission d’informations sur un utilisateur.

| Attribut SAML  | Valeur SAML                    |
| -------------- | ------------------------------ |
| prénom         | John                           |
| nom de famille | Smith                          |
| e-mail         | <john.smith@companydomain.com> |
| service        | Ressources humaines            |

En attribuant correctement un attribut SAML à un mappage de réponse, les informations de l'utilisateur peuvent être automatiquement appliquées à un profil utilisateur afin de simplifier le processus de création et de gestion de compte.

#### <mark style="color:bleu;">Mappage Basique : Informations de profil</mark>

Le mappage des informations de base SAML est utilisé pour appliquer des informations de profil telles que le prénom, le nom, le service, le numéro de téléphone, le centre de coûts et l’Emplacement à partir d’un annuaire vers le profil d’un utilisateur. Bon nombre de ces catégories sont explicites et peuvent être configurées facilement ; cependant, certaines catégories nécessitent des explications pour une configuration correcte afin d’empêcher des conséquences imprévues ou des erreurs d’application. La section suivante met en évidence les options de mappage uniques et les Paramètres de configuration pour le mappage de base. Consultez notre [article sur le mappage Basique SAML](https://support.zoom.us/hc/en-us/articles/115005888686-Setting-up-basic-SAML-mapping) pour obtenir la liste complète des attributs pris en charge.

#### <mark style="color:bleu;">Le type de licence par défaut s’applique uniquement aux</mark> *<mark style="color:bleu;">nouveaux utilisateurs</mark>*

L’option de type de licence par défaut appliquera la licence désignée à tous les *nouveaux* utilisateurs qui sont provisionnés dans le compte via SAML. Cela ne s’applique pas aux utilisateurs qui s’authentifient une deuxième fois, aux utilisateurs qui ont été consolidés dans le compte à partir d’un compte précédent, aux utilisateurs qui sont provisionnés via SCIM, ni aux utilisateurs qui ont été invités manuellement.

Pour plus d’informations sur *la mise à jour* licences utilisateur avec authentification, reportez-vous à la configuration de licence sous [Mappage SAML avancé](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:bleu;">Un type de licence par défaut de</mark> *<mark style="color:bleu;">Aucune</mark>* <mark style="color:bleu;">n’autorisera pas les nouveaux utilisateurs à s’authentifier, sauf si le mappage avancé est configuré pour attribuer une licence</mark>

Les utilisateurs Zoom doivent avoir un type de licence attribué (Basique, Détenteur de licence ou sur site) pour se connecter au service Zoom. Si un type de licence par défaut de Aucune est sélectionné, les nouveaux utilisateurs ne peuvent pas se connecter ni créer un nouveau compte, sauf s’ils recevront une licence via [Mappage SAML avancé](#advanced-mapping-licenses-add-ons-and-access).

#### <mark style="color:bleu;">La plupart des mappages de base seront réappliqués à la connexion, sauf indication contraire</mark>

La plupart des mappages SAML de base seront mis à jour à chaque fois qu’un utilisateur se connecte par défaut, *sauf* *pour* prénom, nom, afficher le nom et numéro de téléphone. Par défaut, ces quatre mappages ne s’appliqueront que la première fois qu’un utilisateur s’authentifie et ne seront pas réappliqués, même s’ils sont mis à jour par un utilisateur ou un admin. Les administrateurs Zoom peuvent changez ce comportement en activant l’option pour **Mettre à jour à chaque connexion SSO** sur la page de mappage des réponses SAML.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdgxB7nSeT9EXKL47NDJoqfiLnUAkydR2-yPdvgvQW178LJscVd-Jo8TfyuPBb2sez6c5cRwwK0FwoEhCwG8TlOfZV1MzpWoZxXOYHu1WCcPZYBryituG7Fyq-T88isb7-ofUn_MQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de l’option Mettre à jour à chaque connexion SSO.</p></figcaption></figure>

#### <mark style="color:bleu;">Les mappages de numéro de téléphone doivent inclure un indicatif pays et un indicatif régional s’ils se trouvent en dehors des États-Unis</mark>

Les numéros de téléphone mappés via SAML doivent inclure l’indicatif pays et l’indicatif régional de l’utilisateur dans l’assertion SAML lorsque cela est possible. Zoom supposera un indicatif pays de +1 s’il n’est pas défini par défaut.

Les comptes qui ne conservent pas les indicatifs pays dans leur annuaire peuvent modifier leurs assertions SAML dans leur fournisseur d’identité afin d’inclure automatiquement ceux-ci si nécessaire.

#### <mark style="color:bleu;">Chaque utilisateur peut avoir jusqu’à trois numéros de téléphone et un numéro de fax mappés à son profil</mark>

Les administrateurs Zoom peuvent configurez jusqu’à trois mappages de numéros de téléphone distincts et un mappage de numéro de fax pour chaque utilisateur. Chaque numéro de téléphone doit être unique et ne peut pas dupliquer la valeur d’un autre champ.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdYCqP1aO_ELJdgruJRApKiNSEQ96i1dThBbMwG0rH-XT4P64DcgadLpi_4dFm4tybOmAkUaH22Jg0Qs6WMhyanQ7FrFSHu7DFMJv6FzABVhdz6NvN_E0pX26mymjGHe5UjUcxRNg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemple d’options de numéros de téléphone pour chaque utilisateur.</p></figcaption></figure>

#### <mark style="color:bleu;">Les photos de profil doivent être mappées à partir d’une URL accessible publiquement ou encodées en Base64</mark>

Les comptes qui souhaitent associer des photos de profil depuis leur annuaire doivent associer les images soit en utilisant une URL accessible publiquement, soit en encodant l'image en Base64 lors de l'assertion.

#### Identifiant unique de l’employé·e

<mark style="color:bleu;">**L’identificateur unique de l’employé·e change l’identificateur principal que Zoom utilise pour identifier les utilisateurs**</mark>

Le *Identifiant unique de l’employé·e* est une Fonctionnalités que Zoom propose pour aider à la gestion des identités. Par défaut, l’identifiant principal d’un utilisateur Zoom est son **e-mail** **adresse**. Cela signifie que si le type de connexion de l’e-mail de travail est **<john.smith@company.com>**, puis Zoom identifiera toujours cet utilisateur à l’aide de cette adresse e-mail. Cet identificateur permet aux intégrations telles que les comptes SSO ou Facebook et Google OAuth d’associer l’utilisateur au même compte Zoom.

Cependant, ce processus d’identification peut être problématique si le nom ou l’e-mail d’un utilisateur change. Par exemple, si **<john.smith@company.com>** a un e-mail changez vers **<jonathan.smith@company.com>**, Zoom ne peut pas déterminer de manière sûre qu’il s’agit de la même personne (car l’identificateur fondamental est différent), donc Zoom créera un nouveau compte la première fois **<jonathan.smith@company.com>** se connecte.

Pour simplifier ce problème, Zoom propose la Fonctionnalités d’identificateur unique d’employé·e, qui change l’identificateur principal d’un utilisateur de son adresse e-mail vers un identificateur unique établi. *Cela ne changez pas le Nom d'utilisateur Zoom de l’utilisateur*, mais propose plutôt un attribut d’identification alternatif. Ce changez permet à Zoom de mettre à jour dynamiquement l’adresse e-mail d’un utilisateur dans Zoom si :

* a *nouveau* l’adresse e-mail est accompagnée d’un ID unique d’employé connu ; et
* le domaine e-mail de l’utilisateur concerné est associé dans Zoom

Par exemple, si **<john.smith@company.com>** s’authentifie et transmet une valeur SAML de 12345 (son numéro d’employé) pour l’attribut ID unique d’employé, Zoom identifiera désormais l’utilisateur dans le compte par la valeur affirmée. Si John s’authentifie à nouveau en utilisant l’e-mail **<jonathan.smith@company.com>** tout en transmettant toujours l’ID unique d’employé de 12345, Zoom identifiera que <john.smith@company.com> est maintenant **<jonathan.smith@company.com>** et mettra automatiquement à jour l’e-mail de l’utilisateur dans le compte si le domaine est associé.

Les administrateurs d’identité devraient être *convaincus* qu’aucun deux utilisateurs ne se chevauchera avec la même valeur d’ID unique d’employé avant d’établir le mappage SAML pour cette catégorie. Si un autre utilisateur s’authentifie et transmet la même valeur, l’e-mail sera à nouveau mis à jour vers le nouvel utilisateur et peut entraîner des perturbations importantes pour les services et l’expérience utilisateur.

<mark style="color:bleu;">**La Fonctionnalités ID unique d’employé nécessite des Domaines associés pour changez l’e-mail d’un utilisateur**</mark>

La Fonctionnalités ID unique de l’employé·e ne peut pas mettre à jour l’adresse e-mail d’un utilisateur sans que le domaine de l’e-mail soit officiellement associé à votre profil du compte. Reportez-vous à notre article d’Assistance sur [Domaines associés](https://support.zoom.us/hc/en-us/articles/203395207) pour plus d’informations.

<mark style="color:bleu;">**Les administrateurs et les propriétaires ne peuvent pas mettre à jour leur e-mail via l'ID unique de l'employé·e**</mark>

Les e-mail de l’admin et du propriétaire dans Zoom ne peuvent pas être mis à jour via la Fonctionnalités d’ID unique de l’employé·e. Ceci est prévu comme mesure de sécurité pour empêcher les accès non autorisés. Les admins et les propriétaires doivent changez leur e-mail via leur page de profil.

<mark style="color:bleu;">**Les e-mails de l'utilisateur ne peuvent être mis à jour qu'une fois par jour via l'identifiant unique de l'employé·e**</mark>

Les e-mails des utilisateur peuvent uniquement être mis à jour une fois toutes les 24 heures via la Fonctionnalités Employé·e Unique ID. Un utilisateur doit attendre une journée complète de calendrier après la mise à jour précédente avant de mettre à jour à nouveau son e-mail via SSO.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXct3ljK0YW8k8R82DXpS2__Hf8KB0qkleCQ_il6l4GcgeuhekPfPn55csfETIAauFfPQkmW7VBQOTDd2C9o39lzcTWDnMXZMW9FixnWOhCxraDttTdnKbXXF4aU1TrSOrh-9U388A?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramme d’un exemple de flux pour la mise à jour des e-mails de l’utilisateur.</p></figcaption></figure>

<mark style="color:bleu;">**Définir l’attribut SAML sur \<NameID> utilisera le NameID affirmé de l’utilisateur**</mark>

Mappage de l'attribut SAML ID unique de l'employé·e vers **\<NameID>** utilisera automatiquement la valeur NameID affirmée de l’utilisateur comme leur identificateur unique. Cela peut être un outil utile si votre fournisseur d’identité affirme un NameID autre que l’e-mail d’un utilisateur, comme un nom principal d’utilisateur (UPN) ou une valeur similaire qui ne changez pas. N’utilisez pas cette valeur si les NameID des utilisateurs correspondent à leur e-mail.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfc-LwwficUxnJVa6raeHY3XwO_bRUnOo3Px-FpVWxCXKTEVRI2zoCRbp9Mjzsj1gyiTVmPy-gHryvIjpBuxrM8Me38KvWu0gf-mrPrnwxnaK9tk_hsywxF25Slq3Yh99iKINVPmw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple du paramètre admin &#x3C;NameID>.</p></figcaption></figure>

### Mappage avancé : licences, ajouts et Access

La section de mappage d’informations avancées SAML peut appliquer dynamiquement des licences (y compris Zoom Phone), des ajouts et des groupes d’accès des utilisateurs aux utilisateurs lorsqu’ils s’authentifient. Contrairement au mappage Basique, le mappage avancé comporte de nombreuses nuances qui peuvent nécessiter une attention soutenue lors de la configuration, selon la complexité de votre environnement. Cette section met en évidence les nuances de la configuration du mappage SAML avancé. Consultez notre [article sur le mappage SAML avancé](https://support.zoom.us/hc/en-us/articles/115005081403-Setting-up-advanced-SAML-mapping) pour obtenir la liste complète des attributs pris en charge.

#### <mark style="color:bleu;">Le mappage avancé s’applique à chaque fois qu’un utilisateur s’authentifie</mark>

Contrairement au mappage Basique, qui comporte des mises à jour Optionnel pour certaines catégories, les configurations de mappage avancé s’appliqueront à chaque fois qu’un utilisateur s’authentifie, selon l’ordre d’application de haut en bas.

Par exemple, si un utilisateur a une licence Basique puis s’authentifie via SSO en transmettant un attribut SAML et une valeur mappés à l’attribution d’une licence complète, l’utilisateur obtiendra instantanément la licence complète. Si le profil de l’utilisateur est ensuite modifié dans le fournisseur d’identité pour le ramener à une licence Basique, il se verra réattribuer la licence Basique dès qu’il se réauthentifiera dans Zoom.

#### <mark style="color:bleu;">Le mappage avancé permet plusieurs attributs et valeurs SAML par catégorie</mark>

Contrairement au mappage Basique, qui n’autorise qu’un seul attribut SAML par catégorie, le mappage avancé peut prendre en charge plusieurs attributs et valeurs pour chaque catégorie. Cela offre une grande flexibilité lors de la gestion des licences et de l’Access des utilisateurs via des groupes de sécurité dans votre fournisseur d’identité, comme illustré dans la configuration suivante.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcw0QbtEMEhc4KtDF3LZsfAIgir_-AB2XGFaJ6qWplazLgxbyRSunevolbVjRFe196QBnWeqwA8dPSnvGbyhg-TSH1yJ2iZvElnIDPU6j1wRuka_5MndC3rAjXADRJIqPmoeESo?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de mappage d’attributs pour SAML.</p></figcaption></figure>

{% hint style="success" %}
**Astuce Zoom**

Les attributs SAML peuvent varier selon le fournisseur d’identité, notamment pour les groupes de sécurité. Confirmez avec votre fournisseur d’identité ou via [les journaux de réponse SAML](#response-logs-tell-you-which-saml-values-and-attributes-are-being-asserted) comment les attributs SAML sont assertés.
{% endhint %}

#### <mark style="color:bleu;">Le mappage avancé applique les licences de haut en bas lorsque plusieurs attributs sont assertés</mark>

Si un utilisateur transmet plusieurs attributs SAML ou des valeurs configurées pour le mappage SAML avancé, Zoom mappera les licences de haut en bas. Voir l’exemple suivant :

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXd6ejdpzRIK8EUzyzdyomoHNChq-XkoS85btacDjLOAKyBQVwIQ15dzUKqsE_l8iFDOJiYGUjh4W7XaTRapGaZp5tx7R2J06yvpbwSna1YVjR9_ms8nn1haaJiNxaaL6wQ7XdC1QA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de sélection du type de licence dans les Paramètres admin.</p></figcaption></figure>

Selon la configuration ci-dessus, si un utilisateur devait transmettre un attribut pour les deux **global\_users** et **marketing**, car **marketing** est la plus élevée dans la configuration, cet attribut sera appliqué à l'utilisateur, et les autres attributs applicables seront ignorés.

Alternativement, si la configuration a été définie avec **global\_users** comme la plus élevée, comme le montre la capture d'écran suivante, si l'assertion d'un utilisateur contenait **global\_users**, **marketing**, **humain** **ressources**, et **informatique**, car **global\_users** est la priorité la plus élevée, seule une licence Basique sera attribuée.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfdQrc0QA5GFNzFVBIa9y1HH0GdkDMzeSomo4GdhE8xHCQzwozv2CXWRkdedXemhuAoZ81rfa21kPlO_0DalY2oasz6XDJkLD88NaNQiH686EX9Rfuxb-mje5go5uep9Fp3RBQuKw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d'ajustement de l'ordre de priorité</p></figcaption></figure>

Les administrateurs Zoom peuvent ajuster l'ordre d'application lors de la modification des valeurs de mappage à l'aide des flèches ↑↓ dans l'éditeur.

{% hint style="success" %}
**Recommandation Zoom**

Configurez les configurations avancées de la plus spécifique à la plus générale pour empêcher une mauvaise application de la licence.
{% endhint %}

#### <mark style="color:bleu;">Les mappages du webinaire et de Grande réunion peuvent partager une valeur commune pour appliquer les deux modules complémentaires</mark>

Pour simplifier le processus d'application, les administrateurs Zoom peuvent configurez le même attribut et la même valeur SAML deux fois pour appliquer à la fois les modules complémentaires webinaire et Grande réunion aux utilisateurs, comme on peut le voir dans l'image suivante avec la **global\_users** valeur. Ces ajouts peuvent également être configurés indépendamment si souhaité, comme illustré avec le **webinaire\_only** et **large\_réunion\_only** valeurs.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdY6Py9Rb7L7iKsez3UXpg9ZwL-gxgmpO5QjLDXdeZC42EJDCHEw82ghcAm4m5Rb8fZ8GQvT5rd47j-p4JeR6DUUAujw7ARMynCsLKPLrJVGjlkiEp2YtRk-sOZNaQPUQWYRRTsmQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d'attributs SAML pour large_réunion_only et webinaire_only.</p></figcaption></figure>

#### <mark style="color:bleu;">Les utilisateurs peuvent être ajoutés à plusieurs groupes d'utilisateurs à l'aide d'une valeur SAML</mark>

Les administrateurs Zoom peuvent configurez le mappage de groupe d’utilisateur pour ajout un utilisateur à plusieurs groupes avec une seule valeur SAML.

Le premier groupe d’utilisateurs ajouté sera défini comme le groupe principal de l’utilisateur et déterminera les Paramètres par défaut de l’utilisateur *sauf si un groupe sous-jacent a un paramètre verrouillé*. Pour plus d’informations sur les groupes d’utilisateurs, veuillez consulter notre [article d’Assistance](https://support.zoom.us/hc/en-us/articles/204519819-Managing-user-groups-and-settings).

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdER0NnN7GSalp5YpVpM9EW068VLrDgdHOJty4Hm6blWIOEghH5Woj7B8s7io1X2U3ywZEiyvU5cJE4pEcCJtSrlhAsaPnzLK44CVAlU_k1Igqt4y8ejYfFAw-ILkKulqXUGqohrg?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de mappage multiple de groupe d’utilisateurs.</p></figcaption></figure>

#### <mark style="color:bleu;">Les utilisateurs spécifiés et les groupes d’utilisateurs peuvent être exemptés de mappages SAML spécifiques</mark>

Chaque option sous le mappage SAML avancé peut être configurée pour exemptés des utilisateurs spécifiques et des groupes d’utilisateurs du comportement de mappage. Cela peut être utile pour empêcher les utilisateurs VIP de subir une interruption de service en raison d’un changement potentiel de licence.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXftnv80dtlXFIYqMKvlB0mecwcoX7_IEQIFXed3x-9szHtQv3X-h_aLv5gkJ4_9q0wIJI3YlxNdPS3aR--_TOt3Xv8_ZGfv2Fqrv9hSSAEvaY4e69nEPQIpVGHMk6fTbKareeawww?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d’exemptions d’utilisateurs.</p></figcaption></figure>

#### <mark style="color:bleu;">Le mappage automatique attribue automatiquement des utilisateurs à un utilisateur, un canal ou un groupe IM nommé d’après leur valeur SAML déclarée si la valeur n’est pas déjà mappée à un groupe</mark>

Le mappage automatique peut être utilisé pour attribuer automatiquement des utilisateurs à un groupe d’utilisateurs, un canal et un groupe IM nommés d’après leur valeur SAML déclarée. Contrairement aux autres composants de mappage avancé, qui peuvent être configurés pour attribuer un utilisateur à n’importe quel groupe en fonction de la valeur SAML, le mappage automatique attribue toujours un utilisateur à un groupe en fonction de la valeur SAML exacte. Si le groupe n’existait pas auparavant, il sera automatiquement créé.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcleVut-f8Pq1AdmwMk0CU5uE4MYhIFAdSPSxxVbyoMyS2e24V3RL9AD_VhcVCTtoh0PFswB_8JTwlOMYm_TCTKria2nIAOVtg7iI3rlKdsWAwpe5UlM-AfuthKuAnG8_mu71VPcw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de mappage automatique SAML.</p></figcaption></figure>

Par exemple, si le mappage automatique est configuré pour mapper un utilisateur vers les groupes en fonction de son département, si la valeur de son département n’est pas déjà définie pour le groupe d’utilisateurs, le canal ou le groupe IM, les utilisateurs seront automatiquement affectés à un groupe correspondant à leur nom de département, comme indiqué dans le tableau suivant :

| Attribut SAML | Valeur SAML         | Le groupe Zoom existe-t-il déjà ? | Résultat                                                                                 |
| ------------- | ------------------- | --------------------------------- | ---------------------------------------------------------------------------------------- |
| Département   | Ressources humaines | Oui                               | Utilisateur ajouté au groupe Ressources humaines                                         |
| Département   | Marketing           | Oui                               | Utilisateur ajouté au groupe Marketing                                                   |
| Département   | Service commercial  | Non                               | Le groupe Service commercial est créé, l’utilisateur ajouté au groupe Service commercial |

#### Zoom prend en charge jusqu’à cinq attributs SAML personnalisés

Les administrateurs Zoom peuvent configurez jusqu’à *cinq* attributs SAML personnalisés pour ajouter des données utilisateur à leur profil Zoom sous la [Gestion des utilisateurs avancée](https://zoom.us/account/user#/advanced) page. Après avoir ajouté les champs personnalisés, les administrateurs Zoom peuvent configurez le mappage sur la [Mappage des réponses SAML](https://zoom.us/account/sso/mapping) page.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcxmWWYpKRYP078q0iwYdK9tfmcmAHLuwZtoSn7VoUeeRbdki2udbiF0Yh7pUczEG_rXqZGS1zBbDl4-OODAZYMFEkISb4L55mahN_6hAqt87dCo8fT4Yj7aQVw1ivuZtzksdmhQg?key=ug1dFE_WGWGnyMfD5tJnNw" alt="" width="563"><figcaption><p>Exemple d’attributs SAML personnalisés</p></figcaption></figure>

#### <mark style="color:bleu;">Le mappage des utilisateurs vers un sous-compte va</mark> *<mark style="color:bleu;">seulement</mark>* <mark style="color:bleu;">appliquer une licence de réunion et des modules complémentaires</mark>

Le mappage d’un utilisateur vers un sous-compte appliquera uniquement la licence de réunion de l’utilisateur et les modules complémentaires comme Webinaire et Grandes Réunions au sous-compte. Les groupes d’utilisateurs, les groupes IM, les rôles d’utilisateur, etc., ne s’appliqueront pas et devront être configurés dans le sous-compte.

Les Clients qui ont besoin de plus de flexibilité pour le mappage des réponses SAML avec des sous-comptes auront besoin d’une URL de redirection unique et d’une nouvelle configuration SSO dans le sous-compte.

### Résolution des problèmes de SSO

#### <mark style="color:bleu;">Utilisation des journaux de réponses SAML pour la résolution des problèmes</mark>

Les journaux de réponses SAML enregistrés peuvent être un outil inestimable pour la résolution des problèmes de configuration et des erreurs d’utilisateur, en plus des configurations de mappage des réponses SAML. Si votre configuration SSO est définie pour enregistrer les journaux de réponses SAML, ils sont accessibles via le [Journal des réponses SAML](https://zoom.us/account/sso/saml_logs) onglet disponible dans la page de configuration SSO dans les Paramètres avancés. Pour afficher les journaux de réponses SAML, cliquez sur **Afficher les détails** à côté d’une tentative d’authentification.

#### <mark style="color:bleu;">La plupart des authentifications s’afficheront dans les journaux de réponses</mark>

La plupart des tentatives d’authentification échouées ou non réussies s’afficheront sur la page des journaux de réponses. Si une tentative d’authentification ne s’affiche pas, il est très probable que Zoom n’ait pas reçu d’assertion SAML de votre fournisseur d’identité, ou que l’enregistrement des journaux de réponses SAML soit désactivé.

#### <mark style="color:bleu;">Les journaux de réponses peuvent vous indiquer si votre configuration est incorrecte ou si votre certificat est obsolète</mark>

Lorsque les journaux de réponses SAML sont activés, les informations du fournisseur d’identité sont transmises à Zoom pour authentifier les identités de chaque partie. Si un Paramètres affirmé ou une chaîne d’informations, comme le certificat X509 ou l’ID de l’émetteur, est différent de la configuration actuelle de Zoom, une erreur apparaîtra indiquant que les informations « ne correspondent pas aux Paramètres SSO actuels ». Un administrateur Zoom peut mettre à jour la configuration SSO pour qu’elle corresponde à ces valeurs affirmées si elles sont correctes afin de résoudre l’erreur.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe5ElE9oAkqrfuutEG32SjtnF-aPpSu_MbRIy3h6oRhTiHnBC3okBRHk57sWwuJgg3a8_WD_mYoK_Wd5bJ1zMkLScazjdXshmBUZyXvBVtmyQO75Rl7ox_MCgT6X-AzcA?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d’avertissements de configuration incorrecte.</p></figcaption></figure>

#### <mark style="color:bleu;">Les journaux de réponses vous indiquent quelles valeurs et quels attributs SAML sont affirmés</mark>

L’examen des journaux de réponses peut aider à résoudre les configurations de mappage des réponses SAML en vérifiant quels attributs et quelles valeurs sont affirmés par les utilisateurs lorsqu’ils s’authentifient. Ceux-ci peuvent être comparés à la configuration pour s’assurer que les attributs et les valeurs correspondent.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXe-BD98pFvpYplXC-sVB4KKlUFDc0dOzjv-VzEOyH5tOBQbt-yiK8e82nkLGC7FmBJIekP-VVqEBVnullP173ydJLkNDFh6nCcOfup1UHlTTYl2l0DDitymKeid4NO7ZZYaw6J3sQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d’informations affirmées par le service du fournisseur d’identité.</p></figcaption></figure>

Si des attributs ou des valeurs SAML sont manquants, les informations ne sont pas affirmées par le service du fournisseur d’identité. Il est conseillé aux utilisateurs rencontrant ce problème de contacter les services d’assistance de leur fournisseur d’identité pour obtenir davantage d’aide.

#### <mark style="color:bleu;">Les journaux de réponses incluent un code d’erreur et une brève explication, en cas d’échec</mark>

Si un utilisateur ne peut pas s’authentifier ou reçoit une erreur, les journaux de réponses SAML contiennent un code d’erreur et une brève explication de l’erreur.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcUxXpQNQM4ZUpgIHUF2s__t4s3fM4sjWqXqv5y4i4oop4ygRKYcxxdeC7pIX7_O8sgxFmbrkPd6PrlLam4zptYZNKleBKEXFEUd0o97IvJZvRfZi81sSfKr6wwvfxemuzg_UDi?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de code d’erreur et d’explication.</p></figcaption></figure>

La plupart des problèmes peuvent être identifiés et résolus à l’aide de ces messages d’erreur. Si vous ne pouvez pas résoudre l’erreur, contactez Assistance Zoom pour obtenir une aide supplémentaire.

#### <mark style="color:bleu;">Erreurs d’ID de suivi WEB</mark>

Si un utilisateur échoue à l’authentification SSO, il recevra un code d’erreur d’ID de suivi WEB. Ces codes ne sont pas un message d’erreur lié à un échec spécifique, mais sont plutôt un ID de journal unique qui peut être examiné dans le mappage des réponses SAML pour identifier les problèmes d’authentification.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdg3Btc3wYZ71fAL7VX5G0OiLOQ-YKOAmt1-fytPE2xDRktbVLQqw_r2rURYLExtZ2rSfIIqelDEM8oZ47-gFBKdn2Ze9V6kx5nB_kuxZlYIKP2Hy24Ot0SXrobSdLg4BfudOs_?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d’une erreur affichée à l’utilisateur avec un code d’erreur d’ID de suivi WEB.</p></figcaption></figure>

Pour identifier l’erreur, si la journalisation des réponses SAML est activée, accédez à l’ [Journal des réponses SAML](https://zoom.us/account/sso/saml_logs) onglet disponible dans la page de configuration SSO dans les Paramètres avancés. À partir de là, entrer l’ID de suivi WEB dans le champ ID de suivi et recherchez pour renseigner le journal de réponses

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcbDm_F5qgN7TwBk0PiItomqHcaoFUFU8VAmTECFtzogW1sjvlJiIYaK2pXniGKDIEUnEZOg1-xHYrpteg6foFyec_SlpRVjqjUmrNa1lbPvdCEwnuZtOU1yvqfuGYh-enXmq5f?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple de recherche dans le Journal des réponses SAML avec le code d’erreur d’ID de suivi WEB susmentionné.</p></figcaption></figure>

Les journaux de réponses SAML doivent afficher l’assertion SAML ainsi qu’un code et un message d’erreur en bas de la réponse, qui peuvent être utilisés pour une résolution des problèmes supplémentaire.

### Erreurs SCIM

#### <mark style="color:bleu;">L’utilisateur n’existe pas ou n’appartient pas à ce compte</mark>

Cette erreur se produit lorsque l’adresse e-mail d’un utilisateur ciblé ne parvient pas à être provisionnée en raison d’un compte déjà existant. Il est conseillé aux administrateurs Zoom de contacter directement l’utilisateur et d’inviter manuellement l’utilisateur au compte.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXdXyiyMnR4S4EhYFqFUXgrePk-RwciKw8-jcxKxViZiIZ4I2kp0j1f_alWR7Hq9WuYhwz6ohh4LodWERfiXSr27LFN20r-r95xBJ6AjD7lF9k58yIJeYLpMmHR3BHYcPTMYkVwqZw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d’une erreur de provisionnement.</p></figcaption></figure>

#### <mark style="color:bleu;">Vous ne pouvez pas ajout des utilisateurs payants</mark>

Cette erreur se produit lorsque SCIM tente de provisionner un utilisateur alors qu’il n’y a pas suffisamment de licences sur le compte. Pour résoudre l’erreur, l’utilisateur doit être provisionné en tant qu’utilisateur basique, ou une licence doit être rendue Disponible pour le provisionnement.

### Utilisation des journaux SCIM pour la résolution des problèmes de provisionnement des utilisateurs

Zoom fournit les 100 journaux de requêtes API les plus récents dans le [Zoom Marketplace](https://marketplace.zoom.us/). Un administrateur Zoom peut utiliser ces journaux pour confirmer quelles informations sont envoyées et reçues via les API de provisionnement. Pour accéder aux journaux, connectez-vous à Zoom Marketplace en tant qu’administrateur Zoom et cliquez sur **Gérer**. Sur la page suivante, sélectionnez **Journaux d’appel** sous **Gestion des applications personnelles**. À partir de là, cliquez sur une entrée pour développer les journaux API et examiner le contenu.

L’image suivante montre un exemple de requête de provisionnement d’utilisateur SCIM, avec les attributs d’identité et de licence de l’utilisateur mis en évidence à titre de référence.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXcIxosFPBR8E4f1hj0vZQ7_nxnRd_isIqJYhKTQbocw4UfXlCBCkscqx8bGvY8JwuazgtRROPJm9PCZfZ4hJ5GQBqBzJA-PgS-mXkptGa0xq82SMXjl9Ip-faCDk3OQuLUXK0iobQ?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Exemple d’une requête de provisionnement d’utilisateur SCIM.</p></figcaption></figure>

Comme pour le mappage des réponses SAML, Zoom ne peut appliquer que les informations soumises par le fournisseur d’identité dans la requête de provisionnement. Utilisez ces journaux pour confirmer que les attributs d’identité et de licence de l’utilisateur sont bien soumis par le fournisseur d’identité. Si des informations attendues sont manquantes dans ces assertions, contactez votre fournisseur d’identité pour obtenir de l’assistance.

### Flux de données et authentification

#### <mark style="color:bleu;">Authentification SAML</mark>

Le diagramme suivant détaille le flux d’authentification SAML d’un utilisateur lorsqu’il lance une session d’Authentification unique avec Zoom.

<figure><img src="https://lh7-rt.googleusercontent.com/docsz/AD_4nXfkEMRTb806bc8m6p0o2PoRatl-YUcolK_42gs9cSFWW10jHIeMvgjn7uLfItLOKYtg4Ps97WAUWRgHXmSc0oF8kgDBXwqYdnDt1aZhxIXgyoUJa-M6gxtRMiMPxW8pGek27TNw?key=ug1dFE_WGWGnyMfD5tJnNw" alt=""><figcaption><p>Diagramme d’un exemple de flux d’authentification SAML.</p></figcaption></figure>

#### <mark style="color:bleu;">Jeton de connexion Web SSO</mark>

Après qu’un utilisateur s’authentifie via SAML, la session de l’utilisateur est créée dans son navigateur et a

une durée de deux heures par défaut. Si l’utilisateur continue à utiliser activement sa page Web Zoom, la session sera actualisée ; toutefois, si l’utilisateur n’utilise pas sa page Web pendant deux heures, le jeton expirera et l’utilisateur devra s’authentifier de nouveau. Les administrateurs Zoom peuvent configurez cette durée de session Actif sur la [Sécurité](https://zoom.us/account/setting/security) page sous laquelle les utilisateurs doivent se connecter de nouveau après une période d’inactivité et **Définir la période d’inactivité sur le Web (minutes)**.

#### <mark style="color:bleu;">Jeton de connexion du client</mark>

Lorsqu’un utilisateur tente de authentifier via SSO dans un client, la machine de l’utilisateur ouvrira un navigateur web et le redirigera vers la page de connexion du fournisseur d’identité. Après qu’un utilisateur s’est authentifié, le navigateur de l’utilisateur recevra un jeton de lancement du client Zoom. Une fois qu’un utilisateur clique sur le bouton « ouvrir » ou « lancer », le navigateur utilise le schéma d’URL combiné au jeton de lancement pour ouvrir le client Zoom.

Le client Zoom utilisera le jeton de lancement pour obtenir le Access jeton et le jeton de rafraîchissement depuis le serveur Zoom. Le client utilisera le Access jeton pendant une durée de deux heures à la fois, puis, à expiration, utilisera le jeton de rafraîchissement pour obtenir un nouvel ensemble de jetons, qui sont stockés dans la base de données locale du client. Ce processus de rafraîchissement est illimité par défaut, et peut continuer à cycler à travers les jetons jusqu’à ce qu’un utilisateur se déconnecte ou que les jetons expirent. Les administrateurs Zoom peuvent personnaliser la longueur de session sur la [Paramètres SSO](https://zoom.us/account/sso) page sous [*imposer la déconnexion automatique*](#zoom-administrators-can-enforce-automatic-logout-after-a-defined-length-of-time).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://library.zoom.com/technical-library/fr/coin-admin/account-and-endpoint-management/sso-field-guide.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.