Neben der von Zendesk Support bereitgestellten Benutzerauthentifizierung können Sie auch den Single-Sign-On (SSO) verwenden. Dabei werden Benutzer außerhalb von Zendesk Support authentifiziert. Es gibt drei Arten von SSO: Social-Media-Konten, Business-Konten und Enterprise.
Dieser Beitrag enthält die folgenden Abschnitte:
Grundlegende Fakten zu SSO
Nachfolgend einige grundlegende Fakten zur den verfügbaren Single-Sign-On-Optionen. Detailliertere Ausführungen finden Sie weiter unten in diesem Beitrag.
- Administratoren und Agenten können sich über ihr Google-, Microsoft- oder Zendesk-Konto anmelden bzw. direkt zu ihrer Zendesk-URL gehen und dort ihren Benutzernamen und ihr Kennwort eingeben. Endbenutzer können sich über ihr Zendesk-Konto und außerdem über alle ihre Social-Media- und Business-Konten anmelden.
- Wenn Ihre Zendesk Support-Instanz geschlossen oder beschränkt ist und ein Benutzer versucht, sich mit einer anderen E-Mail-Adresse als der für Zendesk Support anzumelden, wird die Authentifizierungsanforderung abgewiesen (siehe Aktivieren von Single-Sign-On (SSO) über Social-Media- und Business-Konten).
- Wenn Sie sowohl JWT als auch SAML verwenden, müssen Sie eines der beiden Verfahren als primäre Authentifizierungsmethode festlegen (siehe Verwenden unterschiedlicher SSO-Anmeldungen (SAML und JWT) für Agenten und Endbenutzer). Beachten Sie auch, dass die Authentifizierungsmethoden nicht voneinander abgegrenzt sind. Da beide Methoden für SSO konfiguriert sind, können auch beide von Agenten und Endbenutzern verwendet werden.
- Unabhängig davon, welche Authentifizierungsmethode Sie wählen, speichert Zendesk alle Benutzer in derselben Datenbank.
- Wenn Sie einen Drittanbieter zu Authentifizierungszwecken verwenden, müssen Sie die Zendesk-App mit dem Identity Provider konfigurieren.
- Die Anwendung individueller SSO-Optionen auf unterschiedliche Marken ist nur mit einem angepassten Skript für JWT möglich. Weitere Informationen finden Sie unter Multibrand – Verwenden mehrerer JWT-basierter Single-Sign-on-URLs (Enterprise).
- Wenn Sie ein Platzhalterzeichen (*) in der Blockierliste eingeben, sind Benutzer nicht mehr in der Lage, sich über SSO zu authentifizieren oder ein Konto zu erstellen. Weitere Informationen finden Sie unter Verwenden der Zulassungsliste und Blockierliste zur Steuerung des Zugriffs auf Zendesk Support.
Single-Sign-On über Social-Media- und Business-Konten
Single-Sign-On über Social-Media- und Business-Konten sind zusätzliche Anmeldeoptionen, die Sie für Ihre Kunden bereitstellen können. Sie können diese Optionen auf der Anmeldeseite Ihres Help Centers verfügbar machen, damit Benutzer sich entweder über ihr Zendesk Support-Konto oder über ein Social-Media- oder Business-Konto anmelden können.
Als Social-Media-Konten kommen Facebook und Twitter in Frage, als Business-Konten Google und Microsoft. Agenten und Administratoren können zur Authentifizierung nur Business-Konten verwenden, Endbenutzer auch Social-Media-Konten.
Die Anmeldung über Microsoft wird in der mobilen Zendesk Support-App für iPad nicht unterstützt. Zur Anmeldung über Google wird sowohl Gmail als auch Google Apps unterstützt. Der Federated Login Service ist bei Google Apps für Business- und Education-Konten standardmäßig deaktiviert. Der Domänenadministrator kann den Federated Login Service vom Control Panel aus (http://www.google.com/a/cpanel/yourdomain/SetupIdp) aktivieren. Wenn die Zwei-Faktor-Authentifizierung vom Benutzer bzw. für die Google Apps-Domäne (Google Authenticator) aktiviert wurde, wird sie von diesem Authentifizierungsprozess unterstützt.
Anweisungen zum Hinzufügen von Social-Media- und Business-Konten zum Single-Sign-On finden Sie unter Aktivieren von Single-Sign-On (SSO) über Social-Media- und Business-Konten.
Enterprise-Single-Sign-On
Das Enterprise-Single-Sign-On unterscheidet sich vom Single-Sign-On über Social-Media- und Business-Konten. Im Gegensatz zum Social-Media-Single-Sign-On, das optional ist und zusätzlich zur Anmeldung über das Zendesk Support-Konto verwendet werden kann, ersetzt das Enterprise-Single-Sign-On alle anderen Anmeldeoptionen.
Übersicht über das Enterprise-Single-Sign-On
Wenn Sie das Enterprise-Single-Sign-On aktivieren, wird Zendesk ganz umgangen, und die Benutzerauthentifizierung findet extern statt. Wenn Benutzer zur Zendesk-Anmeldeseite gehen oder auf einen Link zu Ihrer Zendesk Support-Instanz klicken, können sie sich durch Anmeldung bei einem Unternehmensserver oder einem externen Identity Provider wie OneLogin oder Okta authentifizieren. Wenn Sie das Enterprise-Single-Sign-On aktivieren, wirkt sich dies auch auf die iOS- und Android-Versionen der mobilen Zendesk Support-App aus.
- Der Benutzer geht zu einer Zendesk-Seite oder -Subdomäne.
- Wenn der Benutzer noch nicht authentifiziert ist, wird er zur Anmeldeseite Ihres Unternehmensservers oder eines externen Identity Providers weitergeleitet (je nach ausgewählter Option für das Enterprise-SSO).
- Der Benutzer gibt seine Anmeldeinformationen ein.
- Wenn sie gültig sind, kehrt der Benutzer zur ursprünglichen Zendesk-Seite zurück.
Sowohl Endbenutzer als auch Agenten können sich per Enterprise-Single-Sign-On bei Ihrer Zendesk Support-Instanz anmelden. Sie können Enterprise-SSO wahlweise nur für Endbenutzer, nur für Agenten oder für beide Gruppen konfigurieren.
Der Vorteil des Enterprise-Single-Sign-On ist, dass Sie hinter Ihrer Firewall vollständige Kontrolle über Ihre Benutzer haben. Sie brauchen Ihre Benutzer nur einmal zu authentifizieren – anhand Ihres eigenen Benutzerauthentifizierungssystems – und können ihnen dann Zugriff auf zahlreiche Ressourcen inner- und außerhalb der Firewall gewähren. Dies bedeutet, dass die Benutzerverwaltung zwar außerhalb Ihrer Zendesk Support-Instanz erfolgt, das Benutzerauthentifizierungssystem Ihres Unternehmens aber dennoch mit Ihrer Zendesk Support-Instanz synchronisiert wird. Wenn Sie also ein Benutzerkonto für einen neuen Mitarbeiter hinzufügen, kann dieser sofort auf Ihre Zendesk Support-Instanz zugreifen. Analog dazu kann ein Mitarbeiter nicht mehr auf Ihre Zendesk Support-Instanz zugreifen, wenn Sie sein Benutzerkonto löschen.
Standardmäßig speichert Zendesk für einen Benutzer nur den Namen und die E-Mail-Adresse. Es ist aber möglich, weitere Benutzerdaten mit Zendesk zu synchronisieren, wie z. B. die Organisation des Benutzers.
Sie haben die Möglichkeit, die Zendesk-Authentifizierung neben Ihrer Enterprise-SSO-Authentifizierung beizubehalten. Wenn SSO jedoch aktiv ist, müssen sich die Benutzer mit ihrer SSO-Authentifizierung anmelden. Wenn Sie sich entschließen, die Zendesk-Authentifizierung zu deaktivieren, werden alle Zendesk-Benutzerkennwörter innerhalb von 24 Stunden dauerhaft gelöscht.
Wenn Ihr SSO-Dienst vorübergehend nicht verfügbar ist, können Sie trotzdem auf Ihr Zendesk-Konto zugreifen. Weitere Informationen finden Sie unter Zugreifen auf Ihr Zendesk-Konto, wenn Ihr SSO-Dienst nicht verfügbar ist.
Optionen für das Enterprise-Single-Sign-On
- JSON Web Token (JWT): Anmeldedaten und Benutzerinformationen werden anhand eines Zendesk Shared Secret verschlüsselt und im JSON-Format übertragen. Weitere Informationen zum Konfigurieren des Single-Sign-On über JWT finden Sie unter Aktivieren von Single-Sign-On über JWT (JSON Web Token).
- Secure Assertion Markup Language (SAML): SAML wird von vielen Identity Providern unterstützt, darunter Okta, OneLogin, Active Directory und LDAP. Weitere Informationen zum Konfigurieren des Single-Sign-On über SAML finden Sie unter Aktivieren von Single-Sign-On über SAML.
Sie können für beide Gruppen die gleiche Option oder für jede Gruppe eine andere Option verwenden. Dies ist ideal, wenn es zwei verschiedene Benutzergruppen an separaten Standorten gibt, die Sie nicht zusammenfassen möchten. Wenn Sie sowohl JWT als auch SAML verwenden, müssen Sie eines der beiden Verfahren als primäre Authentifizierungsmethode festlegen. Wenn ein Benutzer sich anmeldet, wird er zur Anmeldeseite für die primäre Authentifizierungsmethode weitergeleitet. Der Benutzer kann sich auch über die sekundäre Methode anmelden, indem er zuerst zur Anmeldeseite für diese Methode geht. Weitere Informationen finden Sie unter Verwenden unterschiedlicher SSO-Anmeldungen (SAML und JWT) für Agenten und Endbenutzer.
3 Kommentare
Trotz eigentlich guter obiger Dokumentation funktioniert das SSO bei uns nicht. Der IdentityProvider unserer Universität (der bei anderen Applikationen erfolgreich funktioniert), sendet die erforderlichen Daten an Zendesk, aber leider wird das nicht authentifiziert (sondern es kommt "SAML-Authentifizierung fehlgeschlagen").
Danke sehr! Mit Ihrer Hilfe konnten wir den Fehler eingrenzen. Unser Zertifikatsfingerabdruck war in der Tat nicht der richtige. Wir mussten den Zertifikatsinhalt erst base64-decoden bevor der Abdruck erstellt wird. Das haben wir gemacht, und nun funktioniert es auch bei uns! Gruss!
ich habe für Sie ein Ticket erstellt in dem ich mich Ihr Problem kümmern werden. Da ich Account spezifische Informationen benötige.
Vielen Dank für Ihre Nachricht!
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.