Zendesk unterstützt den Zugriff auf Zendesk-Konten per Enterprise-Single-Sign-On über Secure Assertion Markup Language (SAML) und JSON Web Token (JWT). Mit SSO brauchen sich Benutzer nur einmal beim Anmeldeformular ihres Unternehmens anzumelden und können dann auf eine Vielzahl anderer Systeme und Services zugreifen, darunter auch auf Zendesk-Produkte.
Als Zendesk-Administrator sind Sie für die Aktivierung der SSO-Optionen verantwortlich. In diesem Beitrag wird beschrieben, wie Sie bis zu zwei Konfigurationen für Single-Sign-On über SAML aktivieren, die für die Authentifizierung von Teammitgliedern (Administratoren und Agenten, einschließlich Light Agents und Mitwirkende) und/oder von Endbenutzern verwendet werden können.
In diesem Beitrag werden folgende Themen behandelt:
- Wie SSO über SAML in Zendesk funktioniert
- Anforderungen zum Aktivieren von SSO über SAML
- Aktivieren von SSO über SAML
- Zuweisen von SSO über SAML zu Benutzern
- Verwalten von Benutzern in Zendesk nach Aktivieren von SSO über SAML
- Wechseln der Authentifizierungsmethode
Normalerweise ist das IT-Team in einem Unternehmen für die Einrichtung und Verwaltung des SAML-Authentifizierungssystems verantwortlich. Es ist seine Aufgabe, SSO für Zendesk im System zu implementieren. Verweisen Sie Ihr IT-Team zum folgenden Abschnitt in diesem Beitrag:
Verwandte Beiträge:
Wie SSO über SAML in Zendesk funktioniert
SAML funktioniert in Zendesk Support genauso wie bei allen anderen Dienstanbietern. In der Regel wird die gesamte Benutzerauthentifizierung in einem Unternehmen über ein Authentifizierungssystem wie Active Directory oder LDAP abgewickelt, das allgemein als Identity Provider (IdP) bezeichnet wird. Zendesk stellt eine Vertrauensbeziehung zum Identity Provider her und ermöglicht es ihm, Benutzer zu authentifizieren und bei Zendesk-Konten anzumelden.
Ein Benutzer meldet sich im Allgemeinen zu Beginn des Arbeitstags beim Authentifizierungssystem seines Unternehmens an. Danach kann er auf andere Anwendungen und Dienste wie E-Mail oder Zendesk Support zugreifen, ohne sich separat anmelden zu müssen.
Wenn ein Benutzer versucht, sich direkt bei einem Zendesk-Konto anzumelden, wird er zur Authentifizierung zu Ihrem SAML-Server oder -Dienst umgeleitet. Nach der Authentifizierung gelangt der Benutzer zu Ihrem Zendesk-Konto und wird automatisch angemeldet.
Ebenfalls unterstützt wird ein Workflow, bei dem Benutzer nach der Anmeldung bei der Website eines Unternehmens Zugriff auf Zendesk haben. Wenn sich ein Benutzer mit seinen websitespezifischen Credentials bei der Website anmeldet, sendet diese eine Anfrage an den Identity Provider, um den Benutzer zu validieren. Die Website sendet dann die Antwort des Providers an den SAML-Server, der sie an Ihr Zendesk-Konto weiterleitet, welches dem Benutzer schließlich Zugriff gewährt.
Anforderungen zum Aktivieren von SSO über SAML
Schließen Sie sich mit dem Team in Ihrem Unternehmen kurz, das für das SAML-Authentifizierungssystem zuständig ist (in der Regel das IT-Team), um sicherzustellen, dass folgende Anforderungen erfüllt sind:
-
Das Unternehmen hat einen SAML-Server mit provisionierten Benutzern oder Anbindung an ein Identitätsverzeichnis wie Microsoft Active Directory oder LDAP. Mögliche Optionen sind ein interner SAML-Server wie OpenAM oder ein externer SAML-Dienst wie Okta, OneLogin oder PingIdentity.
-
Bei Verwendung eines ADFS-Servers (Active Directory Federation Services) muss die formularbasierte Authentifizierung aktiviert sein. Windows Integrated Authentication (WIA) wird von Zendesk nicht unterstützt. Weitere Informationen finden Sie unter Einrichten des SAML-Single-Sign-On über Active Directory mit ADFS und SAML.
- Der Zendesk-Datenverkehr wird über HTTPS und nicht über HTTP abgewickelt.
- Die Remote-Login-URL des SAML-Servers (manchmal als „SAML-Single-Sign-On-URL“ bezeichnet).
- (Optional) Die Remote-Logout-URL, an die Zendesk Benutzer umleiten soll, nachdem sie sich bei Zendesk abgemeldet haben.
- (Optional) Eine Liste von IP-Bereichen, damit Benutzer an die entsprechende Anmeldeseite umgeleitet werden können. Benutzer, die eine Anforderung von einer Adresse innerhalb der angegebenen IP-Bereiche aus einreichen, werden an das Remote-SAML-Authentifizierungsformular weitergeleitet. Benutzer, die eine Anforderung von einer Adresse außerhalb der angegebenen IP-Bereiche aus einreichen, werden an das normale Zendesk-Anmeldeformular weitergeleitet. Wenn Sie keinen IP-Bereich angeben, werden alle Benutzer an das Remote-Authentifizierungsformular umgeleitet.
- Den SHA2-Fingerabdruck des SAML-Zertifikats Ihres SAML-Servers. X.509-Zertifikate werden unterstützt und sollten im PEM- oder DER-Format vorliegen; trotzdem müssen Sie für das X.509-Zertifikat noch einen SHA2-Fingerabdruck bereitstellen. Die Größe des SHA-Fingerabdrucks ist unbegrenzt.
Ihr IT-Team benötigt u. U. weitere Informationen von Zendesk zur Konfiguration der SAML-Implementierung. Verweisen Sie Ihr IT-Team an das Worksheet zur technischen Implementierung in diesem Beitrag.
Nachdem Sie sich vergewissert haben, dass Sie die Anforderungen erfüllen und über alle erforderlichen Informationen verfügen, können Sie SAML über SSO aktivieren.
Aktivieren von SSO über SAML
Administratoren können SAML-Single-Sign-On wahlweise nur für Endbenutzer, nur für Teammitglieder (einschließlich Light Agents und Mitwirkende) oder für beide Gruppen aktivieren. Sie können bis zu zwei SAML SSO-Konfigurationen erstellen. Holen Sie alle benötigten Informationen vom IT-Team Ihres Unternehmens ein, bevor Sie beginnen. Weitere Informationen finden Sie unter Anforderungen zum Aktivieren von SSO über SAML.
So aktivieren Sie den Single-Sign-On über SAML in Zendesk
- Klicken Sie in der Seitenleiste des Admin Centers auf
Konto und dann auf Sicherheit > Single-Sign-On.
- Klicken Sie auf SSO-Konfiguration erstellen und dann auf SAML.
- Geben Sie einen eindeutigen Konfigurationsnamen ein.
- Geben Sie im Feld SAML-SSO-URL die Remote-Login-URL für Ihren SAML-Server ein.
- Geben Sie den SHA-256 Zertifikatfingerabdruck ein. Dieser Wert ist zur Kommunikation mit Ihrem SAML-Server erforderlich.
- (Optional) Geben Sie im Feld Remote-Logout-URL eine Logout-URL ein, an die Benutzer nach der Abmeldung bei Zendesk weitergeleitet werden sollen.
- (Optional) Geben Sie im Feld IP-Bereiche eine Liste von IP-Bereichen ein, damit Benutzer an die entsprechende Anmeldeseite umgeleitet werden können.
Benutzer, die eine Anforderung von einer Adresse innerhalb der angegebenen IP-Bereiche aus einreichen, werden an das Remote-SAML-Authentifizierungsformular weitergeleitet. Benutzer, die eine Anforderung von einer Adresse außerhalb der angegebenen IP-Bereiche aus einreichen, werden an das normale Zendesk-Anmeldeformular weitergeleitet. Wenn Sie keinen IP-Bereich angeben, werden alle Benutzer an das Remote-Authentifizierungsformular umgeleitet.
- Klicken Sie auf Speichern.
Standardmäßig sind Enterprise-SSO-Konfigurationen inaktiv. Sie müssen die SSO-Konfiguration Benutzern zuweisen, um sie zu aktivieren.
Zuweisen von SSO über SAML zu Benutzern
Nachdem Sie Ihre SAML SSO-Konfiguration erstellt haben, müssen Sie sie aktivieren, indem Sie sie Endbenutzern und/oder Teammitgliedern zuweisen.
So weisen Sie eine SSO-Konfiguration Teammitgliedern oder Endbenutzern zu
- Öffnen Sie die Sicherheitseinstellungen für Teammitglieder oder Endbenutzer.
- Klicken Sie in der Seitenleiste des Admin Centers auf
Konto und dann auf Sicherheit > Authentifizierung für Teammitglieder.
- Klicken Sie in der Seitenleiste des Admin Centers auf
Konto und dann auf Sicherheit > Authentifizierung für Endbenutzer.
- Klicken Sie in der Seitenleiste des Admin Centers auf
- Wenn Sie eine SSO-Konfiguration für Teammitglieder zuweisen, wählen Sie Externe Authentifizierung, um die Authentifizierungsoptionen anzuzeigen.
Für Endbenutzer werden diese Optionen bereits angezeigt.
- Klicken Sie im Bereich Externe Authentifizierung auf die Option Single-Sign-On (SSO) und wählen Sie dann die SSO-Konfigurationen aus, die Sie verwenden möchten.
Single-Sign-On deckt möglicherweise nicht alle Anwendungsfälle ab. Deshalb bleibt die Zendesk-Authentifizierung standardmäßig aktiviert. Wie Sie verlangen können, dass sich Benutzer mit der primären SSO-Methode anmelden, erfahren Sie unter So lassen Sie nur die Anmeldung mit SSO-Authentifizierung zu.
- Klicken Sie auf Speichern.
So lassen Sie nur eine Anmeldung mit SSO-Authentifizierung zu
- Öffnen Sie die Sicherheitseinstellungen für Teammitglieder oder Endbenutzer.
- Klicken Sie in der Seitenleiste des Admin Centers auf
Konto und dann auf Sicherheit > Authentifizierung für Teammitglieder.
- Klicken Sie in der Seitenleiste des Admin Centers auf
Konto und dann auf Sicherheit > Authentifizierung für Endbenutzer.
- Klicken Sie in der Seitenleiste des Admin Centers auf
- Wählen Sie unter So melden sich Endbenutzer/Teammitglieder an die Option Zu SSO umleiten und klicken Sie auf Speichern.
- Klicken Sie in der Seitenleiste des Admin Centers auf
Konto und dann auf Sicherheit > Erweitert.
- Klicken Sie auf die Registerkarte Authentifizierung und dann auf eine der Optionen unter SSO-Umgehung.
Auf diese Weise legen Sie fest, ob bei einem Ausfall des externen SSO-Dienstes nur der Kontoinhaber oder alle Administratoren (dazu gehört auch der Kontoinhaber) auf das Konto zugreifen können.
Hierzu braucht der Kontoinhaber oder Administrator einen einmal gültigen Zugriffslink, der per E-Mail zugestellt wird. Nach Klicken auf den Link kann die Person auf das Konto zugreifen. Es ist kein Kennwort erforderlich. Weitere Informationen finden Sie unter Zugreifen auf das Konto, wenn Kennwörter deaktiviert sind.
- Klicken Sie auf Speichern.
Verwalten von Benutzern in Zendesk nach Aktivieren von SSO über SAML
Nachdem Sie SAML als Single-Sign-On-Mechanismus in Zendesk aktiviert haben, werden außerhalb von Zendesk vorgenommene Änderungen an Benutzern mit Ihrem Zendesk-Konto synchronisiert. Wenn beispielsweise ein Benutzer zu Ihrem internen Active Directory- oder LDAP-System hinzugefügt wird, wird er automatisch auch zu Ihrem Zendesk-Konto hinzugefügt. Wenn ein Benutzer in Ihrem System gelöscht wird, kann sich dieser nicht mehr bei Zendesk anmelden, obwohl sein Konto weiterhin existiert.
Wenn Single-Sign-On aktiviert ist, werden standardmäßig nur der Vor- und Nachname sowie die E-Mail-Adresse des Benutzers in Zendesk gespeichert. Kennwörter werden von Zendesk nicht gespeichert. Deshalb sollten Sie alle automatischen E-Mail-Benachrichtigungen, die mit Kennwörtern zu tun haben, in Zendesk deaktivieren. Weitere Informationen finden Sie unter Deaktivieren von Kennwortbenachrichtigungen per E-Mail in Zendesk.
Um ein besseres Kundenerlebnis zu gewährleisten, sollten Sie aber mehr Benutzerdaten in Zendesk speichern als nur den Namen und die E-Mail-Adresse. Weitere Informationen finden Sie unter Erfassen zusätzlicher Benutzerdaten.
Deaktivieren von Kennwortbenachrichtigungen per E-Mail in Zendesk
Wenn ein Benutzer zu einem Zendesk-Konto hinzugefügt wird, erhält er möglicherweise eine automatische E-Mail-Benachrichtigung, in der er aufgefordert wird, seine E-Mail-Adresse zu bestätigen und einen Benutzernamen und ein Kennwort zu erstellen.
Für jeden neuen Benutzer, der über SAML oder JWT auf Ihr Zendesk-Konto zugreift, wird ein Zendesk-Benutzerprofil erstellt. Das Profil wird ohne Kennwort erstellt, da der Benutzer mit einem nicht von Zendesk Support vergebenen Kennwort authentifiziert wurde und sich deshalb nicht bei Zendesk Support anmelden muss. Standardmäßig erhält aber jeder neue Benutzer eine E-Mail mit der Bitte um Bestätigung der E-Mail-Adresse und Erstellung eines Benutzernamens und Kennworts.
- Klicken Sie in der Seitenleiste des Admin Centers auf
Personen und dann auf Konfiguration > Endbenutzer.
- Deaktivieren Sie im Abschnitt Konto-E-Mails die Option Willkommens-E-Mail auch dann senden, wenn ein neuer Benutzer von einem Agenten oder Administrator erstellt wird
- Deaktivieren Sie die Option Benutzer dürfen ihr Kennwort ändern.
Wechseln der Authentifizierungsmethode
Wenn Sie Benutzer in Zendesk über die SSO-Methode eines Drittanbieters erstellen und authentifizieren und später zur Zendesk-Authentifizierung wechseln, haben diese Benutzer kein Kennwort für die Anmeldung. Sie können sich erst wieder anmelden, nachdem sie ihr Kennwort auf der Zendesk-Anmeldeseite zurückgesetzt haben.
Worksheet zur technischen Implementierung
Dieser Abschnitt ist für das Team gedacht, das für das SAML-Authentifizierungssystem des Unternehmens zuständig ist. Er enthält wichtige Informationen zur Implementierung des SSO über SAML in Zendesk.
Behandelte Themen:
- Erforderliche Benutzerdaten für die Identifizierung des zu authentifizierenden Benutzers
- Konfigurieren des Identity Providers für Zendesk
- Konfigurieren des SAML-Servers für Zendesk
- Mit den Remote-Login- und Remote-Logout-URLs zurückgegebene Parameter
- Behebung von Fehlern in der SAML-Konfiguration für Zendesk
Erforderliche Benutzerdaten für die Identifizierung des zu authentifizierenden Benutzers
Beim Implementieren von SAML-basierten SSO-Zugriff auf Zendesk-Konten geben Sie bestimmte Benutzerdaten an, die zur Identifizierung des zu authentifizierenden Benutzers verwendet werden.
In diesen Themen wird beschrieben, welche Daten Sie bereitstellen müssen:
Angeben der E-Mail-Adresse des Benutzers in der NameID des SAML Subject
Zendesk nutzt E-Mail-Adressen zur eindeutigen Identifizierung von Benutzern. Sie sollten die E-Mail-Adresse des Benutzers in der NameID des SAML Subject angeben.
Beispiel:
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">stevejobs@yourdomain.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-04-23T21:42:47.412Z"/>
</saml:SubjectConfirmation>
</saml:Subject>
Wenn die Attribute „givenname“ und „surname“ nicht bereitgestellt werden, verwendet Zendesk den Benutzernamen der im Element
angegebenen E-Mail-Adresse als Namen des Benutzers. Der Benutzername ist der erste Teil einer E-Mail-Adresse vor dem @-Symbol.
Wenn der Benutzername der E-Mail-Adresse einen Punkt enthält, wird er als Vor- und Nachname gelesen. Enthält er keinen Punkt, so wird als Name des Benutzers in Zendesk der gesamte Benutzername verwendet. Wenn die E-Mail-Adresse
beispielsweise stanley.yelnats@ihredomäne.com lautet, wird der Name des Benutzers in Zendesk als Stanley Yelnats gespeichert; lautet die E-Mail-Adresse hingegen stanleyyelnats@ihredomäne.com, so speichert Zendesk ihn als Stanleyyelnats.
Angeben von zwei erforderlichen Benutzerattributen in der SAML Assertion
Wenn Sie die Attribute givenname und surname angeben, müssen Sie den vollständigen Namensraum und nicht die benutzerfreundlichen Namen verwenden. Wenn der benutzerfreundliche Name beispielsweise „surname“ lautet, müssen Sie als Attributwert http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname verwenden.
Konzept | Attribut | Beschreibung | Beispielwert |
---|---|---|---|
first name | givenname | Der Vorname des Benutzers. Sie müssen den vollständigen Namensraum für dieses Attribut angeben. |
|
last name | surname | Der Nachname des Benutzers. Der Benutzer in Zendesk wird entsprechend diesem Vor- und Nachnamen erstellt oder aktualisiert. (siehe Beispiel unten). Sie müssen den vollständigen Namensraum für dieses Attribut angeben. |
|
Beispiel für Vor- und Nachname:
<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<saml:AttributeValue xsi:type="xs:anyType">James</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<saml:AttributeValue xsi:type="xs:anyType">Dietrich</saml:AttributeValue>
</saml:Attribute>
Zendesk unterstützt auch zusätzliche Benutzerattribute. Welche Daten in Zendesk Support erforderlich ist, erfahren Sie von Ihrem Zendesk Support-Administrator.
Erfassen zusätzlicher Benutzerdaten
Die einzigen Benutzerangaben, die Zendesk von Ihrem Authentifizierungssystem benötigt, sind der Vor- und Nachname sowie die E-Mail-Adresse des Benutzers. Vorname und Nachname sind die einzigen Attributnamen, die Sie verwenden sollten, um Informationen zum Namen eines Benutzers zu erfassen. Wenn Sie zusätzliche Benutzerdaten erfassen möchten, bitten Sie Ihr IT-Team, Benutzerattribute zu den SAML Assertions hinzuzufügen, die der Identity Provider bei der Anmeldung an Zendesk sendet.
Eine SAML Assertion enthält eine oder mehrere Aussagen über den Benutzer. Eine solche Aussage ist die eigentliche Autorisierungsentscheidung, d. h. ob dem Benutzer Zugriff gewährt wurde oder nicht. Eine weitere Aussage enthält die Attribute, die den angemeldeten Benutzer beschreiben.
Attribut | Beschreibung |
---|---|
organization | Name oder ID einer Organisation, zu der der Benutzer hinzugefügt wird. Das Attribut „external_id“ einer Organisation wird nicht unterstützt. Wenn die Organisation in Zendesk nicht vorhanden ist, wird sie nicht erstellt. Der Benutzer selbst wird zwar erstellt, aber zu keiner Organisation hinzugefügt. |
organizations | Durch Kommas getrennte Werte wie org1 , org2 , org3
|
organization_id | Beispiel: 134211213
|
organization_ids | Durch Kommas getrennte Werte wie 23423433, 234324324,
23432
|
ou | Name einer Organisationseinheit. Geben Sie ihn als Attribut zu organization an. |
phone | Eine Telefonnummer als Zeichenfolge. |
tags | Stichwörter für den Benutzer. Diese Stichwörter ersetzen die evtl. bereits im Benutzerprofil vorhandenen Stichwörter. |
remote_photo_url | URL eines Fotos für das Benutzerprofil. |
locale (für Agenten) locale_id (für Endbenutzer) |
Das Gebietsschema in Zendesk als Zahl. Die gültigen Werte finden in der API-Dokumentation unter Locales (Englisch). |
role | Rolle des Benutzers. Kann auf end-user, agent oder admin gesetzt werden. Die Standardeinstellung lautet end-user. |
custom_role_id | Nur zutreffend, wenn der Wert des Attributs role oben agent lautet. Die IDs Ihrer angepassten Rollen können Sie mit der Custom Roles API ermitteln. |
external_id | Eine Benutzer-ID aus Ihrem System, wenn Ihre Benutzer anhand eines anderen Werts als der E-Mail-Adresse eindeutig identifiziert werden oder die Möglichkeit besteht, dass sich ihre E-Mail-Adresse ändert. Geben Sie die ID als String an. |
user_field_<key> | Wert für ein angepasstes Benutzerfeld in Zendesk Support. Weitere Informationen finden Sie unter Hinzufügen von angepassten Feldern zu Benutzern. <key> ist der Feldschlüssel des angepassten Benutzerfelds in Zendesk Support. Beispiel: user_field_employee_number , wobei employee_number der Feldschlüssel in Zendesk ist. Wenn Sie einen Nullwert oder eine leere Zeichenfolge im Attributwert übergeben, wird der Wert des angepassten Felds in Zendesk Support gelöscht.
|
Benutzerfreundlicher Name | Formeller Name (SAML2) |
---|---|
ou (Organisationseinheit) | urn:oid:2.5.4.11 |
displayName | urn:oid:2.16.840.1.113730.3.1.241 |
Konfigurieren des Identity Providers für Zendesk
Attribut | Wert |
---|---|
entityID | https://meinesubdomäne.zendesk.com |
AudienceRestriction | meinesubdomäne.zendesk.com |
Ersetzen Sie in beiden Werten den Platzhalter meinesubdomäne durch Ihre Zendesk Support-Subdomäne. Wenn Sie nicht sicher sind, fragen Sie Ihren Zendesk-Administrator.
Zendesk erzwingt das Attribut AudienceRestriction
.
Konfigurieren des SAML-Servers für Zendesk
Manche SAML-Server erfordern möglicherweise die folgenden Informationen, wenn Sie eine Integration mit Zendesk konfigurieren:
-
URL für Access Consumer Service (ACS): Geben Sie https://meinesubdomäne.zendesk.com/access/saml an (auf Groß- und Kleinschreibung achten!), wobei „meinesubdomäne“ für Ihre Zendesk Support-Subdomäne steht.
-
Umleitung zu SAML-Single-Sign-on-URL: Verwenden Sie HTTP POST.
-
Hashing-Algorithmus (ADFS): Bei Verwendung der Active Directory Federation Services (ADFS) unterstützt Zendesk den SHA-2-Algorithmus.
Mit den Remote-Login- und Remote-Logout-URLs zurückgegebene Parameter
Wenn Benutzer an Ihr Authentifizierungssystem umgeleitet werden, hängt Zendesk die folgenden Parameter an die Remote-Login- und Remote-Logout-URLs an.
Attribut | Beschreibung |
---|---|
brand_id | Die Marke des Help Centers, in dem sich der Benutzer beim Anmeldeversuch befand. Weitere Informationen finden Sie unter Erstellen eines Help Centers für eine bestimmte Marke. |
Attribut | Beschreibung |
---|---|
E-Mail-Adresse des Benutzers, der sich abmeldet. | |
external_id | Eindeutige Kennung aus Ihrem System; im Zendesk-Benutzerprofil gespeichert. |
brand_id | Die Marke des Help Centers, in dem sich der Benutzer beim Abmelden befand. Weitere Informationen finden Sie unter Erstellen eines Help Centers für eine bestimmte Marke. |
Wenn E-Mail-Adresse und externe ID nicht in der Logout-URL übergeben werden sollen, bitten Sie Ihren Zendesk-Administrator, in der Admin-Oberfläche im Feld Remote-Logout-URL leere Parameter anzugeben. Weitere Informationen finden Sie unter Aktivieren von SSO über SAML . Beispiel: https://www.ihredomäne.com/user/signout/?email=&external_id=.
Behebung von Fehlern in der SAML-Konfiguration für Zendesk
Dies sind die SAML 2.0-Metadaten von Zendesk:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<EntityDescriptor entityID="https://yoursubdomain.zendesk.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
<SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
<AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yoursubdomain.zendesk.com/access/saml"/> <!-- Note: replace 'accountname' with your Zendesk subdomain -->
</SPSSODescriptor>
</EntityDescriptor>
Zendesk erwartet eine SAML Assertion, die wie folgt aussieht:
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="s2202bbbb
afa9d270d1c15990b738f4ab36139d463" InResponseTo="_e4a78780-35da-012e-8ea7-005056
9200d8" Version="2.0" IssueInstant="2011-03-21T11:22:02Z" Destination="https://yoursubdomain.zendesk.com/access/saml">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">myidp.entity.id
</saml:Issuer>
<samlp:Status xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<samlp:StatusCode xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
Value="urn:oasis:names:tc:SAML:2.0:status:Success">
Hinweis: Ersetzen Sie „accountname“ im Attribut Destination
durch Ihre Zendesk-Subdomäne.
Zendesk erwartet, dass Benutzerattribute in der Attributanweisung einer Assertion (
) angegeben werden. Siehe folgendes Beispiel:
<saml:AttributeStatement>
<saml:Attribute Name="organization">
<saml:AttributeValue xsi:type="xs:string">Acme Rockets</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="tags">
<saml:AttributeValue xsi:type="xs:string">tag1 tag2</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="phone">
<saml:AttributeValue xsi:type="xs:string">555-555-1234</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="role">
<saml:AttributeValue xsi:type="xs:string">agent</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="custom_role_id">
<saml:AttributeValue xsi:type="xs:string">12345</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
In der Tabelle im Abschnitt Erfassen zusätzlicher Benutzerdaten weiter oben finden Sie die Namen der von Zendesk unterstützten Benutzerattribute zusammen mit einer Beschreibung. Beachten Sie, dass der vollständige Namensraum für optionale Benutzerattribute nicht unterstützt wird.
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.