Deutsch
  1. Zendesk-Hilfe
  2. Admin Center
  3. Verwenden des Admin Centers
  4. SSO einrichten

Optionen zum Single-Sign-On (SSO) in Zendesk Support

Anton de Young
  • Bearbeitet

Suite – allealle Produkte

Neben der von Zendesk Support bereitgestellten Benutzerauthentifizierung können Sie auch den Single-Sign-On (SSO) verwenden. Dabei werden Benutzer außerhalb von Zendesk Support authentifiziert. Es gibt drei Arten von SSO: Social-Media-Konten, Business-Konten und Enterprise.

Dieser Beitrag enthält die folgenden Abschnitte:

Grundlegende Fakten zu SSO

Nachfolgend einige grundlegende Fakten zur den verfügbaren Single-Sign-On-Optionen. Detailliertere Ausführungen finden Sie weiter unten in diesem Beitrag.

  • Administratoren und Agenten können sich über ihr Google-, Microsoft- oder Zendesk-Konto anmelden bzw. direkt zu ihrer Zendesk-URL gehen und dort ihren Benutzernamen und ihr Kennwort eingeben. Endbenutzer können sich über ihr Zendesk-Konto und außerdem über alle ihre Social-Media- und Business-Konten anmelden.
  • Wenn Ihre Zendesk Support-Instanz geschlossen oder beschränkt ist und ein Benutzer versucht, sich mit einer anderen als der in Zendesk Support registrierten E-Mail-Adresse anzumelden, wird seine Authentifizierungsanforderung abgewiesen.
  • Sie können jeweils bis zu zwei aktive JWT- und SAML-Authentifizierungskonfigurationen definieren.
  • Wenn Endbenutzern oder Teammitgliedern mehrere SSO-Konfigurationen zugewiesen sind, müssen Sie eine davon als primäre Authentifizierungsmethode festlegen.
  • Unabhängig davon, welche Authentifizierungsmethode Sie wählen, speichert Zendesk alle Benutzer in derselben Datenbank.
  • Wenn Sie einen Drittanbieter zu Authentifizierungszwecken verwenden, müssen Sie die Zendesk-App mit dem Identity Provider konfigurieren.
  • Die Anwendung individueller SSO-Optionen auf unterschiedliche Marken ist nur mit einem angepassten Skript für JWT möglich.
  • Wenn Sie ein Platzhalterzeichen (*) in der Blockierliste eingeben, sind Benutzer nicht mehr in der Lage, sich über SSO zu authentifizieren oder ein Konto zu erstellen. Weitere Informationen finden Sie unter Verwenden der Zulassungsliste und Blockierliste zur Steuerung des Zugriffs auf Zendesk Support.
Wichtig: Wenn Sie JWT- oder SAML-basiertes SSO verwenden, sind Sie für die Überprüfung der Identität Ihrer Benutzer einschließlich ihrer E-Mail-Adressen verantwortlich. Wenn Sie Benutzer und ihre E-Mail-Adressen nicht überprüfen, besteht das Risiko, dass Unbefugte auf Ihr Konto zugreifen. Zendesk kann die Sicherheit Ihres Kontos nicht garantieren.

Single-Sign-On über Social-Media- und Business-Konten

Single-Sign-On über Social-Media- und Business-Konten sind zusätzliche Anmeldeoptionen, die Sie für Ihre Kunden bereitstellen können. Sie können diese Optionen auf der Anmeldeseite Ihres Help Centers verfügbar machen, damit Benutzer sich entweder über ihr Zendesk Support-Konto oder über ein Social-Media- oder Business-Konto anmelden können. Teammitglieder können für die Authentifizierung nur Business-Konten verwenden, Endbenutzer auch Social-Media-Konten.

Social-Media-Konten sind Facebook und Twitter. Business-Konten sind Google und Microsoft.

Für Single-Sign-On über Business-Konten gilt:
  • Google: Zur Anmeldung über Google wird sowohl Gmail als auch Google Apps unterstützt. Der Federated Login Service ist bei Google Apps für Business- und Education-Konten standardmäßig deaktiviert. Der Domänenadministrator kann den Federated Login Service vom Control Panel aus aktivieren: http://www.google.com/a/cpanel/yourdomain/SetupIdp, wobei yourdomain für Ihre Domäne steht. Die Business-Konto-Authentifizierung unterstützt vom Benutzer oder für die Google Apps-Domäne (Google Authenticator) aktivierte Zwei-Faktor-Authentifizierung.
  • Microsoft: Die Anmeldung über Microsoft wird in der mobilen Zendesk Support-App für iPad nicht unterstützt.

Anweisungen zum Hinzufügen von Social-Media- und Business-Konten zum Single-Sign-On finden Sie unter Aktivieren von Single-Sign-On (SSO) über Social-Media- und Business-Konten.

Enterprise-Single-Sign-On

Das Enterprise-Single-Sign-On unterscheidet sich vom Single-Sign-On über Social-Media- und Business-Konten. Im Gegensatz zum Social-Media-Single-Sign-On, das optional ist und zusätzlich zur Anmeldung über das Zendesk Support-Konto verwendet werden kann, ersetzt das Enterprise-Single-Sign-On alle anderen Anmeldeoptionen. Der Begriff „Enterprise“ bezieht sich in diesem Zusammenhang nicht auf Zendesk Enterprise-Pläne.

In diesem Abschnitt werden folgende Themen behandelt:

Übersicht über das Enterprise-Single-Sign-On

Wenn Sie das Enterprise-Single-Sign-On aktivieren, wird Zendesk ganz umgangen, und die Benutzerauthentifizierung findet extern statt. Wenn Benutzer zur Zendesk-Anmeldeseite gehen oder über einen Link auf Ihr Zendesk-Konto zugreifen, können sie sich durch Anmeldung bei einem Unternehmensserver oder einem externen Identity Provider wie OneLogin oder Okta authentifizieren. Wenn Sie das Enterprise-Single-Sign-On aktivieren, wirkt sich dies auch auf die iOS- und Android-Versionen der mobilen Zendesk Support-App aus.

Hinweis: Die Aktivierung von Enterprise-SSO für eine einzelne Marke ist nur mit einem angepassten Skript für JWT SSO möglich.
Beim Enterprise-Single-Sign-On durchläuft ein Benutzer bei der Anmeldung folgende Schritte:
  1. Der Benutzer geht zu einer Zendesk-Seite oder -Subdomäne.
  2. Wenn der Benutzer noch nicht authentifiziert ist, wird er zur Anmeldeseite Ihres Unternehmensservers oder eines externen Identity Providers weitergeleitet (je nach ausgewählter Option für das Enterprise-SSO).
  3. Der Benutzer gibt seine Anmeldeinformationen ein.
  4. Wenn sie gültig sind, kehrt der Benutzer zur ursprünglichen Zendesk-Seite zurück.
Hinweis: Der Benutzer kann den Anmeldevorgang auch auf der Anmeldeseite Ihres Unternehmensservers oder eines externen Identity Providers beginnen. Er wird dann beim Zugriff auf Zendesk automatisch authentifiziert.

Sowohl Endbenutzer als auch Teammitglieder können sich per Enterprise-Single-Sign-On bei Ihrer Zendesk Support-Instanz anmelden. Sie können Enterprise-SSO wahlweise nur für Endbenutzer, nur für Teammitglieder oder für beide Gruppen konfigurieren.

Der Vorteil des Enterprise-Single-Sign-On ist, dass Sie hinter Ihrer Firewall vollständige Kontrolle über Ihre Benutzer haben. Sie brauchen Ihre Benutzer nur einmal zu authentifizieren – anhand Ihres eigenen Benutzerauthentifizierungssystems – und können ihnen dann Zugriff auf zahlreiche Ressourcen inner- und außerhalb der Firewall gewähren. Dies bedeutet, dass die Benutzerverwaltung zwar außerhalb Ihrer Zendesk Support-Instanz erfolgt, das Benutzerauthentifizierungssystem Ihres Unternehmens aber dennoch mit Ihrer Zendesk Support-Instanz synchronisiert wird. Wenn Sie ein Benutzerkonto für einen neuen Mitarbeiter hinzufügen, kann dieser sofort auf Ihre Zendesk Support-Instanz zugreifen. Analog dazu kann ein Mitarbeiter nicht mehr auf Ihre Zendesk Support-Instanz zugreifen, sobald Sie sein Benutzerkonto löschen.

Standardmäßig speichert Zendesk für einen Benutzer nur den Namen und die E-Mail-Adresse. Es ist aber möglich, weitere Benutzerdaten mit Zendesk zu synchronisieren, wie z. B. die Organisation des Benutzers.

Sie haben die Möglichkeit, die Zendesk-Authentifizierung neben Ihrer Enterprise-SSO-Authentifizierung beizubehalten. Wenn SSO jedoch aktiv ist, müssen sich die Benutzer mit ihrer SSO-Authentifizierung anmelden. Wenn Sie sich entschließen, die Zendesk-Authentifizierung zu deaktivieren, werden alle Zendesk-Benutzerkennwörter innerhalb von 24 Stunden dauerhaft gelöscht.

Wenn Ihr SSO-Dienst vorübergehend nicht verfügbar ist, können Sie trotzdem auf Ihr Zendesk-Konto zugreifen. Weitere Informationen finden Sie unter Zugreifen auf Ihr Zendesk-Konto, wenn Ihr SSO-Dienst nicht verfügbar ist.

Optionen für das Enterprise-Single-Sign-On

In Zendesk gibt es zwei Methoden für den Enterprise-Single-Sign-On:
  • JSON Web Token (JWT): Anmeldedaten und Benutzerinformationen werden anhand eines Zendesk Shared Secret verschlüsselt und im JSON-Format übertragen. Weitere Informationen zum Konfigurieren des Single-Sign-On über JWT finden Sie unter Aktivieren von Single-Sign-On über JWT (JSON Web Token).
  • Secure Assertion Markup Language (SAML): SAML wird von vielen Identity Providern unterstützt, darunter Okta, OneLogin, Active Directory und LDAP. Weitere Informationen zum Konfigurieren des Single-Sign-On über SAML finden Sie unter Aktivieren von Single-Sign-On über SAML.

Sie können dieselbe Option für alle Benutzer oder verschiedene Optionen für unterschiedliche Benutzergruppen verwenden. Dies ist ideal, wenn es verschiedene Benutzergruppen an separaten Standorten gibt, die Sie nicht zusammenfassen möchten. Wenn Sie mehrere Enterprise-SSO-Konfigurationen verwenden möchten, müssen Sie eine von ihnen als primäre Authentifizierungsmethode festlegen. Wenn ein Benutzer sich anmeldet, wird er zur Anmeldeseite für die primäre Authentifizierungsmethode weitergeleitet. Der Benutzer kann alternative Methoden verwenden, indem er die Anmeldeseite für die sekundäre Methode aufruft. Weitere Informationen finden Sie unter Verwenden unterschiedlicher SSO-Konfigurationen (SAML und JWT).

Zurück an den Anfang

3 Kommentare

  • Peter Schüffler

    Trotz eigentlich guter obiger Dokumentation funktioniert das SSO bei uns nicht. Der IdentityProvider unserer Universität (der bei anderen Applikationen erfolgreich funktioniert), sendet die erforderlichen Daten an Zendesk, aber leider wird das nicht authentifiziert (sondern es kommt "SAML-Authentifizierung fehlgeschlagen"). 

    0
  • Peter Schüffler

    Danke sehr! Mit Ihrer Hilfe konnten wir den Fehler eingrenzen. Unser Zertifikatsfingerabdruck war in der Tat nicht der richtige. Wir mussten den Zertifikatsinhalt erst base64-decoden bevor der Abdruck erstellt wird. Das haben wir gemacht, und nun funktioniert es auch bei uns! Gruss!

    0
  • Dario Wellems
    Hallo Peter,

    ich habe für Sie ein Ticket erstellt in dem ich mich Ihr Problem kümmern werden. Da ich Account spezifische Informationen benötige.
    Vielen Dank für Ihre Nachricht!
    0

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.

Verwandte Beiträge

Powered by Zendesk