Einrichten des SAML-Single-Sign-On über Active Directory mit ADFS und SAML – Zendesk-Hilfe

Bei allen Suite-Plänen verfügbar Bei allen Support-Plänen verfügbar

Hinweis: Dieser Beitrag dient lediglich zu Demonstrationszwecken. Zendesk bietet keine Unterstützung für den Code und übernimmt keinerlei Garantie. Posten Sie eventuelle Probleme in den Kommentaren oder suchen Sie online nach einer Lösung.

Zendesk unterstützt Single Sign-On (SSO)-Anmeldung über SAML 2.0. Es gibt verschiedene SAML 2.0 Identity Provider (IDP). Einer davon ist der selbst gehostete Active Directory Federation Services (ADFS)-Server. ADFS ist ein von Microsoft als Standardrolle für Windows Server bereitgestellter Service, der eine Web-Anmeldung mit vorhandenen Active Directory-Zugangsdaten ermöglicht.

Anforderungen

Für die ADFS-Anmeldung bei Ihrer Zendesk-Instanz benötigen Sie:

Eine Active Directory-Instanz mit einem E-Mail-Adressattribut für jeden Benutzer.
Eine Zendesk-Instanz.
Einen Server mit Microsoft Server 2012 oder 2008. Die Screenshots in diesem Handbuch stammen aus Server 2012R2, die Abläufe sollten in anderen Versionen aber ähnlich sein.
Ein SSL-Zertifikat zum Signieren Ihrer ADFS-Anmeldeseite und den dazugehörigen Fingerabdruck.
Wenn Sie in Ihrer Zendesk-Instanz Host-Mapping verwenden, ein installiertes Zertifikat für gehostetes SSL.

Wenn diese grundlegenden Anforderungen erfüllt sind, müssen Sie ADFS auf Ihrem Server installieren. Die Installation und Konfiguration von ADFS wird in diesem Handbuch nicht beschrieben. Entsprechende Anweisungen finden Sie in diesem Microsoft KB-Artikel.

Nachdem Sie ADFS vollständig installiert haben, notieren Sie sich die unter „ADFS Endpoints“ im Feld „SAML 2.0/W-Federation“ angegebene URL. Wenn Sie bei der Installation die Standardeinstellungen beibehalten haben, lautet sie „/adfs/ls/“.

Schritt 1 – Hinzufügen eines Relying Party Trust

An dieser Stelle sollten Sie bereit sein, die ADFS-Verbindung mit Ihrem Zendesk-Konto einzurichten. Die Verbindung zwischen ADFS und Zendesk wird mithilfe eines Relying Party Trust (RPT) definiert.

Wählen Sie unter AD FS Management den Ordner Relying Party Trusts aus und fügen Sie von der Seitenleiste Actions aus einen neuen Standard Relying Party Trust hinzu. Der Konfigurationsassistent für einen neuen Trust wird gestartet.

Wählen Sie auf dem Bildschirm Select Data Source die letzte Option Enter Data About the Party Manually aus.
Geben Sie auf dem nächsten Bildschirm unter Display name einen aussagekräftigen Namen ein und fügen Sie gegebenenfalls Notizen hinzu.
Wählen Sie auf dem nächsten Bildschirm die Optionsschaltfläche ADFS FS profile aus.
Behalten Sie auf dem nächsten Bildschirm die voreingestellten Zertifikatseinstellungen bei.
Aktivieren Sie auf dem nächsten Bildschirm das Kontrollkästchen Enable Support for the SAML 2.0 WebSSO protocol. Die URL des Service lautet https://subdomäne.zendesk.com/access/saml, wobei subdomäne für Ihre Zendesk-Subdomäne steht. Beachten Sie, dass die URL nicht mit einem Schrägstrich endet.
Fügen Sie auf dem nächsten Bildschirm unter Relying party trust identifier den Eintrag subdomäne.zendesk.com hinzu, wobei subdomäne für Ihre Zendesk-Subdomäne steht.

Hinweis: Wenn bei der Eingabe von subdomäne.zendesk.com ein Anforderungsfehler gemeldet wird, müssen Sie die Subdomäne möglicherweise im Format https://subdomäne.zendesk.com eingeben.
Auf dem nächsten Bildschirm können Sie die Multi-Faktor-Authentifizierung konfigurieren. Die Vorgehensweise wird in diesem Beitrag nicht beschrieben.
Wählen Sie auf dem nächsten Bildschirm die Optionsschaltfläche Permit all users to access this relying party aus.
Auf den nächsten beiden Bildschirmen sehen Sie eine Übersicht Ihrer Einstellungen. Klicken Sie auf dem letzten Bildschirm auf Close, um den Assistenten zu beenden und den Editor zum Erstellen von Claim-Regeln aufzurufen.

Schritt 2 – Erstellen von Claim-Regeln

Nachdem Sie den Relying Party Trust (RPT) eingerichtet haben, können Sie die Claim-Regeln erstellen und den RPT mit kleineren Änderungen aktualisieren, die nicht vom Assistenten vorgenommen werden. Standardmäßig wird der Claim-Regel-Editor geöffnet, nachdem Sie den Trust erstellt haben. Wie Sie über die Authentifizierung hinaus weitere Werte zuordnen, erfahren Sie in unserer Dokumentation.

Klicken Sie auf Add Rule. Erstellen Sie eine Regel Send LDAP Attributes as Claims.
Führen Sie auf dem nächsten Bildschirm mit Active Directory als Attributspeicher folgende Schritte aus:
1. Wählen Sie in der Spalte LDAP Attribute den Eintrag E-Mail Addresses aus.
2. Wählen Sie unter Outgoing Claim Type den Typ E-Mail Address aus.
Klicken Sie auf OK, um die neue Regel zu speichern.
Klicken Sie auf Add Rule, um eine weitere neue Regel zu erstellen. Wählen Sie dieses Mal die Vorlage Transform an Incoming Claim aus.
Auf dem nächsten Bildschirm:
1. Wählen Sie unter Incoming Claim Type den Typ E-Mail Address aus.
2. Wählen Sie unter Outgoing Claim Type den Typ Name ID aus.
3. Wählen Sie unter Outgoing Name ID Format das Format Email aus.
Behalten Sie für die Regel die Standardeinstellung Pass through all claim values bei.
Klicken Sie abschließend auf OK, um die Claim-Regel zu erstellen, und dann erneut auf OK, um den Editor zu beenden.

Schritt 3 – Anpassen der Trust-Einstellungen

Nun müssen Sie noch ein paar Einstellungen Ihres Relying Party Trust anpassen. Wählen Sie zu diesem Zweck den Relying Party Trust aus und wählen Sie in der Seitenleiste Actions die Option Properties.

Achten Sie darauf, dass auf der Registerkarte Advanced der sichere Hash-Algorithmus SHA-256 ausgewählt ist.
Klicken Sie auf der Registerkarte Endpoints auf add SAML, um einen neuen Endpunkt hinzuzufügen.
Wählen Sie unter Endpoint type den Typ SAML Logout aus.
Wählen Sie unter Binding die Option POST.
Tragen Sie unter Trusted URL eine URL ein. Verwenden Sie hierzu:
1. Die Webadresse Ihres ADFS-Servers
2. Den vorhin notierten ADFS SAML-Endpunkt
3. Die Zeichenfolge ?wa=wsignout1.0
Die URL sollte etwa so aussehen: https://sso.ihredomäne.tld/adfs/ls/?wa=wsignout1.0.
Klicken Sie auf OK, um die Änderungen am Endpunkt und an den RPT-Eigenschaften zu bestätigen. Nun sollten Sie über einen funktionsfähigen RPT für Zendesk verfügen.

Hinweis: Unter Umständen müssen laut den Sicherheitseinstellungen Ihrer ADFS-Instanz alle Federation Services-Eigenschaften ausgefüllt und in den Metadaten veröffentlicht werden. Fragen Sie bei Ihrem Team nach, ob dies auf Ihre Instanz zutrifft. Wenn dies der Fall ist, achten Sie darauf, das Kontrollkästchen Publish organization information in federation metadata zu aktivieren.

Schritt 4 – Konfigurieren von Zendesk

Nachdem Sie ADFS eingerichtet haben, müssen Sie Ihr Zendesk-Konto für die Authentifizierung mit SAML konfigurieren. Führen Sie die unter Aktivieren von Single-Sign-On über SAML beschriebenen Schritte aus. Verwenden Sie die vollständige URL Ihres ADFS-Servers mit dem SAML-Endpunkt als SSO-URL und dem Anmelde-Endpunkt, den Sie erstellt haben, als Abmelde-URL. Der Fingerabdruck ist der Fingerabdruck des in Ihrer ADFS-Instanz installierten Token-Signing-Zertifikats.

Sie können den Fingerabdruck auf dem System, auf dem das Zertifikat installiert ist, mit dem folgenden PowerShell-Befehl abrufen:

C:\> Get-AdfsCertificate [-Thumbprint] []

Suchen Sie nach dem SHA256-Fingerabdruck des Token-Signing-Zertifikats.

Wenn Sie fertig sind, gehen Sie wie folgt vor:

Klicken Sie in der Seitenleiste des Admin Centers auf das Symbol Konto () und dann auf Sicherheit > Single-Sign-On.
Die Seite sollte wie in diesem Beispiel aussehen:

Jetzt haben Sie eine funktionsfähige ADFS SSO-Implementierung für Zendesk.

Wechseln der Authentifizierungsmethode

Wichtig: Wenn Sie Benutzer in Zendesk über die SSO-Methode eines Drittanbieters erstellen und authentifizieren und später zur Zendesk-Authentifizierung wechseln, haben diese Benutzer kein Kennwort für die Anmeldung. Sie können sich erst wieder anmelden, nachdem sie ihr Kennwort auf der Zendesk-Anmeldeseite zurückgesetzt haben.