Passer au contenu principal

Intégrez un fournisseur d'identité et connectez-vous avec SAML SSO

Configurez SAML SSO pour permettre à votre équipe de se connecter à Intercom en utilisant votre fournisseur d'identité comme Okta ou OneLogin.

Écrit par Eric Fitzgerald

Intégrer Intercom avec votre fournisseur d'identité (IdP) facilite et sécurise la connexion pour votre équipe.

Suivez les étapes de cet article pour configurer votre fournisseur d'identité, exiger SAML SSO (Single Sign On) pour tous vos coéquipiers, ou pour l'offrir comme une des options de connexion. Une fois configuré, SAML SSO fonctionnera également avec l'application Intercom Conversations.

Avant de commencer

Important :

  • SAML SSO est disponible uniquement sur le plan Expert Intercom. Consultez nos plans et tarifs pour en savoir plus sur ce plan.

  • Vous devez avoir les permissions pour accéder à Paramètres > Workspace > Sécurité dans Intercom, ainsi qu'un accès administratif à votre fournisseur d'identité.

Étape 1 : Activez SAML SSO dans Intercom

Tout d'abord, vous devez activer SAML SSO dans votre workspace Intercom pour obtenir les URL de votre fournisseur d'identité.

  1. Allez dans Paramètres > Workspace > Sécurité > Méthodes d'authentification

  2. Activez SAML SSO.

  3. Une fois activé, la section de configuration SAML SSO apparaîtra.

  4. La première chose que vous verrez est l'URL unique SAML pour votre workspace. Gardez cette page ouverte ; vous aurez besoin de cette URL pour l'étape suivante.

Étape 2 : Configurez votre fournisseur d'identité

Dans les paramètres de votre fournisseur d'identité (comme Okta ou OneLogin), vous devrez ajouter Intercom en tant qu'application. Vous aurez besoin de l'URL SAML de l'étape 1.

Utilisez les paramètres suivants dans la configuration de votre IdP :

  • URL de connexion unique : <URL SAML>/consume

  • URL du destinataire : <URL SAML>/consume

  • Restriction d'audience/ID d'entité : <URL SAML>

  • NameID : Adresse e-mail

  • Assertions signées : Oui

  • Attributs mappés :

    • firstName (prénom de l'utilisateur)

    • lastName (nom de famille de l'utilisateur)

  • Chiffrement : AES256_CBC avec ce certificat :

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Note : Si votre fournisseur d'identité le supporte, vous pouvez définir une durée de session dans la configuration de votre IdP. Cela définit la durée avant l'expiration de la session d'un coéquipier et la nécessité de se reconnecter à Intercom. Si ce n'est pas défini, la durée par défaut est de 3,5 jours.

Étape 3 : Configurez Intercom avec les détails de votre IdP

Après avoir configuré votre IdP, vous devez ajouter ses détails dans Intercom.

  1. Retournez à la page des paramètres SAML SSO d'Intercom (Paramètres > Workspace > Sécurité).

  2. Ajoutez les informations suivantes de votre fournisseur d'identité :

    • URL de connexion unique du fournisseur d'identité : C'est l'URL utilisée pour démarrer le processus de connexion.

    • Certificat public : Cela permet à Intercom de valider les requêtes SAML de votre IdP. Il doit s'agir d'un certificat X.509.

Étape 4 : Ajoutez et vérifiez vos domaines autorisés

Vous devez spécifier quels domain sont autorisés à s'authentifier avec SAML SSO.

  1. Saisissez un domain sous « Domaines autorisés » et cliquez sur Ajouter un domain.

  2. Vous devez vérifier que vous possédez le domain en ajoutant un enregistrement TXT dans vos paramètres DNS avec les valeurs fournies.

  3. Après avoir ajouté l'enregistrement TXT, cliquez sur Vérifier l'enregistrement DNS.

  4. Une fois vérifié, vous verrez un message de succès et le domain sera ajouté. Répétez ce processus si vous devez ajouter plusieurs domain.

Note : Si vous venez de créer l'enregistrement DNS, il peut encore être en cours de propagation. Si vous voyez un message d'avertissement (« Impossible de vérifier l'enregistrement DNS. Veuillez réessayer plus tard. »), attendez quelques minutes (ou jusqu'à quelques heures) et réessayez.

Pour décocher cette option et imposer SAML SSO comme méthode de connexion requise, vous devez être connecté avec SAML SSO. Vous pouvez le faire après avoir enregistré vos paramètres.

Étape 5 : Testez et imposez SAML SSO

Avant d'imposer SAML à tous les coéquipiers, vous devez tester la configuration.

  1. Testez votre configuration : Pour vous assurer que tous les coéquipiers peuvent se connecter avec succès via SAML SSO avant de désactiver les autres méthodes, laissez les options Google Sign-On et Email and password activées.

  2. Enregistrez vos paramètres en bas de la page.

  3. Déconnectez-vous et essayez de vous reconnecter en utilisant l'option Se connecter avec SAML SSO pour tester votre configuration.

  4. Imposer SAML SSO (Optionnel) : Une fois que vous vous êtes connecté avec succès et que vous avez confirmé que la configuration fonctionne, vous pouvez retourner aux paramètres et décocher les autres méthodes de connexion.

Note :

  • Pour décocher les autres options de connexion et imposer SAML SSO comme seule méthode de connexion, vous devez être connecté vous-même avec SAML SSO.

  • Une fois que votre workspace a SAML SSO activé, les coéquipiers ne pourront plus modifier leur propre adresse e-mail depuis leur page Sécurité du compte. Le champ e-mail sera en lecture seule.

Comment fonctionne SAML SSO pour votre équipe

Comment les coéquipiers se connectent

Une fois SAML SSO activé, les coéquipiers verront un bouton Se connecter avec SAML SSO sur la page de connexion. L'expérience de connexion variera en fonction de leur adresse e-mail :

  • E-mail non enregistré : Si l'e-mail saisi ne correspond pas à un coéquipier dans un workspace avec SAML activé, un message d'erreur s'affichera.

  • E-mail enregistré pour un seul workspace SAML : Le coéquipier est redirigé vers le fournisseur d'identité pour se connecter.

  • E-mail enregistré pour plusieurs workspaces SAML : Le coéquipier voit le sélecteur de workspace. Après avoir choisi un workspace, il est redirigé vers le fournisseur d'identité approprié pour ce workspace.

Selon le fournisseur d'identité que le coéquipier utilise pour chaque workspace, il est redirigé vers l'expérience de connexion du bon fournisseur. Après la connexion, l'utilisateur est ramené au workspace correct et connecté.

Changer de workspace

SAML SSO est pris en charge lors du changement de workspace :

  • Si un coéquipier est connecté à deux workspaces utilisant le même fournisseur SAML SSO, il peut passer de l'un à l'autre sans avoir à se réauthentifier.

  • Si le coéquipier a accès à un troisième workspace utilisant e-mail/mot de passe, et qu'il n'est pas connecté, il sera redirigé vers le sélecteur de workspace pour se connecter avec son mot de passe.

Connexion sur l'application mobile (application Intercom Conversations)

SAML SSO est pris en charge sur l'application iOS et Android Intercom Conversations.

  1. Accédez à l'écran de connexion et appuyez sur le bouton Se connecter avec SAML SSO.

  2. Saisissez votre e-mail professionnel et appuyez sur Continuer.

  3. Si vous avez accès à plusieurs workspaces, une liste s'affichera pour choisir. (Si vous n'en avez qu'un, cet écran est sauté).

  4. La sélection d'un workspace ouvrira une vue web pour se connecter à votre fournisseur SAML.

  5. Une fois connecté, vous serez connecté à l'application.

Si vous n'avez pas configuré SAML SSO pour votre compte et tentez de vous connecter avec SAML SSO, un message d'erreur s'affichera.

Invitations au workspace

SAML SSO est compatible avec les invitations au workspace. Lorsqu'un coéquipier utilise une invitation, l'e-mail de l'invitation doit correspondre à l'e-mail retourné par le fournisseur d'identité, sinon l'invitation échouera.

Comment changer les adresses e-mail des profils coéquipiers/admin si le Workspace a SAML SSO activé

1. L'administrateur doit activer « E-mail et mot de passe » comme méthode de connexion, si ce n'est pas déjà fait.

2. Tous les coéquipiers définissent/réinitialisent leur mot de passe Intercom et confirment qu'ils peuvent se connecter avec leur ancien e-mail + mot de passe.

3. L'administrateur désactive SAML SSO sur le workspace (cela rend le champ e-mail modifiable pour les coéquipiers).

4. Chaque coéquipier se connecte avec son ancien e-mail + mot de passe et met à jour individuellement son e-mail de connexion vers le nouveau domain.

5. L'administrateur met à jour les e-mails des users dans l'IdP vers le nouveau domain.

6. L'administrateur réactive SAML SSO sur le workspace.

7. SSO fonctionne maintenant avec les nouveaux e-mails. L'administrateur peut éventuellement rétablir la connexion uniquement via SSO.

Guides spécifiques à l'IdP et dépannage

Besoin d'aide avec votre fournisseur d'identité ? Le support Intercom peut vous aider à configurer SAML SSO dans Intercom. Pour les étapes spécifiques à l'IdP, la configuration dans la console d'administration de votre fournisseur (ex. Microsoft Entra, Okta, JumpCloud), ou les erreurs provenant de votre IdP, nous recommandons de contacter directement le support de votre fournisseur d'identité — ils auront accès à votre environnement et pourront résoudre les problèmes de leur côté. Notre documentation SAML est disponible pour leur servir de référence.

Dépannage Google Workspace

Si vous utilisez Google Workspace comme fournisseur SSO et voyez une erreur d'accès, vous pouvez activer les « messages de remédiation » dans votre console d'administration Google pour comprendre la raison de l'erreur. Une fois activé, vous verrez des informations plus détaillées dans le message d'erreur (ex. « l'appareil... n'est pas géré par la gestion des points de terminaison Google »).

Une fois activé, vous pourrez voir des informations plus détaillées dans le message d'erreur.

Par exemple, l'erreur suivante pourrait indiquer que l'appareil utilisé n'est pas géré par la gestion des points de terminaison Google :

Choisissez d'activer la provision Just-in-Time (JIT)

La provision Just-in-Time ajoutera automatiquement les coéquipiers à votre workspace Intercom la première fois qu'ils se connecteront avec SAML SSO, s'ils n'ont pas déjà un compte Intercom.

Pour activer cela, allez dans Paramètres > Workspace > Sécurité, assurez-vous que SAML SSO est activé, puis cliquez sur Provisioning :

Ensuite, définissez les permissions que les nouveaux coéquipiers doivent avoir lorsqu'ils sont ajoutés par la provision JIT :

Note : Les nouveaux coéquipiers ne seront ajoutés que si vous avez des places disponibles.

Enfin, enregistrez vos paramètres et testez votre configuration en vous authentifiant avec votre fournisseur d'identité :

Une fois que votre workspace a SAML SSO activé avec n'importe quel fournisseur, les coéquipiers ne pourront plus modifier leur propre adresse e-mail depuis leur page Sécurité du compte. Le champ e-mail sera en lecture seule.

Configurer SAML avec OneLogin

Vous pouvez utiliser l'application « Intercom SAML 2.0 » dans la boutique OneLogin.

  1. Dans votre page d'administration OneLogin, allez dans Applications et cliquez sur Ajouter une application.

  2. Recherchez et ajoutez l'application Intercom SAML 2.0.

  3. Ouvrez l'onglet Configuration et saisissez le nom SAML de votre workspace.

  4. Dans l'onglet SSO, copiez l'URL "SAML 2.0 Endpoint" et collez-la dans les paramètres SAML de votre workspace Intercom.

  5. Cliquez sur Voir les détails sous le certificat, copiez le certificat et collez-le dans le champ Certificat public d'Intercom.

  6. Enregistrez vos paramètres dans Intercom et testez la connexion.

Note : Si votre workspace est hébergé dans l'UE ou l'AU, contactez l'équipe OneLogin pour vous assurer que votre intégration est prise en charge.

Configuration de SAML avec Okta

Vous pouvez utiliser l'application "Intercom" depuis le Okta App Store.

  1. Dans Okta :

    • Ouvrez le tableau de bord administrateur Okta et ajoutez l'application Intercom.

    • Passez aux Options de connexion.

    • Téléchargez le Certificat de signature et copiez l'URL de connexion fournie par Okta.

  2. Dans Intercom :

    • Allez dans Paramètres > Workspace > Sécurité et activez le SAML SSO.

    • Notez votre URL SAML (en haut des paramètres SAML).

    • Saisissez les détails suivants depuis Okta :

      • URL de connexion du fournisseur d'identité : (L'URL de connexion d'Okta)

      • Certificat public : (Collez le certificat complet téléchargé depuis Okta)

    • Sous « Domaines autorisés », saisissez le domain de votre entreprise (par exemple, acme.com).

    • Ne cliquez pas encore sur Enregistrer.

  3. De retour dans Okta :

    • Retournez aux Options de connexion de votre application Intercom Okta.

    • Sous Certificat de chiffrement, téléchargez le certificat suivant en tant que intercom.pem :

      -----BEGIN CERTIFICATE-----
      MIIDYzCCAkugAwIBAgIUS9LFUH5IWanIgQ78d/qyKOdojAYwDQYJKoZIhvcNAQEL
      BQAwQTERMA8GA1UECgwISW50ZXJjb20xETAPBgNVBAsMCFBsYXRmb3JtMRkwFwYD
      VQQDDBBTQU1MIENlcnRpZmljYXRlMB4XDTI2MDExMjE3NTIzN1oXDTM2MDExMDE3
      NTIzN1owQTERMA8GA1UECgwISW50ZXJjb20xETAPBgNVBAsMCFBsYXRmb3JtMRkw
      FwYDVQQDDBBTQU1MIENlcnRpZmljYXRlMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A
      MIIBCgKCAQEA2LVcYLNwR0t1Co/FBNSFUEdpOJTM87X0//NPisUgQJ71l11Dohg9
      Yg1aAraqOsQ9EPR9prdQjP50lhOmogjvPDClPlXtoHdRCJ81U/3duXoBdGS02NN3
      2DetudNnyjeUefkcnPWsQ+FNZasnP9ODU8dtPKxMcLP3AmcUYOAaKp1r3WBuFDcT
      woMtbrWUoxTfBeYx6nQ9TfzJOGQFZCYs30Sx1j5LVio5DoM3oynTTh0qOzJS+KpU
      iIIqby8szpqWMfdPNTdBd7XQK2SkHmBgkgSDfQIII93kkXCP1bCOuo4rC+lIeXlF
      gIi2Z4iMxuKceBeLBgFTovG7dVDeGmTucQIDAQABo1MwUTAdBgNVHQ4EFgQUgZdt
      wisFHetsCww03EXQGt8Oq24wHwYDVR0jBBgwFoAUgZdtwisFHetsCww03EXQGt8O
      q24wDwYDVR0TAQH/BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAQEAiL3wXWof5x+k
      thOn2tAspFR/IH5NQHPLocV605FcRjt1JS1z0cBjtBroTKFarXo6T1NKQN5Lhjsu
      wrvu1J/YQcGnSmChar8OJSIbxPhHrbpA6Gg2mtkH4BTnnXY3LBgVFfCl5oiFxZqB
      ELkm6iBZmReot+MPWvE0Ypx7hQLI/3qLc5yYEw7ZNKWq/lRbbT4DLgKeHH89fSrm
      cpDa9ZHF2e6rlx95LCbZUWyEE6pPFeq+6CyQt+FkwLl1e+ZIJTknWgD/bzPsZ6CF
      XfF2fS2ObaUISKYEZMZx5o+JZnnYGr1U614lhniha+Rpykzoa+SsOdwvI0xl5ZRr
      aqD3fI3jqA==
      -----END CERTIFICATE-----

    • Sous « Paramètres avancés de connexion », collez votre URL de base SAML depuis Intercom.

    • Cliquez sur Enregistrer.

  4. Tester et activer :

    • Retournez aux paramètres SAML de votre workspace Intercom et cliquez sur Enregistrer.

    • Testez votre configuration SAML en vous déconnectant puis en vous reconnectant avec SAML.

    • Une fois confirmé, vous pouvez retourner aux paramètres et décocher les options de connexion par e-mail/mot de passe ou Google pour appliquer SAML.

Articles connexes
FAQ pour bien démarrer
Avez-vous trouvé la réponse à votre question ?