Bei der SAML-Anmeldung mit ADFS können Sie neben den Authentifizierungswerten noch weitere Werte übergeben. In diesem Beitrag wird beschrieben, wie Sie den Vor- und Nachnamen, die Organisation, die Telefonnummer, die Rolle oder die angepasste Rolle eines Benutzers übergeben.
Diese Werte sind als Claim-Regeln im Relying Party Trust definiert. Zum Bearbeiten der Claim-Regeln wählen Sie unter AD FS Management den Ordner Relying Party Trusts aus und klicken in der Seitenleiste Actions auf Edit Claim Rules. Sie können neue Regeln hinzufügen, indem Sie auf Add Rule klicken und in dem Fenster, das daraufhin eingeblendet wird, eine Vorlage auswählen. Beispiel:
Vor- und Nachname
Um den Vor- und Nachnamen eines Benutzers zu übergeben, erstellen Sie eine Regel mit der Vorlage Send LADP Attributes.
- Fügen Sie unter LDAP Attribute die Zeile Surname für den Nachnamen und die Zeile Given-Name für den Vornamen hinzu.
- Wählen Sie unter Outgoing Claim Type die Werte Surname und Given Name aus.
Organisation
Um die Organisation zu definieren, der ein Benutzer in Zendesk zugeordnet werden soll, erstellen Sie eine Regel mit der Vorlage Send LDAP Attributes. Diese Regel ordnet ein Feld in Active Directory dem Outgoing Claim Type der Organisation zu. Das LDAP-Attribut hängt davon ab, wie Sie die Benutzer zuordnen möchten. Zum Beispiel kann es sinnvoll sein, Abteilungen verschiedenen Organisationen zuzuordnen.
- Wählen Sie unter LDAP Attribute das Feld aus, das Sie der Organisation zuordnen möchten.
- Geben Sie im Feld Outgoing Claim Type das Wort organization in Kleinbuchstaben ein.
Telefonnummer
Um die Telefonnummer eines Benutzers zu übergeben, erstellen Sie eine Regel mit der Vorlage Send LADP Attributes.
- Wählen Sie unter LDAP Attribute das Feld Telephone-Number aus.
- Geben Sie im Feld Outgoing Claim Type das Wort phone in Kleinbuchstaben ein.
Rolle
Um die Rolle eines Benutzers basierend auf seiner Gruppenmitgliedschaft festzulegen, müssen Sie zwei Schritte ausführen. Zunächst erstellen Sie eine neue Regel mit der Vorlage Send Group Membership as a Claim. Dann passen Sie die von dieser Regel erzeugte Definition an und erstellen eine angepasste Regel, die die Informationen korrekt an Zendesk übergibt.
Gruppenmitgliedschaftsregel erstellen:
- Fügen Sie eine neue Regel hinzu und wählen Sie die Vorlage Send Group Membership as a Claim aus.
- Klicken Sie auf die Schaltfläche „Browse“ und wählen Sie die Gruppe aus, die Sie der Rolle zuordnen möchten.
- Wählen Sie unter Outgoing Claim Type den Typ Role aus.
- Verwenden Sie als Outgoing claim valueden in der Tabelle der Benutzerattribute in unserer SAML-Dokumentation angegebenen Wert.
- Klicken Sie auf Finish, wählen Sie die soeben erstellte Regel aus und klicken Sie dann auf Edit Rule.
- Klicken Sie auf die Schaltfläche View Rule Language, um den Rohcode für die Regel abzurufen. Kopieren Sie den Code und bewahren Sie ihn auf. Sie benötigen ihn für den nächsten Schritt.
Funktionsfähige angepasste Regel erstellen:
- Nachdem Sie den Code im Fenster „Rule Language“ kopiert haben, klicken Sie auf OK, um das Dialogfeld zu schließen.
- Entfernen Sie die Regel und fügen Sie eine neue Regel mit der Vorlage Send Claims using a Custom Rule hinzu.
- Fügen Sie den kopierten Code für die angepasste Regel in den Regel-Editor ein und löschen Sie die Zeichenfolge „http://schemas.microsoft.com/ws/2008/06/identity/claims/“ im Feld Type. Es sollte nur das Wort role übrig bleiben.
- Speichern Sie die Regel.
Angepasste Rolle
Um eine angepasste Rolle festzulegen, müssen Sie die ID mit der API für angepasste Agentenrollen ermitteln. Führen Sie dann die in Abschnitt 4 beschriebenen Schritte zum Erstellen einer generischen Rollenregel aus, aber mit den folgenden Änderungen:
- Verwenden Sie als Outgoing claim value anstelle von agent oder admin die Rollen-ID.
- Ersetzen Sie das Wort role im Feld Type durch den Wert custom_role_id.
Die letzte Anweisung der Regel sieht in etwa so aus:
issue(Type = "custom_role_id", Value = "ROLE_ID_HERE", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);
Die angepasste Rolle kann nur für einen Benutzer verwendet werden, dem bereits die Rolle agent zugeordnet ist.