Ferndesk
Authentification

Authentification SSO OIDC

Utilisez votre fournisseur d’identité actuel (Okta, Auth0, Google, etc.) pour authentifier les utilisateurs accédant à votre centre d'aide via OpenID Connect (OIDC).

Nécessite un forfait Team ou Enterprise avec le mode Privé activé.

Ce dont vous aurez besoin

De la part de votre fournisseur d’identité :

  • URL de découverte (Discovery URL) : Le point de terminaison .well-known/openid-configuration

  • Client ID : Votre identifiant d'application

  • Client Secret : Clé confidentielle pour l'échange de jetons

  • Scopes : Au minimum openid, profile, et email

Configuration d'OIDC

  1. Allez dans Help Center > Customize > Access Control

  2. Sélectionnez le mode Private

  3. Ouvrez l'accordéon Login methods

  4. Cliquez sur Add OIDC Provider

  5. Remplissez les détails de votre fournisseur :

    • Discovery URL : Se termine généralement par .well-known/openid-configuration

    • Client ID : Provenant des paramètres de l'application de votre fournisseur

    • Client Secret : Gardez cette information sécurisée

    • Scopes : openid profile email (séparés par des espaces)

  6. Cliquez sur Save changes

Ferndesk récupérera la configuration de votre fournisseur à partir de l'URL de découverte pour terminer l'installation.

L'URL de découverte doit être accessible publiquement et renvoyer une configuration OIDC valide. Testez-la d'abord dans votre navigateur.

URI de redirection pour votre fournisseur

Configurez cette URL de rappel (callback URL) dans votre fournisseur d’identité :

https://<your-help-domain>/auth/oidc/callback

C'est l'endroit où les utilisateurs reviennent après s'être authentifiés.

Tester OIDC

  1. Ouvrez votre centre d'aide dans une fenêtre de navigation privée

  2. Cliquez sur le bouton de connexion SSO

  3. Authentifiez-vous auprès de votre fournisseur d’identité

  4. Vérifiez que vous êtes redirigé et que vous pouvez accéder au contenu

Prévisualisez immédiatement votre page de connexion en enregistrant les modifications. La page des paramètres Access Control affiche une iframe de prévisualisation en direct.

Problèmes de configuration courants

URL de découverte non valide

L'URL doit renvoyer un JSON avec les champs issuer, authorization_endpoint, et token_endpoint. Correction courante : assurez-vous qu'elle se termine par .well-known/openid-configuration

Échec de l'authentification client

Le Client ID ou le secret est incorrect. Vérifiez à nouveau les valeurs dans le tableau de bord de votre fournisseur.

Erreur de Scope

Votre fournisseur doit prendre en charge les scopes openid, profile, et email. Consultez la documentation du fournisseur pour les scopes requis.

Incohérence de l'URI de redirection

Assurez-vous que https://<votre-domaine-d-aide>/auth/oidc/callback est sur la liste blanche des URL de rappel autorisées de votre fournisseur.

Exemples spécifiques par fournisseur

Okta

  • Discovery URL : https://votre-domaine.okta.com/.well-known/openid-configuration

  • Créez une Web App Integration dans Okta

  • Utilisez le flux Authorization Code

Auth0

  • Discovery URL : https://votre-domaine.auth0.com/.well-known/openid-configuration

  • Créez une Regular Web Application

  • Activez password grant si vous utilisez une connexion par nom d'utilisateur/mot de passe

Google

  • Discovery URL : https://accounts.google.com/.well-known/openid-configuration

  • Créez des identifiants OAuth 2.0 dans la console Google Cloud

  • Type d'application : Application Web

Fournisseurs multiples

Vous pouvez activer OIDC aux côtés de Magic Links et JWT. Les utilisateurs verront toutes les options sur la page de connexion et pourront choisir leur méthode préférée.

Désactiver OIDC

Pour supprimer l'authentification OIDC :

  1. Allez dans les paramètres Access Control

  2. Cliquez sur Remove OIDC Provider

  3. Enregistrez vos modifications

Les sessions actives restent valides jusqu'à leur expiration.

Cela vous a-t-il été utile ?