Zendesk unterstützt den Zugriff auf Zendesk-Konten per Enterprise-Single-Sign-On über Secure Assertion Markup Language (SAML), JSON Web Token (JWT) und OpenID Connect (IODC). Mit SSO brauchen sich Benutzer nur einmal beim Anmeldeformular ihres Unternehmens anzumelden und können dann auf eine Vielzahl anderer Systeme und Services zugreifen, darunter auch auf Zendesk-Produkte.
Als Zendesk-Administrator sind Sie für die Aktivierung der SSO-Optionen verantwortlich. In diesem Beitrag wird beschrieben, wie Sie mehrere Konfigurationen für Single-Sign-On über SAML aktivieren, die für die Authentifizierung von Teammitgliedern (Administratoren und Agenten, einschließlich Light Agents und Mitwirkende) und/oder von Endbenutzern verwendet werden können.
In diesem Beitrag werden folgende Themen behandelt:
- Wie SSO über SAML in Zendesk funktioniert
- Anforderungen zum Aktivieren von SSO über SAML
- Aktivieren von SSO über SAML
- Zuweisen von SSO über SAML zu Benutzern
- Verwalten von Benutzern in Zendesk nach Aktivieren von SSO über SAML
- Wechseln der Authentifizierungsmethode
Normalerweise ist das IT-Team in einem Unternehmen für die Einrichtung und Verwaltung des SAML-Authentifizierungssystems verantwortlich. Es ist seine Aufgabe, SSO für Zendesk im System zu implementieren. Verweisen Sie Ihr IT-Team zum folgenden Abschnitt in diesem Beitrag:
Verwandte Beiträge:
Wie SSO über SAML in Zendesk funktioniert
SAML funktioniert in Zendesk Support genauso wie bei allen anderen Dienstanbietern. In der Regel wird die gesamte Benutzerauthentifizierung in einem Unternehmen über ein Authentifizierungssystem wie Active Directory oder LDAP abgewickelt, das allgemein als Identity Provider (IdP) bezeichnet wird. Zendesk stellt eine Vertrauensbeziehung zum Identity Provider her und ermöglicht es ihm, Benutzer zu authentifizieren und bei Zendesk-Konten anzumelden.
Ein Benutzer meldet sich im Allgemeinen zu Beginn des Arbeitstags beim Authentifizierungssystem seines Unternehmens an. Danach kann er auf andere Anwendungen und Dienste wie E-Mail oder Zendesk Support zugreifen, ohne sich separat anmelden zu müssen.
Wenn ein Benutzer versucht, sich direkt bei einem Zendesk-Konto anzumelden, wird er zur Authentifizierung zu Ihrem SAML-Server oder -Dienst umgeleitet. Nach der Authentifizierung gelangt der Benutzer zu Ihrem Zendesk-Konto und wird automatisch angemeldet.
Ebenfalls unterstützt wird ein Workflow, bei dem Benutzer nach der Anmeldung bei der Website eines Unternehmens Zugriff auf Zendesk haben. Wenn sich ein Benutzer mit seinen websitespezifischen Credentials bei der Website anmeldet, sendet diese eine Anforderung an den Identity Provider, um den Benutzer zu validieren. Die Website sendet dann die Antwort des Providers an den SAML-Server, der sie an Ihr Zendesk-Konto weiterleitet, welches dem Benutzer schließlich Zugriff gewährt.
Anforderungen zum Aktivieren von SSO über SAML
Schließen Sie sich mit dem Team in Ihrem Unternehmen kurz, das für das SAML-Authentifizierungssystem zuständig ist (in der Regel das IT-Team), um sicherzustellen, dass folgende Anforderungen erfüllt sind:
- Das Unternehmen hat einen SAML-Server mit provisionierten Benutzern oder Anbindung an ein Identitätsverzeichnis wie Microsoft Active Directory oder LDAP. Mögliche Optionen sind ein interner SAML-Server wie OpenAM oder ein externer SAML-Dienst wie Okta, OneLogin oder PingIdentity.
- Bei Verwendung eines ADFS-Servers (Active Directory Federation Services) muss die formularbasierte Authentifizierung aktiviert sein. Windows Integrated Authentication (WIA) wird von Zendesk nicht unterstützt. Weitere Informationen finden Sie unter Einrichten des SAML-Single-Sign-On über Active Directory mit ADFS und SAML.
- Der Zendesk-Datenverkehr wird über HTTPS und nicht über HTTP abgewickelt.
- Die Remote-Login-URL des SAML-Servers (manchmal als „SAML-Single-Sign-On-URL“ bezeichnet).
- (Optional) Die Remote-Logout-URL, an die Zendesk Benutzer umleiten soll, nachdem sie sich bei Zendesk abgemeldet haben.
- (Optional) Eine Liste von IP-Bereichen, damit Benutzer an die entsprechende Anmeldeseite umgeleitet werden können. Benutzer, die eine Anforderung von einer Adresse innerhalb der angegebenen IP-Bereiche aus einreichen, werden an das Remote-SAML-Authentifizierungsformular weitergeleitet. Benutzer, die eine Anforderung von einer Adresse außerhalb der angegebenen IP-Bereiche aus einreichen, werden an das normale Zendesk-Anmeldeformular weitergeleitet. Wenn Sie keinen IP-Bereich angeben, werden alle Benutzer an das Remote-Authentifizierungsformular umgeleitet.
- Den SHA2-Fingerabdruck des SAML-Zertifikats Ihres SAML-Servers. X.509-Zertifikate werden unterstützt und sollten im PEM- oder DER-Format vorliegen; trotzdem müssen Sie für das X.509-Zertifikat noch einen SHA2-Fingerabdruck bereitstellen. Die Größe des SHA-Fingerabdrucks ist unbegrenzt.
Ihr IT-Team benötigt u. U. weitere Informationen von Zendesk zur Konfiguration der SAML-Implementierung. Verweisen Sie Ihr IT-Team an das Worksheet zur technischen Implementierung in diesem Beitrag.
Nachdem Sie sich vergewissert haben, dass Sie die Anforderungen erfüllen und über alle erforderlichen Informationen verfügen, können Sie SAML über SSO aktivieren.
Aktivieren von SSO über SAML
Administratoren können SAML-Single-Sign-On wahlweise nur für Endbenutzer, nur für Teammitglieder (einschließlich Light Agents und Mitwirkende) oder für beide Gruppen aktivieren. Sie können mehrere Konfigurationen für SSO über SAML erstellen. Holen Sie alle benötigten Informationen vom IT-Team Ihres Unternehmens ein, bevor Sie beginnen. Weitere Informationen finden Sie unter Anforderungen zum Aktivieren von SSO über SAML.
So aktivieren Sie den Single-Sign-On über SAML in Zendesk
- Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Single-Sign-On.
- Klicken Sie auf SSO-Konfiguration erstellen und dann auf SAML.
- Geben Sie einen eindeutigen Konfigurationsnamen ein.
- Geben Sie im Feld SAML-SSO-URL die Remote-Login-URL für Ihren SAML-Server ein.
- Geben Sie den SHA-256 Zertifikatfingerabdruck ein. Dieser Wert ist zur Kommunikation mit Ihrem SAML-Server erforderlich.
- (Optional) Geben Sie im Feld Remote-Logout-URL eine Logout-URL ein, an die Benutzer nach der Abmeldung bei Zendesk weitergeleitet werden sollen.
- (Optional) Geben Sie im Feld IP-Bereiche eine Liste von IP-Bereichen ein, damit Benutzer an die entsprechende Anmeldeseite umgeleitet werden können.
Benutzer, die eine Anforderung von einer Adresse innerhalb der angegebenen IP-Bereiche aus einreichen, werden an das Remote-SAML-Authentifizierungsformular weitergeleitet. Benutzer, die eine Anforderung von einer Adresse außerhalb der angegebenen IP-Bereiche aus einreichen, werden an das normale Zendesk-Anmeldeformular weitergeleitet. Wenn Sie keinen IP-Bereich angeben, werden alle Benutzer an das Remote-Authentifizierungsformular umgeleitet.
- Wählen Sie Schaltfläche anzeigen, wenn Benutzer sich anmelden, um die Schaltfläche Mit SSO fortfahren zur Zendesk-Anmeldeseite hinzuzufügen.
Bei Bedarf können Sie im Feld Schaltflächenname eine andere Beschriftung eingeben. Angepasste Schaltflächenbeschriftungen sind hilfreich, wenn auf der Anmeldeseite mehrere SSO-Schaltflächen erscheinen sollen. Weitere Informationen finden Sie unter Hinzufügen von SSO-Schaltflächen zur Zendesk-Anmeldeseite.
- Klicken Sie auf Speichern.
Standardmäßig sind Enterprise-SSO-Konfigurationen inaktiv. Sie müssen die SSO-Konfiguration Benutzern zuweisen, um sie zu aktivieren.
Zuweisen von SSO über SAML zu Benutzern
Nachdem Sie Ihre SAML SSO-Konfiguration erstellt haben, müssen Sie sie aktivieren, indem Sie sie Endbenutzern und/oder Teammitgliedern zuweisen.
So weisen Sie eine SSO-Konfiguration Teammitgliedern oder Endbenutzern zu
- Öffnen Sie die Sicherheitseinstellungen für Teammitglieder oder Endbenutzer.
- Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Authentifizierung für Teammitglieder.
- Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Authentifizierung für Endbenutzer.
- Wählen Sie Externe Authentifizierung, um die Authentifizierungsoptionen anzuzeigen.
- Wählen Sie die Namen der SSO-Konfigurationen aus, die Sie verwenden möchten.
Single-Sign-On deckt möglicherweise nicht alle Anwendungsfälle ab. Deshalb bleibt die Zendesk-Authentifizierung standardmäßig aktiviert.
- Geben Sie an, wie sich die Benutzer anmelden sollen.
Lassen Sie sie wählen bedeutet, dass sich die Benutzer mit jeder aktiven Authentifizierungsmethode anmelden können. Weitere Informationen finden Sie unter Bereitstellen mehrerer Möglichkeiten zur Anmeldung bei Zendesk.
Zu SSO umleiten bedeutet, dass sich Benutzer nur mit der primären SSO-Konfiguration authentifizieren können. Weitere Möglichkeiten der Anmeldung werden nicht angezeigt, auch wenn die betreffenden Authentifizierungsoptionen aktiv sind. Wenn Sie Zu SSO umleiten wählen, wird das Feld Primäres SSO eingeblendet, in dem Sie die primäre SSO-Konfiguration auswählen können.
- Klicken Sie auf Speichern.
Verwalten von Benutzern in Zendesk nach Aktivieren von SSO über SAML
Nachdem Sie SAML als Single-Sign-On-Mechanismus in Zendesk aktiviert haben, werden außerhalb von Zendesk vorgenommene Änderungen an Benutzern nicht automatisch mit Ihrem Zendesk-Konto synchronisiert. Benutzer werden in Zendesk zum Zeitpunkt der Authentifizierung aktualisiert. Wenn beispielsweise ein Benutzer zu Ihrem internen System hinzugefügt wird, wird er bei seiner Zendesk-Anmeldung auch Ihrem Zendesk-Konto hinzugefügt. ,Wenn die Benutzerdaten in Ihrem internen System geändert werden (z. B. Name oder E-Mail-Adresse), werden alle Attribute, die in der SAML-Nutzlast enthalten sind, in Zendesk aktualisiert. Wenn ein Benutzer aus Ihrem internen System gelöscht wird, kann er sich nicht mehr bei Zendesk anmelden. Sein Konto ist aber weiterhin in Zendesk vorhanden.
Wenn Single-Sign-On aktiviert ist, werden standardmäßig nur der Name und die E-Mail-Adresse des Benutzers in Zendesk gespeichert. Kennwörter werden von Zendesk nicht gespeichert. Deshalb sollten Sie alle automatischen E-Mail-Benachrichtigungen, die mit Kennwörtern zu tun haben, in Zendesk ausschalten.
Um ein besseres Kundenerlebnis zu gewährleisten, sollten Sie aber mehr Benutzerdaten in Zendesk speichern als nur den Namen und die E-Mail-Adresse. Weitere Informationen finden Sie unter Erfassen zusätzlicher Benutzerdaten.
Deaktivieren von Kennwort-E-Mails in Zendesk
Für jeden neuen Benutzer, der über SAML, JWT oder OpenID Connect (OIDC) auf Ihr Zendesk-Konto zugreift, wird ein Zendesk-Benutzerprofil erstellt. Das Profil wird ohne Kennwort erstellt, da Benutzer über einen IdP mit einem nicht von Zendesk vergebenen Kennwort authentifiziert werden und sich deshalb nicht bei direkt bei Zendesk anmelden müssen.
Da neue Benutzer, die sich per SSO bei Zendesk anmelden, durch einen IdP bestätigt werden, erhalten sie keine E-Mail-Benachrichtigungen für die Verifizierung ihres Kontos. Sie sollten diese automatisierten E-Mail-Benachrichtigungen trotzdem deaktivieren, um zu verhindern, dass sie bei einer nicht erfolgreichen Bestätigung des Benutzers durch den IdP gesendet werden. Bei einer SSO-Anmeldung muss der Benutzer immer durch den IdP bestätigt werden.
So schalten Sie Kennwortbenachrichtigungen per E-Mail aus
- Klicken Sie in der Seitenleiste des Admin Centers auf Personen und dann auf Konfiguration > Endbenutzer.
- Deaktivieren Sie im Abschnitt Konto-E‑Mails die Option Willkommens-E-Mail auch dann senden, wenn ein neuer Benutzer von einem Agenten oder Administrator erstellt wird.
- Deaktivieren Sie die Option Benutzer dürfen ihr Kennwort ändern.
Wechseln der Authentifizierungsmethode
Wenn Sie Benutzer in Zendesk über die SSO-Methode eines Drittanbieters erstellen und authentifizieren und später zur Zendesk-Authentifizierung wechseln, haben diese Benutzer kein Kennwort für die Anmeldung. Sie können sich erst wieder anmelden, nachdem sie ihr Kennwort auf der Zendesk-Anmeldeseite zurückgesetzt haben.
Worksheet zur technischen Implementierung
Dieser Abschnitt ist für das Team gedacht, das für das SAML-Authentifizierungssystem des Unternehmens zuständig ist. Er enthält wichtige Informationen zur Implementierung des SSO über SAML in Zendesk.
Behandelte Themen:
- Erforderliche Benutzerdaten für die Identifizierung des zu authentifizierenden Benutzers
- Konfigurieren des Identity Providers für Zendesk
- Konfigurieren des SAML-Servers für Zendesk
- Mit den Remote-Login- und Remote-Logout-URLs zurückgegebene Parameter
- Umleiten von Benutzern nach der Authentifizierung mit RelayState
- Behebung von Fehlern in der SAML-Konfiguration für Zendesk
Erforderliche Benutzerdaten für die Identifizierung des zu authentifizierenden Benutzers
Beim Implementieren von SAML-basierten SSO-Zugriff auf Zendesk-Konten geben Sie bestimmte Benutzerdaten an, die zur Identifizierung des zu authentifizierenden Benutzers verwendet werden.
In diesen Themen wird beschrieben, welche Daten Sie bereitstellen müssen:
Angeben der E-Mail-Adresse des Benutzers in der NameID des SAML Subject
Zendesk nutzt E-Mail-Adressen zur eindeutigen Identifizierung von Benutzern. Sie sollten die E-Mail-Adresse des Benutzers in der NameID des SAML Subject angeben.
Beispiel:
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">stevejobs@yourdomain.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-04-23T21:42:47.412Z"/>
</saml:SubjectConfirmation>
</saml:Subject>
Wenn die Attribute „givenname“ und „surname“ nicht bereitgestellt werden, verwendet Zendesk den Benutzernamen der im Element
angegebenen E-Mail-Adresse als Namen des Benutzers. Der Benutzername ist der erste Teil einer E-Mail-Adresse vor dem @-Symbol.
Wenn der Benutzername der E-Mail-Adresse einen Punkt enthält, wird er als Vor- und Nachname gelesen. Enthält er keinen Punkt, so wird als Name des Benutzers in Zendesk der gesamte Benutzername verwendet. Wenn die E-Mail-Adresse
beispielsweise stanley.yelnats@ihredomäne.com lautet, wird der Name des Benutzers in Zendesk als Stanley Yelnats gespeichert; lautet die E-Mail-Adresse hingegen stanleyyelnats@ihredomäne.com, so speichert Zendesk ihn als Stanleyyelnats.
Angeben von zwei erforderlichen Benutzerattributen in der SAML Assertion
Wenn Sie die Attribute givenname und surname angeben, müssen Sie den vollständigen Namensraum und nicht die benutzerfreundlichen Namen verwenden. Wenn der benutzerfreundliche Name beispielsweise „surname“ lautet, müssen Sie als Attributwert http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname verwenden.
Konzept | Attribut | Beschreibung | Beispielwert |
---|---|---|---|
first name | givenname | Der Vorname des Benutzers. Sie müssen den vollständigen Namensraum für dieses Attribut angeben. |
|
last name | surname | Der Nachname des Benutzers. Der Benutzer in Zendesk wird entsprechend diesem Vor- und Nachnamen erstellt oder aktualisiert. (siehe Beispiel unten). Sie müssen den vollständigen Namensraum für dieses Attribut angeben. |
|
Beispiel für Vor- und Nachname:
<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<saml:AttributeValue xsi:type="xs:anyType">James</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<saml:AttributeValue xsi:type="xs:anyType">Dietrich</saml:AttributeValue>
</saml:Attribute>
Zendesk unterstützt auch zusätzliche Benutzerattribute. Welche Daten in Zendesk Support erforderlich ist, erfahren Sie von Ihrem Zendesk Support-Administrator.
Erfassen zusätzlicher Benutzerdaten
Die einzigen Benutzerangaben, die Zendesk von Ihrem Authentifizierungssystem benötigt, sind der Vor- und Nachname sowie die E-Mail-Adresse des Benutzers. Vorname und Nachname sind die einzigen Attributnamen, die Sie verwenden sollten, um Informationen zum Namen eines Benutzers zu erfassen. Wenn Sie zusätzliche Benutzerdaten erfassen möchten, bitten Sie Ihr IT-Team, Benutzerattribute zu den SAML Assertions hinzuzufügen, die der Identity Provider bei der Anmeldung an Zendesk sendet.
Eine SAML Assertion enthält eine oder mehrere Aussagen über den Benutzer. Eine solche Aussage ist die eigentliche Autorisierungsentscheidung, d. h. ob dem Benutzer Zugriff gewährt wurde oder nicht. Eine weitere Aussage enthält die Attribute, die den angemeldeten Benutzer beschreiben.
Attribut | Beschreibung |
---|---|
organization | Name oder ID einer Organisation, zu der der Benutzer hinzugefügt wird. Das Attribut „external_id“ einer Organisation wird nicht unterstützt. Wenn die Organisation in Zendesk nicht vorhanden ist, wird sie nicht erstellt. Der Benutzer selbst wird zwar erstellt, aber zu keiner Organisation hinzugefügt. |
organizations | Durch Kommas getrennte Werte wie org1 , org2 , org3
|
organization_id |
Die externe ID der Organisation in der Zendesk-API. Wenn sowohl „organization“ als auch „organization_id“ angegeben werden, wird „organization“ ignoriert. Beispiel: Wenn Sie mehrere Organisations-IDs gleichzeitig übergeben möchten, verwenden Sie stattdessen das Attribut „organization_ids“. Die Organisations-IDs müssen in einer fortlaufenden Zeichenfolge mit Kommas als Trennzeichen übergeben werden. |
organization_ids |
Die externe ID der Organisation in der Zendesk-API. Verwenden Sie dieses Attribut, wenn Sie mehrere Organisations-IDs gleichzeitig übergeben. Wenn sowohl „organizations“ als auch „organization_ids“ angegeben werden, wird „organization“ ignoriert. Beispiel: Durch Kommas getrennte Werte wie |
phone | Eine Telefonnummer als Zeichenfolge. |
tags | Stichwörter für den Benutzer. Diese Stichwörter ersetzen die evtl. bereits im Benutzerprofil vorhandenen Stichwörter. |
remote_photo_url | URL eines Fotos für das Benutzerprofil. |
locale (für Agenten) locale_id (für Endbenutzer) |
Das Gebietsschema in Zendesk als Zahl. Die gültigen Werte finden Sie in der API-Dokumentation unter Locales (Englisch). |
role | Rolle des Benutzers. Mögliche Werte: „end user“, „agent“ oder „admin“. Die Standardeinstellung lautet „end user“. |
custom_role_id | Nur zutreffend, wenn der Wert des Attributs „role“ oben „agent“ lautet. Die IDs Ihrer angepassten Rollen können Sie mit der Custom Roles API ermitteln. |
external_id | Eine Benutzer-ID aus Ihrem System, wenn Ihre Benutzer anhand eines anderen Werts als der E-Mail-Adresse eindeutig identifiziert werden oder die Möglichkeit besteht, dass sich ihre E-Mail-Adresse ändert. Geben Sie die ID als String an. |
user_field_<key> | Wert für ein angepasstes Benutzerfeld in Zendesk Support. Weitere Informationen finden Sie unter Hinzufügen von angepassten Feldern zu Benutzern. <key> ist der Feldschlüssel des angepassten Benutzerfelds in Zendesk Support. Beispiel: user_field_employee_number , wobei employee_number der Feldschlüssel in Zendesk ist. Wenn Sie einen Nullwert oder eine leere Zeichenfolge im Attributwert übergeben, wird der Wert des angepassten Felds in Zendesk Support gelöscht.
|
Benutzerfreundlicher Name | Formeller Name (SAML2) |
---|---|
ou (Organisationseinheit) | urn:oid:2.5.4.11 |
displayName | urn:oid:2.16.840.1.113730.3.1.241 |
Konfigurieren des Identity Providers für Zendesk
Attribut | Wert |
---|---|
entityID | https://meinesubdomäne.zendesk.com |
AudienceRestriction | meinesubdomäne.zendesk.com |
Ersetzen Sie in beiden Werten den Platzhalter meinesubdomäne durch Ihre Zendesk Support-Subdomäne. Wenn Sie nicht sicher sind, fragen Sie Ihren Zendesk-Administrator.
Zendesk erzwingt das Attribut AudienceRestriction
.
Konfigurieren des SAML-Servers für Zendesk
Manche SAML-Server erfordern möglicherweise die folgenden Informationen, wenn Sie eine Integration mit Zendesk konfigurieren:
- URL für Access Consumer Service (ACS): Geben Sie https://meinesubdomäne.zendesk.com/access/saml an (auf Groß- und Kleinschreibung achten!), wobei „meinesubdomäne“ für Ihre Zendesk Support-Subdomäne steht.
- Umleitung zu SAML-Single-Sign-on-URL: Verwenden Sie HTTP POST.
- Hashing-Algorithmus (ADFS): Bei Verwendung der Active Directory Federation Services (ADFS) unterstützt Zendesk den SHA-2-Algorithmus.
Mit den Remote-Login- und Remote-Logout-URLs zurückgegebene Parameter
Wenn Benutzer an Ihr Authentifizierungssystem umgeleitet werden, hängt Zendesk die folgenden Parameter an die Remote-Login- und Remote-Logout-URLs an.
Attribut | Beschreibung |
---|---|
brand_id | Die Marke des Help Centers, in dem sich der Benutzer beim Anmeldeversuch befand. Weitere Informationen finden Sie unter Erstellen eines Help Centers für eine bestimmte Marke. |
Attribut | Beschreibung |
---|---|
E-Mail-Adresse des Benutzers, der sich abmeldet. | |
external_id | Eindeutige Kennung aus Ihrem System; im Zendesk-Benutzerprofil gespeichert. |
brand_id | Die Marke des Help Centers, in dem sich der Benutzer beim Abmelden befand. Weitere Informationen finden Sie unter Erstellen eines Help Centers für eine bestimmte Marke. |
Wenn E-Mail-Adresse und externe ID nicht in der Logout-URL übergeben werden sollen, bitten Sie Ihren Zendesk-Administrator, in der Admin-Oberfläche im Feld Remote-Logout-URL leere Parameter anzugeben. Weitere Informationen finden Sie unter Aktivieren von SSO über SAML . Beispiel: https://www.ihredomäne.com/user/signout/?email=&external_id=.
Umleiten von Benutzern nach der Authentifizierung mit RelayState
RelayState
ist ein Parameter, mit dem der Status der ursprünglichen Anforderung während des gesamten SSO-Prozesses beibehalten wird. Er gibt die ursprüngliche URL an, auf die der Benutzer vor Beginn des SSO-Prozesses zuzugreifen versuchte. Nach Abschluss des SSO-Prozesses können Sie den Benutzer an die RelayState
-URL weiterleiten, um ein nahtloses Benutzererlebnis zu gewährleisten.
Der Parameter RelayState
ist in SAML optional. Wenn Sie ihn in Ihrer Anforderung nicht verwenden, wird der Benutzer je nach Benutzertyp an den Standardort weitergeleitet.
- Für Agenten ist dies das Agenten-Dashboard in Zendesk Support,
- für Endbenutzer die Homepage des Help Centers Ihrer Standardmarke.
Wenn ein Benutzer auf einen Zendesk-Link zugreift, bei dem eine Anmeldung erforderlich ist, und Sie SAML verwenden, leitet Zendesk den Benutzer an die von Ihnen eingerichtete SSO-Konfiguration weiter und übergibt die URL, von der der Benutzer kam, im Parameter RelayState
.
Beispiel:
https://zendesk.okta.com/app/zendesk/exladafgzkYLwtYra2r7/sso/saml?RelayState=https%3A%2F%2Fyoursubdomain.zendesk.com%2Fagent%2Ffilters%2F253389123456&brand_id=361234566920&SAMLRequest=[samlloginrequesthere]
Fügen Sie beim Erstellen der SAML-Authentifizierungsanforderung den Parameter RelayState
hinzu und setzen Sie seinen Wert auf die von Zendesk in der SAML-Antwort gesendete URL.
Im folgenden Beispiel werden Benutzer über den Parameter RelayState
zu https://yoursubdomain.zendesk.com/agent/filters/253389123456 weitergeleitet:
SAMLResponse=[SAMLpayloadhere]&RelayState=https%3A%2F%2Fyoursubdomain.zendesk.com%2Fagent%2Ffilters%2F253389123456
Behebung von Fehlern in der SAML-Konfiguration für Zendesk
Dies sind die SAML 2.0-Metadaten von Zendesk:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<EntityDescriptor entityID="https://yoursubdomain.zendesk.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
<SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
<AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yoursubdomain.zendesk.com/access/saml"/> <!-- Note: replace 'accountname' with your Zendesk subdomain -->
</SPSSODescriptor>
</EntityDescriptor>
Zendesk erwartet eine SAML Assertion, die wie folgt aussieht:
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="s2202bbbb
afa9d270d1c15990b738f4ab36139d463" InResponseTo="_e4a78780-35da-012e-8ea7-005056
9200d8" Version="2.0" IssueInstant="2011-03-21T11:22:02Z" Destination="https://yoursubdomain.zendesk.com/access/saml">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">myidp.entity.id
</saml:Issuer>
<samlp:Status xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<samlp:StatusCode xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
Value="urn:oasis:names:tc:SAML:2.0:status:Success">
Hinweis: Ersetzen Sie „accountname“ im Attribut Destination
durch Ihre Zendesk-Subdomäne.
Zendesk erwartet, dass Benutzerattribute in der Attributanweisung einer Assertion (
) angegeben werden. Siehe folgendes Beispiel:
<saml:AttributeStatement>
<saml:Attribute Name="organization">
<saml:AttributeValue xsi:type="xs:string">Acme Rockets</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="tags">
<saml:AttributeValue xsi:type="xs:string">tag1 tag2</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="phone">
<saml:AttributeValue xsi:type="xs:string">555-555-1234</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="role">
<saml:AttributeValue xsi:type="xs:string">agent</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="custom_role_id">
<saml:AttributeValue xsi:type="xs:string">12345</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
In der Tabelle im Abschnitt Erfassen zusätzlicher Benutzerdaten weiter oben finden Sie die Namen der von Zendesk unterstützten Benutzerattribute zusammen mit einer Beschreibung. Beachten Sie, dass der vollständige Namensraum für optionale Benutzerattribute nicht unterstützt wird.