Welchen Plan habe ich?

Bei allen Suite-Plänen verfügbarBei allen Produkten verfügbar

Direktzugriff: Admin Center > Konto > Sicherheit > Single-Sign-On

Zendesk unterstützt den Zugriff auf Zendesk-Konten per Enterprise-Single-Sign-On über Secure Assertion Markup Language (SAML), JSON Web Token (JWT) und OpenID Connect (IODC). Mit SSO brauchen sich Benutzer nur einmal beim Anmeldeformular ihres Unternehmens anzumelden und können dann auf eine Vielzahl anderer Systeme und Services zugreifen, darunter auch auf Zendesk-Produkte.

Als Zendesk-Administrator sind Sie für die Aktivierung der SSO-Optionen verantwortlich. In diesem Beitrag wird beschrieben, wie Sie mehrere Konfigurationen für Single-Sign-On über SAML aktivieren, die für die Authentifizierung von Teammitgliedern (Administratoren und Agenten, einschließlich Light Agents und Mitwirkende) und/oder von Endbenutzern verwendet werden können.

Wichtig: Wenn Sie SSO verwenden, müssen Sie die Identitäten und E-Mail-Adressen Ihrer Benutzer selbst verifizieren. Wenn Sie Benutzer und ihre E-Mail-Adressen nicht verifizieren, besteht das Risiko, dass Unbefugte auf Ihr Konto zugreifen. Zendesk kann die Sicherheit Ihres Kontos nicht garantieren.

In diesem Beitrag werden folgende Themen behandelt:

  • Wie SSO über SAML in Zendesk funktioniert
  • Anforderungen zum Aktivieren von SSO über SAML
  • Aktivieren von SSO über SAML
  • Zuweisen von SSO über SAML zu Benutzern
  • Verwalten von Benutzern in Zendesk nach Aktivieren von SSO über SAML
  • Wechseln der Authentifizierungsmethode

Normalerweise ist das IT-Team in einem Unternehmen für die Einrichtung und Verwaltung des SAML-Authentifizierungssystems verantwortlich. Es ist seine Aufgabe, SSO für Zendesk im System zu implementieren. Verweisen Sie Ihr IT-Team zum folgenden Abschnitt in diesem Beitrag:

  • Worksheet zur technischen Implementierung

Verwandte Beiträge:

  • Optionen zum Single-Sign-On (SSO) in Zendesk Support
  • Bereitstellen mehrerer Möglichkeiten zur Anmeldung bei Zendesk
  • Zugreifen auf Ihr Zendesk-Konto, wenn Ihr SSO-Dienst nicht verfügbar ist

Wie SSO über SAML in Zendesk funktioniert

SAML funktioniert in Zendesk Support genauso wie bei allen anderen Dienstanbietern. In der Regel wird die gesamte Benutzerauthentifizierung in einem Unternehmen über ein Authentifizierungssystem wie Active Directory oder LDAP abgewickelt, das allgemein als Identity Provider (IdP) bezeichnet wird. Zendesk stellt eine Vertrauensbeziehung zum Identity Provider her und ermöglicht es ihm, Benutzer zu authentifizieren und bei Zendesk-Konten anzumelden.

Ein Benutzer meldet sich im Allgemeinen zu Beginn des Arbeitstags beim Authentifizierungssystem seines Unternehmens an. Danach kann er auf andere Anwendungen und Dienste wie E-Mail oder Zendesk Support zugreifen, ohne sich separat anmelden zu müssen.

Wenn ein Benutzer versucht, sich direkt bei einem Zendesk-Konto anzumelden, wird er zur Authentifizierung zu Ihrem SAML-Server oder -Dienst umgeleitet. Nach der Authentifizierung gelangt der Benutzer zu Ihrem Zendesk-Konto und wird automatisch angemeldet.

Ebenfalls unterstützt wird ein Workflow, bei dem Benutzer nach der Anmeldung bei der Website eines Unternehmens Zugriff auf Zendesk haben. Wenn sich ein Benutzer mit seinen websitespezifischen Credentials bei der Website anmeldet, sendet diese eine Anforderung an den Identity Provider, um den Benutzer zu validieren. Die Website sendet dann die Antwort des Providers an den SAML-Server, der sie an Ihr Zendesk-Konto weiterleitet, welches dem Benutzer schließlich Zugriff gewährt.

Anforderungen zum Aktivieren von SSO über SAML

Schließen Sie sich mit dem Team in Ihrem Unternehmen kurz, das für das SAML-Authentifizierungssystem zuständig ist (in der Regel das IT-Team), um sicherzustellen, dass folgende Anforderungen erfüllt sind:

  • Das Unternehmen hat einen SAML-Server mit provisionierten Benutzern oder Anbindung an ein Identitätsverzeichnis wie Microsoft Active Directory oder LDAP. Mögliche Optionen sind ein interner SAML-Server wie OpenAM oder ein externer SAML-Dienst wie Okta, OneLogin oder PingIdentity.

  • Bei Verwendung eines ADFS-Servers (Active Directory Federation Services) muss die formularbasierte Authentifizierung aktiviert sein. Windows Integrated Authentication (WIA) wird von Zendesk nicht unterstützt. Weitere Informationen finden Sie unter Einrichten des SAML-Single-Sign-On über Active Directory mit ADFS und SAML.

  • Der Zendesk-Datenverkehr wird über HTTPS und nicht über HTTP abgewickelt.
Für die Konfiguration einer SAML SSO-Methode in Zendesk benötigen Sie die folgenden Informationen. Sie erhalten sie von Ihrem IT-Team.
  • Die Remote-Login-URL des SAML-Servers (manchmal als „SAML-Single-Sign-On-URL“ bezeichnet).
  • (Optional) Die Remote-Logout-URL, an die Zendesk Benutzer umleiten soll, nachdem sie sich bei Zendesk abgemeldet haben.
  • (Optional) Eine Liste von IP-Bereichen, damit Benutzer an die entsprechende Anmeldeseite umgeleitet werden können. Benutzer, die eine Anforderung von einer Adresse innerhalb der angegebenen IP-Bereiche aus einreichen, werden an das Remote-SAML-Authentifizierungsformular weitergeleitet. Benutzer, die eine Anforderung von einer Adresse außerhalb der angegebenen IP-Bereiche aus einreichen, werden an das normale Zendesk-Anmeldeformular weitergeleitet. Wenn Sie keinen IP-Bereich angeben, werden alle Benutzer an das Remote-Authentifizierungsformular umgeleitet.
  • Den SHA2-Fingerabdruck des SAML-Zertifikats Ihres SAML-Servers. X.509-Zertifikate werden unterstützt und sollten im PEM- oder DER-Format vorliegen; trotzdem müssen Sie für das X.509-Zertifikat noch einen SHA2-Fingerabdruck bereitstellen. Die Größe des SHA-Fingerabdrucks ist unbegrenzt.

Ihr IT-Team benötigt u. U. weitere Informationen von Zendesk zur Konfiguration der SAML-Implementierung. Verweisen Sie Ihr IT-Team an das Worksheet zur technischen Implementierung in diesem Beitrag.

Nachdem Sie sich vergewissert haben, dass Sie die Anforderungen erfüllen und über alle erforderlichen Informationen verfügen, können Sie SAML über SSO aktivieren.

Aktivieren von SSO über SAML

Administratoren können SAML-Single-Sign-On wahlweise nur für Endbenutzer, nur für Teammitglieder (einschließlich Light Agents und Mitwirkende) oder für beide Gruppen aktivieren. Sie können mehrere Konfigurationen für SSO über SAML erstellen. Holen Sie alle benötigten Informationen vom IT-Team Ihres Unternehmens ein, bevor Sie beginnen. Weitere Informationen finden Sie unter Anforderungen zum Aktivieren von SSO über SAML.

So aktivieren Sie den Single-Sign-On über SAML in Zendesk

  1. Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Single-Sign-On.
  2. Klicken Sie auf SSO-Konfiguration erstellen und dann auf SAML.
  3. Geben Sie einen eindeutigen Konfigurationsnamen ein.
  4. Geben Sie im Feld SAML-SSO-URL die Remote-Login-URL für Ihren SAML-Server ein.
  5. Geben Sie den SHA-256 Zertifikatfingerabdruck ein. Dieser Wert ist zur Kommunikation mit Ihrem SAML-Server erforderlich.
  6. (Optional) Geben Sie im Feld Remote-Logout-URL eine Logout-URL ein, an die Benutzer nach der Abmeldung bei Zendesk weitergeleitet werden sollen.
  7. (Optional) Geben Sie im Feld IP-Bereiche eine Liste von IP-Bereichen ein, damit Benutzer an die entsprechende Anmeldeseite umgeleitet werden können.

    Benutzer, die eine Anforderung von einer Adresse innerhalb der angegebenen IP-Bereiche aus einreichen, werden an das Remote-SAML-Authentifizierungsformular weitergeleitet. Benutzer, die eine Anforderung von einer Adresse außerhalb der angegebenen IP-Bereiche aus einreichen, werden an das normale Zendesk-Anmeldeformular weitergeleitet. Wenn Sie keinen IP-Bereich angeben, werden alle Benutzer an das Remote-Authentifizierungsformular umgeleitet.

  8. Wählen Sie Schaltfläche anzeigen, wenn Benutzer sich anmelden, um die Schaltfläche Mit SSO fortfahren zur Zendesk-Anmeldeseite hinzuzufügen.

    Bei Bedarf können Sie im Feld Schaltflächenname eine andere Beschriftung eingeben. Angepasste Schaltflächenbeschriftungen sind hilfreich, wenn auf der Anmeldeseite mehrere SSO-Schaltflächen erscheinen sollen. Weitere Informationen finden Sie unter Hinzufügen von SSO-Schaltflächen zur Zendesk-Anmeldeseite.

  9. Klicken Sie auf Speichern.

    Standardmäßig sind Enterprise-SSO-Konfigurationen inaktiv. Sie müssen die SSO-Konfiguration Benutzern zuweisen, um sie zu aktivieren.

Zuweisen von SSO über SAML zu Benutzern

Nachdem Sie Ihre SAML SSO-Konfiguration erstellt haben, müssen Sie sie aktivieren, indem Sie sie Endbenutzern und/oder Teammitgliedern zuweisen.

So weisen Sie eine SSO-Konfiguration Teammitgliedern oder Endbenutzern zu

  1. Öffnen Sie die Sicherheitseinstellungen für Teammitglieder oder Endbenutzer.
    • Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Authentifizierung für Teammitglieder.
    • Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Authentifizierung für Endbenutzer.
  2. Wählen Sie Externe Authentifizierung, um die Authentifizierungsoptionen anzuzeigen.
  3. Wählen Sie die Namen der SSO-Konfigurationen aus, die Sie verwenden möchten.

    Single-Sign-On deckt möglicherweise nicht alle Anwendungsfälle ab. Deshalb bleibt die Zendesk-Authentifizierung standardmäßig aktiviert.

  4. Geben Sie an, wie sich die Benutzer anmelden sollen.

    Lassen Sie sie wählen bedeutet, dass sich die Benutzer mit jeder aktiven Authentifizierungsmethode anmelden können. Weitere Informationen finden Sie unter Bereitstellen mehrerer Möglichkeiten zur Anmeldung bei Zendesk.

    Zu SSO umleiten bedeutet, dass sich Benutzer nur mit der primären SSO-Konfiguration authentifizieren können. Weitere Möglichkeiten der Anmeldung werden nicht angezeigt, auch wenn die betreffenden Authentifizierungsoptionen aktiv sind. Wenn Sie Zu SSO umleiten wählen, wird das Feld Primäres SSO eingeblendet, in dem Sie die primäre SSO-Konfiguration auswählen können.

  5. Klicken Sie auf Speichern.

Verwalten von Benutzern in Zendesk nach Aktivieren von SSO über SAML

Nachdem Sie SAML als Single-Sign-On-Mechanismus in Zendesk aktiviert haben, werden außerhalb von Zendesk vorgenommene Änderungen an Benutzern nicht automatisch mit Ihrem Zendesk-Konto synchronisiert. Benutzer werden in Zendesk zum Zeitpunkt der Authentifizierung aktualisiert. Wenn beispielsweise ein Benutzer zu Ihrem internen System hinzugefügt wird, wird er bei seiner Zendesk-Anmeldung auch Ihrem Zendesk-Konto hinzugefügt. ,Wenn die Benutzerdaten in Ihrem internen System geändert werden (z. B. Name oder E-Mail-Adresse), werden alle Attribute, die in der SAML-Nutzlast enthalten sind, in Zendesk aktualisiert. Wenn ein Benutzer aus Ihrem internen System gelöscht wird, kann er sich nicht mehr bei Zendesk anmelden. Sein Konto ist aber weiterhin in Zendesk vorhanden.

Wenn Single-Sign-On aktiviert ist, werden standardmäßig nur der Name und die E-Mail-Adresse des Benutzers in Zendesk gespeichert. Kennwörter werden von Zendesk nicht gespeichert. Deshalb sollten Sie alle automatischen E-Mail-Benachrichtigungen, die mit Kennwörtern zu tun haben, in Zendesk ausschalten.

Um ein besseres Kundenerlebnis zu gewährleisten, sollten Sie aber mehr Benutzerdaten in Zendesk speichern als nur den Namen und die E-Mail-Adresse. Weitere Informationen finden Sie unter Erfassen zusätzlicher Benutzerdaten.

Deaktivieren von Kennwort-E-Mails in Zendesk

Für jeden neuen Benutzer, der über SAML, JWT oder OpenID Connect (OIDC) auf Ihr Zendesk-Konto zugreift, wird ein Zendesk-Benutzerprofil erstellt. Das Profil wird ohne Kennwort erstellt, da Benutzer über einen IdP mit einem nicht von Zendesk vergebenen Kennwort authentifiziert werden und sich deshalb nicht bei direkt bei Zendesk anmelden müssen.

Da neue Benutzer, die sich per SSO bei Zendesk anmelden, durch einen IdP bestätigt werden, erhalten sie keine E-Mail-Benachrichtigungen für die Verifizierung ihres Kontos. Sie sollten diese automatisierten E-Mail-Benachrichtigungen trotzdem deaktivieren, um zu verhindern, dass sie bei einer nicht erfolgreichen Bestätigung des Benutzers durch den IdP gesendet werden. Bei einer SSO-Anmeldung muss der Benutzer immer durch den IdP bestätigt werden.

So schalten Sie Kennwortbenachrichtigungen per E-Mail aus

  1. Klicken Sie in der Seitenleiste des Admin Centers auf Personen und dann auf Konfiguration > Endbenutzer.
  2. Deaktivieren Sie im Abschnitt Konto-E‑Mails die Option Willkommens-E-Mail auch dann senden, wenn ein neuer Benutzer von einem Agenten oder Administrator erstellt wird.
  3. Deaktivieren Sie die Option Benutzer dürfen ihr Kennwort ändern.

Wechseln der Authentifizierungsmethode

Wenn Sie Benutzer in Zendesk über die SSO-Methode eines Drittanbieters erstellen und authentifizieren und später zur Zendesk-Authentifizierung wechseln, haben diese Benutzer kein Kennwort für die Anmeldung. Sie können sich erst wieder anmelden, nachdem sie ihr Kennwort auf der Zendesk-Anmeldeseite zurückgesetzt haben.

Worksheet zur technischen Implementierung

Dieser Abschnitt ist für das Team gedacht, das für das SAML-Authentifizierungssystem des Unternehmens zuständig ist. Er enthält wichtige Informationen zur Implementierung des SSO über SAML in Zendesk.

Behandelte Themen:

  • Erforderliche Benutzerdaten für die Identifizierung des zu authentifizierenden Benutzers
  • Konfigurieren des Identity Providers für Zendesk
  • Konfigurieren des SAML-Servers für Zendesk
  • Mit den Remote-Login- und Remote-Logout-URLs zurückgegebene Parameter
  • Umleiten von Benutzern nach der Authentifizierung mit RelayState
  • Behebung von Fehlern in der SAML-Konfiguration für Zendesk

Erforderliche Benutzerdaten für die Identifizierung des zu authentifizierenden Benutzers

Beim Implementieren von SAML-basierten SSO-Zugriff auf Zendesk-Konten geben Sie bestimmte Benutzerdaten an, die zur Identifizierung des zu authentifizierenden Benutzers verwendet werden.

In diesen Themen wird beschrieben, welche Daten Sie bereitstellen müssen:

  • Angeben der E-Mail-Adresse des Benutzers in der NameID des SAML Subject
  • Angeben von zwei erforderlichen Benutzerattributen in der SAML Assertion

Angeben der E-Mail-Adresse des Benutzers in der NameID des SAML Subject

Zendesk nutzt E-Mail-Adressen zur eindeutigen Identifizierung von Benutzern. Sie sollten die E-Mail-Adresse des Benutzers in der NameID des SAML Subject angeben.

Beispiel:

 <saml:Subject>
      <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">stevejobs@yourdomain.com</saml:NameID>
      <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <saml:SubjectConfirmationData NotOnOrAfter="2014-04-23T21:42:47.412Z"/>
      </saml:SubjectConfirmation>
    </saml:Subject>

Wenn die Attribute „givenname“ und „surname“ nicht bereitgestellt werden, verwendet Zendesk den Benutzernamen der im Element angegebenen E-Mail-Adresse als Namen des Benutzers. Der Benutzername ist der erste Teil einer E-Mail-Adresse vor dem @-Symbol.

Wenn der Benutzername der E-Mail-Adresse einen Punkt enthält, wird er als Vor- und Nachname gelesen. Enthält er keinen Punkt, so wird als Name des Benutzers in Zendesk der gesamte Benutzername verwendet. Wenn die E-Mail-Adresse beispielsweise stanley.yelnats@ihredomäne.com lautet, wird der Name des Benutzers in Zendesk als Stanley Yelnats gespeichert; lautet die E-Mail-Adresse hingegen stanleyyelnats@ihredomäne.com, so speichert Zendesk ihn als Stanleyyelnats.

Hinweis: Wenn Sie Microsoft Entra SSO einrichten, stellen Sie sicher, dass die Angabe „Name“ auf das Feld verweist, in dem die Anmelde-E-Mail-Adressen Ihrer Benutzer gespeichert sind. In der Regel ist dieser Wert user.mail, aber Ihre Konfiguration ist möglicherweise anders.

Angeben von zwei erforderlichen Benutzerattributen in der SAML Assertion

Wenn Sie die Attribute givenname und surname angeben, müssen Sie den vollständigen Namensraum und nicht die benutzerfreundlichen Namen verwenden. Wenn der benutzerfreundliche Name beispielsweise „surname“ lautet, müssen Sie als Attributwert http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname verwenden.

Konzept Attribut Beschreibung Beispielwert
first name givenname Der Vorname des Benutzers. Sie müssen den vollständigen Namensraum für dieses Attribut angeben. 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
last name surname Der Nachname des Benutzers. Der Benutzer in Zendesk wird entsprechend diesem Vor- und Nachnamen erstellt oder aktualisiert. (siehe Beispiel unten). Sie müssen den vollständigen Namensraum für dieses Attribut angeben. 
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

Beispiel für Vor- und Nachname:

<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
 <saml:AttributeValue xsi:type="xs:anyType">James</saml:AttributeValue>
 </saml:Attribute>
 <saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
 <saml:AttributeValue xsi:type="xs:anyType">Dietrich</saml:AttributeValue>
 </saml:Attribute>

Zendesk unterstützt auch zusätzliche Benutzerattribute. Welche Daten in Zendesk Support erforderlich ist, erfahren Sie von Ihrem Zendesk Support-Administrator.

Erfassen zusätzlicher Benutzerdaten

Die einzigen Benutzerangaben, die Zendesk von Ihrem Authentifizierungssystem benötigt, sind der Vor- und Nachname sowie die E-Mail-Adresse des Benutzers. Vorname und Nachname sind die einzigen Attributnamen, die Sie verwenden sollten, um Informationen zum Namen eines Benutzers zu erfassen. Wenn Sie zusätzliche Benutzerdaten erfassen möchten, bitten Sie Ihr IT-Team, Benutzerattribute zu den SAML Assertions hinzuzufügen, die der Identity Provider bei der Anmeldung an Zendesk sendet.

Eine SAML Assertion enthält eine oder mehrere Aussagen über den Benutzer. Eine solche Aussage ist die eigentliche Autorisierungsentscheidung, d. h. ob dem Benutzer Zugriff gewährt wurde oder nicht. Eine weitere Aussage enthält die Attribute, die den angemeldeten Benutzer beschreiben.

Zendesk unterstützt die folgenden zusätzlichen Benutzerattribute für angemeldete Benutzer. Definieren Sie Ihre Datenanforderungen in Zendesk Support und bitten Sie dann Ihr IT-Team, die entsprechenden Benutzerattribute zu den SAML Assertions hinzuzufügen. Beachten Sie, dass Zendesk diese zusätzlichen Benutzerattribute nur erkennt, wenn Sie in der Attributanweisung der Assertion die in der unten stehenden Tabelle aufgeführten Attributnamen verwenden. Wenn Sie versuchen, den vollständigen Namensraum zu verwenden, werden die Attribute ignoriert.
Attribut Beschreibung
organization Name oder ID einer Organisation, zu der der Benutzer hinzugefügt wird. Das Attribut „external_id“ einer Organisation wird nicht unterstützt. Wenn die Organisation in Zendesk nicht vorhanden ist, wird sie nicht erstellt. Der Benutzer selbst wird zwar erstellt, aber zu keiner Organisation hinzugefügt.
organizations Durch Kommas getrennte Werte wie org1, org2, org3
organization_id

Die externe ID der Organisation in der Zendesk-API. Wenn sowohl „organization“ als auch „organization_id“ angegeben werden, wird „organization“ ignoriert.

Beispiel: 134211213

Wenn Sie mehrere Organisations-IDs gleichzeitig übergeben möchten, verwenden Sie stattdessen das Attribut „organization_ids“. Die Organisations-IDs müssen in einer fortlaufenden Zeichenfolge mit Kommas als Trennzeichen übergeben werden.
organization_ids

Die externe ID der Organisation in der Zendesk-API. Verwenden Sie dieses Attribut, wenn Sie mehrere Organisations-IDs gleichzeitig übergeben. Wenn sowohl „organizations“ als auch „organization_ids“ angegeben werden, wird „organization“ ignoriert.

Beispiel: Durch Kommas getrennte Werte wie 23423433, 234324324, 23432
phone Eine Telefonnummer als Zeichenfolge.
tags Stichwörter für den Benutzer. Diese Stichwörter ersetzen die evtl. bereits im Benutzerprofil vorhandenen Stichwörter.
remote_photo_url URL eines Fotos für das Benutzerprofil.
locale (für Agenten)

locale_id (für Endbenutzer)

 Das Gebietsschema in Zendesk als Zahl. Die gültigen Werte finden Sie in der API-Dokumentation unter Locales (Englisch).
role Rolle des Benutzers. Kann auf end-user, agent oder admin gesetzt werden. Die Standardeinstellung lautet end-user.
custom_role_id Nur zutreffend, wenn der Wert des Attributs role oben agent lautet. Die IDs Ihrer angepassten Rollen können Sie mit der Custom Roles API ermitteln.
external_id Eine Benutzer-ID aus Ihrem System, wenn Ihre Benutzer anhand eines anderen Werts als der E-Mail-Adresse eindeutig identifiziert werden oder die Möglichkeit besteht, dass sich ihre E-Mail-Adresse ändert. Geben Sie die ID als String an.
user_field_<key> Wert für ein angepasstes Benutzerfeld in Zendesk Support. Weitere Informationen finden Sie unter Hinzufügen von angepassten Feldern zu Benutzern. <key> ist der Feldschlüssel des angepassten Benutzerfelds in Zendesk Support. Beispiel: user_field_employee_number, wobei employee_number der Feldschlüssel in Zendesk ist. Wenn Sie einen Nullwert oder eine leere Zeichenfolge im Attributwert übergeben, wird der Wert des angepassten Felds in Zendesk Support gelöscht.
Zendesk unterstützt auch eine Reihe von InCommon Federation-Attributen zur Festlegung von Benutzerattributen während der Anmeldung. Bei Federation-Attributen sollten Sie den vollständigen Namensraum mit dem Attributnamen und nicht nur den benutzerfreundlichen Namen angeben. Beispiele:
Benutzerfreundlicher Name Formeller Name (SAML2)
ou (Organisationseinheit) urn:oid:2.5.4.11
displayName urn:oid:2.16.840.1.113730.3.1.241

Konfigurieren des Identity Providers für Zendesk

Die folgenden Attribute sind zur Angabe des Identity Providers erforderlich:
Attribut Wert
entityID https://meinesubdomäne.zendesk.com
AudienceRestriction meinesubdomäne.zendesk.com

Ersetzen Sie in beiden Werten den Platzhalter meinesubdomäne durch Ihre Zendesk Support-Subdomäne. Wenn Sie nicht sicher sind, fragen Sie Ihren Zendesk-Administrator.

Zendesk erzwingt das Attribut AudienceRestriction.

Hinweis: Wenn Sie Microsoft Entra SSO einrichten, müssen Sie möglicherweise https://meinesubdomäne.zendesk.com oder meinesubdomäne.zendesk.com (ohne das Präfix https://) als Entity-ID-Wert verwenden.

Konfigurieren des SAML-Servers für Zendesk

Manche SAML-Server erfordern möglicherweise die folgenden Informationen, wenn Sie eine Integration mit Zendesk konfigurieren:

  • URL für Access Consumer Service (ACS): Geben Sie https://meinesubdomäne.zendesk.com/access/saml an (auf Groß- und Kleinschreibung achten!), wobei „meinesubdomäne“ für Ihre Zendesk Support-Subdomäne steht.

  • Umleitung zu SAML-Single-Sign-on-URL: Verwenden Sie HTTP POST.

  • Hashing-Algorithmus (ADFS): Bei Verwendung der Active Directory Federation Services (ADFS) unterstützt Zendesk den SHA-2-Algorithmus.

Mit den Remote-Login- und Remote-Logout-URLs zurückgegebene Parameter

Wenn Benutzer an Ihr Authentifizierungssystem umgeleitet werden, hängt Zendesk die folgenden Parameter an die Remote-Login- und Remote-Logout-URLs an.

Parameter in Remote-Login-URL
Attribut Beschreibung
brand_id Die Marke des Help Centers, in dem sich der Benutzer beim Anmeldeversuch befand. Weitere Informationen finden Sie unter Erstellen eines Help Centers für eine bestimmte Marke.
Parameter in Remote-Logout-URL
Attribut Beschreibung
email E-Mail-Adresse des Benutzers, der sich abmeldet.
external_id Eindeutige Kennung aus Ihrem System; im Zendesk-Benutzerprofil gespeichert.
brand_id Die Marke des Help Centers, in dem sich der Benutzer beim Abmelden befand. Weitere Informationen finden Sie unter Erstellen eines Help Centers für eine bestimmte Marke.

Wenn E-Mail-Adresse und externe ID nicht in der Logout-URL übergeben werden sollen, bitten Sie Ihren Zendesk-Administrator, in der Admin-Oberfläche im Feld Remote-Logout-URL leere Parameter anzugeben. Weitere Informationen finden Sie unter Aktivieren von SSO über SAML . Beispiel: https://www.ihredomäne.com/user/signout/?email=&external_id=.

Umleiten von Benutzern nach der Authentifizierung mit RelayState

RelayState ist ein Parameter, mit dem der Status der ursprünglichen Anforderung während des gesamten SSO-Prozesses beibehalten wird. Er gibt die ursprüngliche URL an, auf die der Benutzer vor Beginn des SSO-Prozesses zuzugreifen versuchte. Nach Abschluss des SSO-Prozesses können Sie den Benutzer an die RelayState-URL weiterleiten, um ein nahtloses Benutzererlebnis zu gewährleisten.

Der Parameter RelayState ist in SAML optional. Wenn Sie ihn in Ihrer Anforderung nicht verwenden, wird der Benutzer je nach Benutzertyp an den Standardort weitergeleitet.

  • Für Agenten ist dies das Agenten-Dashboard in Zendesk Support,
  • für Endbenutzer die Homepage des Help Centers Ihrer Standardmarke.

Wenn ein Benutzer auf einen Zendesk-Link zugreift, bei dem eine Anmeldung erforderlich ist, und Sie SAML verwenden, leitet Zendesk den Benutzer an die von Ihnen eingerichtete SSO-Konfiguration weiter und übergibt die URL, von der der Benutzer kam, im Parameter RelayState.

Beispiel:

https://zendesk.okta.com/app/zendesk/exladafgzkYLwtYra2r7/sso/saml?RelayState=https%3A%2F%2Fyoursubdomain.zendesk.com%2Fagent%2Ffilters%2F253389123456&brand_id=361234566920&SAMLRequest=[samlloginrequesthere]

Fügen Sie beim Erstellen der SAML-Authentifizierungsanforderung den Parameter RelayState hinzu und setzen Sie seinen Wert auf die von Zendesk in der SAML-Antwort gesendete URL.

Im folgenden Beispiel werden Benutzer über den Parameter RelayState zu https://yoursubdomain.zendesk.com/agent/filters/253389123456 weitergeleitet:

SAMLResponse=[SAMLpayloadhere]&RelayState=https%3A%2F%2Fyoursubdomain.zendesk.com%2Fagent%2Ffilters%2F253389123456

Behebung von Fehlern in der SAML-Konfiguration für Zendesk

Dies sind die SAML 2.0-Metadaten von Zendesk:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<EntityDescriptor entityID="https://yoursubdomain.zendesk.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
    <SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
        <AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yoursubdomain.zendesk.com/access/saml"/> <!-- Note: replace 'accountname' with your Zendesk subdomain -->
    </SPSSODescriptor>
</EntityDescriptor>

Zendesk erwartet eine SAML Assertion, die wie folgt aussieht: 

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="s2202bbbb
afa9d270d1c15990b738f4ab36139d463" InResponseTo="_e4a78780-35da-012e-8ea7-005056
9200d8" Version="2.0" IssueInstant="2011-03-21T11:22:02Z" Destination="https://yoursubdomain.zendesk.com/access/saml">
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">myidp.entity.id
    </saml:Issuer>
    <samlp:Status xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
        <samlp:StatusCode  xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
Value="urn:oasis:names:tc:SAML:2.0:status:Success">

Hinweis: Ersetzen Sie „accountname“ im Attribut Destination durch Ihre Zendesk-Subdomäne.

Zendesk erwartet, dass Benutzerattribute in der Attributanweisung einer Assertion () angegeben werden. Siehe folgendes Beispiel: 

<saml:AttributeStatement>
  <saml:Attribute Name="organization">
    <saml:AttributeValue xsi:type="xs:string">Acme Rockets</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="tags">
    <saml:AttributeValue xsi:type="xs:string">tag1 tag2</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="phone">
    <saml:AttributeValue xsi:type="xs:string">555-555-1234</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="role">
    <saml:AttributeValue xsi:type="xs:string">agent</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="custom_role_id">
    <saml:AttributeValue xsi:type="xs:string">12345</saml:AttributeValue>
  </saml:Attribute>
 </saml:AttributeStatement>

In der Tabelle im Abschnitt Erfassen zusätzlicher Benutzerdaten weiter oben finden Sie die Namen der von Zendesk unterstützten Benutzerattribute zusammen mit einer Beschreibung. Beachten Sie, dass der vollständige Namensraum für optionale Benutzerattribute nicht unterstützt wird.

Powered by Zendesk