Deutsch
  1. Zendesk-Hilfe
  2. Konto
  3. Dokumentation zum Konto
  4. Single-Sign-On

Aktivieren von Single-Sign-On über SAML

Charles Nadeau
  • Bearbeitet
Zendesk Documentation Team

Welchen Plan habe ich?

Suite – allealle Produkte

Direktzugriff: Admin Center > Konto > Sicherheit > Single-Sign-On

Zendesk unterstützt den Zugriff auf Zendesk-Konten per Enterprise-Single-Sign-On über Secure Assertion Markup Language (SAML) und JSON Web Token (JWT). Mit SSO brauchen sich Benutzer nur einmal beim Anmeldeformular ihres Unternehmens anzumelden und können dann auf eine Vielzahl anderer Systeme und Services zugreifen, darunter auch auf Zendesk-Produkte.

Als Zendesk-Administrator sind Sie für die Aktivierung der SSO-Optionen verantwortlich. In diesem Beitrag wird beschrieben, wie Sie bis zu zwei Konfigurationen für Single-Sign-On über SAML aktivieren, die für die Authentifizierung von Teammitgliedern (Administratoren und Agenten, einschließlich Light Agents und Mitwirkende) und/oder von Endbenutzern verwendet werden können.

In diesem Beitrag werden folgende Themen behandelt:

Normalerweise ist das IT-Team in einem Unternehmen für die Einrichtung und Verwaltung des SAML-Authentifizierungssystems verantwortlich. Es ist seine Aufgabe, SSO für Zendesk im System zu implementieren. Verweisen Sie Ihr IT-Team zum folgenden Abschnitt in diesem Beitrag:

Verwandte Beiträge:

Wie SSO über SAML in Zendesk funktioniert

SAML funktioniert in Zendesk Support genauso wie bei allen anderen Dienstanbietern. In der Regel wird die gesamte Benutzerauthentifizierung in einem Unternehmen über ein Authentifizierungssystem wie Active Directory oder LDAP abgewickelt, das allgemein als Identity Provider (IdP) bezeichnet wird. Zendesk stellt eine Vertrauensbeziehung zum Identity Provider her und ermöglicht es ihm, Benutzer zu authentifizieren und bei Zendesk-Konten anzumelden.

Ein Benutzer meldet sich im Allgemeinen zu Beginn des Arbeitstags beim Authentifizierungssystem seines Unternehmens an. Danach kann er auf andere Anwendungen und Dienste wie E-Mail oder Zendesk Support zugreifen, ohne sich separat anmelden zu müssen.

Wenn ein Benutzer versucht, sich direkt bei einem Zendesk-Konto anzumelden, wird er zur Authentifizierung zu Ihrem SAML-Server oder -Dienst umgeleitet. Nach der Authentifizierung gelangt der Benutzer zu Ihrem Zendesk-Konto und wird automatisch angemeldet.

Ebenfalls unterstützt wird ein Workflow, bei dem Benutzer nach der Anmeldung bei der Website eines Unternehmens Zugriff auf Zendesk haben. Wenn sich ein Benutzer mit seinen websitespezifischen Credentials bei der Website anmeldet, sendet diese eine Anfrage an den Identity Provider, um den Benutzer zu validieren. Die Website sendet dann die Antwort des Providers an den SAML-Server, der sie an Ihr Zendesk-Konto weiterleitet, welches dem Benutzer schließlich Zugriff gewährt.

Anforderungen zum Aktivieren von SSO über SAML

Schließen Sie sich mit dem Team in Ihrem Unternehmen kurz, das für das SAML-Authentifizierungssystem zuständig ist (in der Regel das IT-Team), um sicherzustellen, dass folgende Anforderungen erfüllt sind:

  • Das Unternehmen hat einen SAML-Server mit provisionierten Benutzern oder Anbindung an ein Identitätsverzeichnis wie Microsoft Active Directory oder LDAP. Mögliche Optionen sind ein interner SAML-Server wie OpenAM oder ein externer SAML-Dienst wie Okta, OneLogin oder PingIdentity.

  • Bei Verwendung eines ADFS-Servers (Active Directory Federation Services) muss die formularbasierte Authentifizierung aktiviert sein. Windows Integrated Authentication (WIA) wird von Zendesk nicht unterstützt. Weitere Informationen finden Sie unter Einrichten des SAML-Single-Sign-On über Active Directory mit ADFS und SAML.

  • Der Zendesk-Datenverkehr wird über HTTPS und nicht über HTTP abgewickelt.
Für die Konfiguration einer SAML SSO-Methode in Zendesk benötigen Sie die folgenden Informationen. Sie erhalten sie von Ihrem IT-Team.
  • Die Remote-Login-URL des SAML-Servers (manchmal als „SAML-Single-Sign-On-URL“ bezeichnet).
  • (Optional) Die Remote-Logout-URL, an die Zendesk Benutzer umleiten soll, nachdem sie sich bei Zendesk abgemeldet haben.
  • (Optional) Eine Liste von IP-Bereichen, damit Benutzer an die entsprechende Anmeldeseite umgeleitet werden können. Benutzer, die eine Anforderung von einer Adresse innerhalb der angegebenen IP-Bereiche aus einreichen, werden an das Remote-SAML-Authentifizierungsformular weitergeleitet. Benutzer, die eine Anforderung von einer Adresse außerhalb der angegebenen IP-Bereiche aus einreichen, werden an das normale Zendesk-Anmeldeformular weitergeleitet. Wenn Sie keinen IP-Bereich angeben, werden alle Benutzer an das Remote-Authentifizierungsformular umgeleitet.
  • Den SHA2-Fingerabdruck des SAML-Zertifikats Ihres SAML-Servers. X.509-Zertifikate werden unterstützt und sollten im PEM- oder DER-Format vorliegen; trotzdem müssen Sie für das X.509-Zertifikat noch einen SHA2-Fingerabdruck bereitstellen. Die Größe des SHA-Fingerabdrucks ist unbegrenzt.

Ihr IT-Team benötigt u. U. weitere Informationen von Zendesk zur Konfiguration der SAML-Implementierung. Verweisen Sie Ihr IT-Team an das Worksheet zur technischen Implementierung in diesem Beitrag.

Nachdem Sie sich vergewissert haben, dass Sie die Anforderungen erfüllen und über alle erforderlichen Informationen verfügen, können Sie SAML über SSO aktivieren.

Aktivieren von SSO über SAML

Administratoren können SAML-Single-Sign-On wahlweise nur für Endbenutzer, nur für Teammitglieder (einschließlich Light Agents und Mitwirkende) oder für beide Gruppen aktivieren. Sie können bis zu zwei SAML SSO-Konfigurationen erstellen. Holen Sie alle benötigten Informationen vom IT-Team Ihres Unternehmens ein, bevor Sie beginnen. Weitere Informationen finden Sie unter Anforderungen zum Aktivieren von SSO über SAML.

So aktivieren Sie den Single-Sign-On über SAML in Zendesk

  1. Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Single-Sign-On.
  2. Klicken Sie auf SSO-Konfiguration erstellen und dann auf SAML.
  3. Geben Sie einen eindeutigen Konfigurationsnamen ein.
  4. Geben Sie im Feld SAML-SSO-URL die Remote-Login-URL für Ihren SAML-Server ein.
  5. Geben Sie den SHA-256 Zertifikatfingerabdruck ein. Dieser Wert ist zur Kommunikation mit Ihrem SAML-Server erforderlich.
  6. (Optional) Geben Sie im Feld Remote-Logout-URL eine Logout-URL ein, an die Benutzer nach der Abmeldung bei Zendesk weitergeleitet werden sollen.
  7. (Optional) Geben Sie im Feld IP-Bereiche eine Liste von IP-Bereichen ein, damit Benutzer an die entsprechende Anmeldeseite umgeleitet werden können.

    Benutzer, die eine Anforderung von einer Adresse innerhalb der angegebenen IP-Bereiche aus einreichen, werden an das Remote-SAML-Authentifizierungsformular weitergeleitet. Benutzer, die eine Anforderung von einer Adresse außerhalb der angegebenen IP-Bereiche aus einreichen, werden an das normale Zendesk-Anmeldeformular weitergeleitet. Wenn Sie keinen IP-Bereich angeben, werden alle Benutzer an das Remote-Authentifizierungsformular umgeleitet.

  8. Klicken Sie auf Speichern.

    Standardmäßig sind Enterprise-SSO-Konfigurationen inaktiv. Sie müssen die SSO-Konfiguration Benutzern zuweisen, um sie zu aktivieren.

Zuweisen von SSO über SAML zu Benutzern

Nachdem Sie Ihre SAML SSO-Konfiguration erstellt haben, müssen Sie sie aktivieren, indem Sie sie Endbenutzern und/oder Teammitgliedern zuweisen.

So weisen Sie eine SSO-Konfiguration Teammitgliedern oder Endbenutzern zu

  1. Öffnen Sie die Sicherheitseinstellungen für Teammitglieder oder Endbenutzer.
    • Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Authentifizierung für Teammitglieder.
    • Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Authentifizierung für Endbenutzer.
  2. Wenn Sie eine SSO-Konfiguration für Teammitglieder zuweisen, wählen Sie Externe Authentifizierung, um die Authentifizierungsoptionen anzuzeigen.

    Für Endbenutzer werden diese Optionen bereits angezeigt.

  3. Klicken Sie im Bereich Externe Authentifizierung auf die Option Single-Sign-On (SSO) und wählen Sie dann die SSO-Konfigurationen aus, die Sie verwenden möchten.

    Single-Sign-On deckt möglicherweise nicht alle Anwendungsfälle ab. Deshalb bleibt die Zendesk-Authentifizierung standardmäßig aktiviert. Wie Sie verlangen können, dass sich Benutzer mit der primären SSO-Methode anmelden, erfahren Sie unter So lassen Sie nur die Anmeldung mit SSO-Authentifizierung zu.

  4. Klicken Sie auf Speichern.

So lassen Sie nur eine Anmeldung mit SSO-Authentifizierung zu

  1. Öffnen Sie die Sicherheitseinstellungen für Teammitglieder oder Endbenutzer.
    • Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Authentifizierung für Teammitglieder.
    • Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Authentifizierung für Endbenutzer.
  2. Wählen Sie unter So melden sich Endbenutzer/Teammitglieder an die Option Zu SSO umleiten und klicken Sie auf Speichern.

  3. Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Erweitert.
  4. Klicken Sie auf die Registerkarte Authentifizierung und dann auf eine der Optionen unter SSO-Umgehung.

    Auf diese Weise legen Sie fest, ob bei einem Ausfall des externen SSO-Dienstes nur der Kontoinhaber oder alle Administratoren (dazu gehört auch der Kontoinhaber) auf das Konto zugreifen können.

    Hierzu braucht der Kontoinhaber oder Administrator einen einmal gültigen Zugriffslink, der per E-Mail zugestellt wird. Nach Klicken auf den Link kann die Person auf das Konto zugreifen. Es ist kein Kennwort erforderlich. Weitere Informationen finden Sie unter Zugreifen auf das Konto, wenn Kennwörter deaktiviert sind.

  5. Klicken Sie auf Speichern.

Verwalten von Benutzern in Zendesk nach Aktivieren von SSO über SAML

Nachdem Sie SAML als Single-Sign-On-Mechanismus in Zendesk aktiviert haben, werden außerhalb von Zendesk vorgenommene Änderungen an Benutzern mit Ihrem Zendesk-Konto synchronisiert. Wenn beispielsweise ein Benutzer zu Ihrem internen Active Directory- oder LDAP-System hinzugefügt wird, wird er automatisch auch zu Ihrem Zendesk-Konto hinzugefügt. Wenn ein Benutzer in Ihrem System gelöscht wird, kann sich dieser nicht mehr bei Zendesk anmelden, obwohl sein Konto weiterhin existiert.

Wenn Single-Sign-On aktiviert ist, werden standardmäßig nur der Vor- und Nachname sowie die E-Mail-Adresse des Benutzers in Zendesk gespeichert. Kennwörter werden von Zendesk nicht gespeichert. Deshalb sollten Sie alle automatischen E-Mail-Benachrichtigungen, die mit Kennwörtern zu tun haben, in Zendesk deaktivieren. Weitere Informationen finden Sie unter Deaktivieren von Kennwortbenachrichtigungen per E-Mail in Zendesk.

Um ein besseres Kundenerlebnis zu gewährleisten, sollten Sie aber mehr Benutzerdaten in Zendesk speichern als nur den Namen und die E-Mail-Adresse. Weitere Informationen finden Sie unter Erfassen zusätzlicher Benutzerdaten.

Deaktivieren von Kennwortbenachrichtigungen per E-Mail in Zendesk

Wenn ein Benutzer zu einem Zendesk-Konto hinzugefügt wird, erhält er möglicherweise eine automatische E-Mail-Benachrichtigung, in der er aufgefordert wird, seine E-Mail-Adresse zu bestätigen und einen Benutzernamen und ein Kennwort zu erstellen.

Für jeden neuen Benutzer, der über SAML oder JWT auf Ihr Zendesk-Konto zugreift, wird ein Zendesk-Benutzerprofil erstellt. Das Profil wird ohne Kennwort erstellt, da der Benutzer mit einem nicht von Zendesk Support vergebenen Kennwort authentifiziert wurde und sich deshalb nicht bei Zendesk Support anmelden muss. Standardmäßig erhält aber jeder neue Benutzer eine E-Mail mit der Bitte um Bestätigung der E-Mail-Adresse und Erstellung eines Benutzernamens und Kennworts.

Um dies zu verhindern, deaktivieren Sie die folgenden Optionen:
  1. Klicken Sie in der Seitenleiste des Admin Centers auf Personen und dann auf Konfiguration > Endbenutzer.
  2. Deaktivieren Sie im Abschnitt Konto-E-Mails die Option Willkommens-E-Mail auch dann senden, wenn ein neuer Benutzer von einem Agenten oder Administrator erstellt wird
  3. Deaktivieren Sie die Option Benutzer dürfen ihr Kennwort ändern.

Wechseln der Authentifizierungsmethode

Wenn Sie Benutzer in Zendesk über die SSO-Methode eines Drittanbieters erstellen und authentifizieren und später zur Zendesk-Authentifizierung wechseln, haben diese Benutzer kein Kennwort für die Anmeldung. Sie können sich erst wieder anmelden, nachdem sie ihr Kennwort auf der Zendesk-Anmeldeseite zurückgesetzt haben.

Worksheet zur technischen Implementierung

Dieser Abschnitt ist für das Team gedacht, das für das SAML-Authentifizierungssystem des Unternehmens zuständig ist. Er enthält wichtige Informationen zur Implementierung des SSO über SAML in Zendesk.

Behandelte Themen:

Erforderliche Benutzerdaten für die Identifizierung des zu authentifizierenden Benutzers

Beim Implementieren von SAML-basierten SSO-Zugriff auf Zendesk-Konten geben Sie bestimmte Benutzerdaten an, die zur Identifizierung des zu authentifizierenden Benutzers verwendet werden.

In diesen Themen wird beschrieben, welche Daten Sie bereitstellen müssen:

Angeben der E-Mail-Adresse des Benutzers in der NameID des SAML Subject

Zendesk nutzt E-Mail-Adressen zur eindeutigen Identifizierung von Benutzern. Sie sollten die E-Mail-Adresse des Benutzers in der NameID des SAML Subject angeben.

Beispiel:

 <saml:Subject>
      <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">stevejobs@yourdomain.com</saml:NameID>
      <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <saml:SubjectConfirmationData NotOnOrAfter="2014-04-23T21:42:47.412Z"/>
      </saml:SubjectConfirmation>
    </saml:Subject>

Wenn die Attribute „givenname“ und „surname“ nicht bereitgestellt werden, verwendet Zendesk den Benutzernamen der im Element angegebenen E-Mail-Adresse als Namen des Benutzers. Der Benutzername ist der erste Teil einer E-Mail-Adresse vor dem @-Symbol.

Wenn der Benutzername der E-Mail-Adresse einen Punkt enthält, wird er als Vor- und Nachname gelesen. Enthält er keinen Punkt, so wird als Name des Benutzers in Zendesk der gesamte Benutzername verwendet. Wenn die E-Mail-Adresse beispielsweise stanley.yelnats@ihredomäne.com lautet, wird der Name des Benutzers in Zendesk als Stanley Yelnats gespeichert; lautet die E-Mail-Adresse hingegen stanleyyelnats@ihredomäne.com, so speichert Zendesk ihn als Stanleyyelnats.

Angeben von zwei erforderlichen Benutzerattributen in der SAML Assertion

Wenn Sie die Attribute givenname und surname angeben, müssen Sie den vollständigen Namensraum und nicht die benutzerfreundlichen Namen verwenden. Wenn der benutzerfreundliche Name beispielsweise „surname“ lautet, müssen Sie als Attributwert http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname verwenden.

Konzept Attribut Beschreibung Beispielwert
first name givenname Der Vorname des Benutzers. Sie müssen den vollständigen Namensraum für dieses Attribut angeben. 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
last name surname Der Nachname des Benutzers. Der Benutzer in Zendesk wird entsprechend diesem Vor- und Nachnamen erstellt oder aktualisiert. (siehe Beispiel unten). Sie müssen den vollständigen Namensraum für dieses Attribut angeben. 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

Beispiel für Vor- und Nachname:

<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
 <saml:AttributeValue xsi:type="xs:anyType">James</saml:AttributeValue>
 </saml:Attribute>
 <saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
 <saml:AttributeValue xsi:type="xs:anyType">Dietrich</saml:AttributeValue>
 </saml:Attribute>

Zendesk unterstützt auch zusätzliche Benutzerattribute. Welche Daten in Zendesk Support erforderlich ist, erfahren Sie von Ihrem Zendesk Support-Administrator.

Erfassen zusätzlicher Benutzerdaten

Die einzigen Benutzerangaben, die Zendesk von Ihrem Authentifizierungssystem benötigt, sind der Vor- und Nachname sowie die E-Mail-Adresse des Benutzers. Vorname und Nachname sind die einzigen Attributnamen, die Sie verwenden sollten, um Informationen zum Namen eines Benutzers zu erfassen. Wenn Sie zusätzliche Benutzerdaten erfassen möchten, bitten Sie Ihr IT-Team, Benutzerattribute zu den SAML Assertions hinzuzufügen, die der Identity Provider bei der Anmeldung an Zendesk sendet.

Eine SAML Assertion enthält eine oder mehrere Aussagen über den Benutzer. Eine solche Aussage ist die eigentliche Autorisierungsentscheidung, d. h. ob dem Benutzer Zugriff gewährt wurde oder nicht. Eine weitere Aussage enthält die Attribute, die den angemeldeten Benutzer beschreiben.

Zendesk unterstützt die folgenden zusätzlichen Benutzerattribute für angemeldete Benutzer. Definieren Sie Ihre Datenanforderungen in Zendesk Support und bitten Sie dann Ihr IT-Team, die entsprechenden Benutzerattribute zu den SAML Assertions hinzuzufügen. Beachten Sie, dass Zendesk diese zusätzlichen Benutzerattribute nur erkennt, wenn Sie in der Attributanweisung der Assertion die in der unten stehenden Tabelle aufgeführten Attributnamen verwenden. Wenn Sie versuchen, den vollständigen Namensraum zu verwenden, werden die Attribute ignoriert.
Attribut Beschreibung
organization Name oder ID einer Organisation, zu der der Benutzer hinzugefügt wird. Das Attribut „external_id“ einer Organisation wird nicht unterstützt. Wenn die Organisation in Zendesk nicht vorhanden ist, wird sie nicht erstellt. Der Benutzer selbst wird zwar erstellt, aber zu keiner Organisation hinzugefügt.
organizations Durch Kommas getrennte Werte wie org1, org2, org3
organization_id Beispiel: 134211213
organization_ids Durch Kommas getrennte Werte wie 23423433, 234324324, 23432
ou Name einer Organisationseinheit. Geben Sie ihn als Attribut zu organization an.
phone Eine Telefonnummer als Zeichenfolge.
tags Stichwörter für den Benutzer. Diese Stichwörter ersetzen die evtl. bereits im Benutzerprofil vorhandenen Stichwörter.
remote_photo_url URL eines Fotos für das Benutzerprofil.
locale (für Agenten)

locale_id (für Endbenutzer)

 Das Gebietsschema in Zendesk als Zahl. Die gültigen Werte finden in der API-Dokumentation unter Locales (Englisch).
role Rolle des Benutzers. Kann auf end-user, agent oder admin gesetzt werden. Die Standardeinstellung lautet end-user.
custom_role_id Nur zutreffend, wenn der Wert des Attributs role oben agent lautet. Die IDs Ihrer angepassten Rollen können Sie mit der Custom Roles API ermitteln.
external_id Eine Benutzer-ID aus Ihrem System, wenn Ihre Benutzer anhand eines anderen Werts als der E-Mail-Adresse eindeutig identifiziert werden oder die Möglichkeit besteht, dass sich ihre E-Mail-Adresse ändert. Geben Sie die ID als String an.
user_field_<key> Wert für ein angepasstes Benutzerfeld in Zendesk Support. Weitere Informationen finden Sie unter Hinzufügen von angepassten Feldern zu Benutzern. <key> ist der Feldschlüssel des angepassten Benutzerfelds in Zendesk Support. Beispiel: user_field_employee_number, wobei employee_number der Feldschlüssel in Zendesk ist. Wenn Sie einen Nullwert oder eine leere Zeichenfolge im Attributwert übergeben, wird der Wert des angepassten Felds in Zendesk Support gelöscht.
Zendesk unterstützt auch eine Reihe von InCommon Federation-Attributen zur Festlegung von Benutzerattributen während der Anmeldung. Bei Federation-Attributen sollten Sie den vollständigen Namensraum mit dem Attributnamen und nicht nur den benutzerfreundlichen Namen angeben. Beispiele:
Benutzerfreundlicher Name Formeller Name (SAML2)
ou (Organisationseinheit) urn:oid:2.5.4.11
displayName urn:oid:2.16.840.1.113730.3.1.241

Konfigurieren des Identity Providers für Zendesk

Die folgenden Attribute sind zur Angabe des Identity Providers erforderlich:
Attribut Wert
entityID https://meinesubdomäne.zendesk.com
AudienceRestriction meinesubdomäne.zendesk.com

Ersetzen Sie in beiden Werten den Platzhalter meinesubdomäne durch Ihre Zendesk Support-Subdomäne. Wenn Sie nicht sicher sind, fragen Sie Ihren Zendesk-Administrator.

Zendesk erzwingt das Attribut AudienceRestriction.

Konfigurieren des SAML-Servers für Zendesk

Manche SAML-Server erfordern möglicherweise die folgenden Informationen, wenn Sie eine Integration mit Zendesk konfigurieren:

  • URL für Access Consumer Service (ACS): Geben Sie https://meinesubdomäne.zendesk.com/access/saml an (auf Groß- und Kleinschreibung achten!), wobei „meinesubdomäne“ für Ihre Zendesk Support-Subdomäne steht.

  • Umleitung zu SAML-Single-Sign-on-URL: Verwenden Sie HTTP POST.

  • Hashing-Algorithmus (ADFS): Bei Verwendung der Active Directory Federation Services (ADFS) unterstützt Zendesk den SHA-2-Algorithmus.

Mit den Remote-Login- und Remote-Logout-URLs zurückgegebene Parameter

Wenn Benutzer an Ihr Authentifizierungssystem umgeleitet werden, hängt Zendesk die folgenden Parameter an die Remote-Login- und Remote-Logout-URLs an.

Parameter in Remote-Login-URL
Attribut Beschreibung
brand_id Die Marke des Help Centers, in dem sich der Benutzer beim Anmeldeversuch befand. Weitere Informationen finden Sie unter Erstellen eines Help Centers für eine bestimmte Marke.
Parameter in Remote-Logout-URL
Attribut Beschreibung
email E-Mail-Adresse des Benutzers, der sich abmeldet.
external_id Eindeutige Kennung aus Ihrem System; im Zendesk-Benutzerprofil gespeichert.
brand_id Die Marke des Help Centers, in dem sich der Benutzer beim Abmelden befand. Weitere Informationen finden Sie unter Erstellen eines Help Centers für eine bestimmte Marke.

Wenn E-Mail-Adresse und externe ID nicht in der Logout-URL übergeben werden sollen, bitten Sie Ihren Zendesk-Administrator, in der Admin-Oberfläche im Feld Remote-Logout-URL leere Parameter anzugeben. Weitere Informationen finden Sie unter Aktivieren von SSO über SAML . Beispiel: https://www.ihredomäne.com/user/signout/?email=&external_id=.

Behebung von Fehlern in der SAML-Konfiguration für Zendesk

Dies sind die SAML 2.0-Metadaten von Zendesk:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<EntityDescriptor entityID="https://yoursubdomain.zendesk.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
    <SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
        <AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yoursubdomain.zendesk.com/access/saml"/> <!-- Note: replace 'accountname' with your Zendesk subdomain -->
    </SPSSODescriptor>
</EntityDescriptor>

Zendesk erwartet eine SAML Assertion, die wie folgt aussieht: 

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="s2202bbbb
afa9d270d1c15990b738f4ab36139d463" InResponseTo="_e4a78780-35da-012e-8ea7-005056
9200d8" Version="2.0" IssueInstant="2011-03-21T11:22:02Z" Destination="https://yoursubdomain.zendesk.com/access/saml">
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">myidp.entity.id
    </saml:Issuer>
    <samlp:Status xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
        <samlp:StatusCode  xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
Value="urn:oasis:names:tc:SAML:2.0:status:Success">

Hinweis: Ersetzen Sie „accountname“ im Attribut Destination durch Ihre Zendesk-Subdomäne.

Zendesk erwartet, dass Benutzerattribute in der Attributanweisung einer Assertion () angegeben werden. Siehe folgendes Beispiel: 

<saml:AttributeStatement>
  <saml:Attribute Name="organization">
    <saml:AttributeValue xsi:type="xs:string">Acme Rockets</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="tags">
    <saml:AttributeValue xsi:type="xs:string">tag1 tag2</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="phone">
    <saml:AttributeValue xsi:type="xs:string">555-555-1234</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="role">
    <saml:AttributeValue xsi:type="xs:string">agent</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="custom_role_id">
    <saml:AttributeValue xsi:type="xs:string">12345</saml:AttributeValue>
  </saml:Attribute>
 </saml:AttributeStatement>

In der Tabelle im Abschnitt Erfassen zusätzlicher Benutzerdaten weiter oben finden Sie die Namen der von Zendesk unterstützten Benutzerattribute zusammen mit einer Beschreibung. Beachten Sie, dass der vollständige Namensraum für optionale Benutzerattribute nicht unterstützt wird.

Zurück an den Anfang

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.

Powered by Zendesk