OpenID Connect (OIDC) ist ein Authentifizierungsprotokoll, das auf dem OAuth 2.0 Framework basiert. Es bietet Entwicklern eine sichere und standardisierte Möglichkeit, Benutzer zu authentifizieren und grundlegende Profilinformationen abzurufen. OIDC nutzt ID-Token, um die Identität von Benutzern anhand der von einem Autorisierungsserver durchgeführten Authentifizierung zu bestätigen. Das vereinfacht die Verwaltung der Benutzeridentitäten und erhöht die Sicherheit der Interaktionen zwischen Benutzern und Anwendungen.
OIDC Single-Sign-On (SSO) mit Zendesk optimiert den Authentifizierungsprozess, da sich die Benutzer über einen zentralen Identity Provider (IdP) wie Google oder Okta anmelden können und keine separaten Anmeldedaten für Zendesk verwalten müssen.
Verwandte Beiträge:
Wie SSO über OIDC in Zendesk funktioniert
SSO über OIDC ermöglicht einem Benutzer, sich gegenüber einem IdP über ein Standardprotokoll zu authentifizieren. Nach der Authentifizierung stellt der IdP ein ID-Token für die Bestätigung der Identität und der Zugriffsberechtigungen des Benutzer aus.
Ablauf des Zendesk SSO-Prozesses über OIDC:
- Nicht authentifizierte Benutzer werden zu Ihrer Zendesk Support-URL geführt. Beispiel: https://meinesubdomäne.zendesk.com/.
- Je nach Ihrem Anmeldevorgang klickt der Benutzer entweder auf eine SSO-Anmeldeschaltfläche auf der Zendesk-Anmeldeseite und gelangt zu Ihrem IdP, oder er wird automatisch zu Ihrem IdP weitergeleitet, um sich dort anzumelden.
- Nach der Authentifizierung des Benutzers generiert der IdP ein ID-Token, das benutzerspezifische Informationen enthält.
- Das Token wird an Zendesk zurückgesendet und dort anhand der zwischen Zendesk und dem IdP ausgetauschten Konfigurationsdetails validiert.
- Nach der Validierung gewährt Zendesk dem Benutzer auf Grundlage des vom IdP aufgebauten Vertrauens Zugang.
Wichtige Überlegungen
- Wenn Sie Probleme haben, sich über OIDC SSO bei Zendesk anzumelden, liegt das Problem wahrscheinlich bei Ihrem Identitätsanbieter (IdP) und dessen Konfiguration. Wenden Sie sich unbedingt an Ihren Systemadministrator oder Ihr IT-Team, um die IdP-Konfiguration zu überprüfen und die Anforderungen zu ermitteln.
- Die Benutzerauthentifizierung über OIDC ist in Messaging nicht möglich.
- Bei Zendesk muss mit jedem Benutzerprofil eine E-Mail-Adresse verknüpft sein. Es kann aber vorkommen, dass ein Benutzer versucht, sich ohne E-Mail-Adresse anzumelden. In diesem Fall zeigt Zendesk eine Fehlermeldung an, um eine Schleife zu vermeiden, in der die Authentifizierung wegen einer fehlenden E-Mail-Adresse fehlschlägt.
- Wenn Sie OIDC mit Entra verwenden möchten, müssen Sie einige spezifische Anforderungen konfigurieren.
- Der Authentifizierungsmodus muss auf PKCE eingestellt sein.
- Fügen Sie die Abruf-URL im Entra OIDC PKCE-Konfigurationsformular unter Mobile and desktop applications – Redirect URIs hinzu.
Erstellen der OIDC SSO-Konfiguration
Administratoren können OIDC-Single-Sign-On wahlweise nur für Endbenutzer, nur für Teammitglieder (einschließlich Light Agents und Mitwirkende) oder für beide Gruppen aktivieren. Sie können mehrere Konfigurationen für SSO über OIDC erstellen.
Die für diesen Schritt erforderlichen Informationen müssen von Ihrem IdP bereitgestellt werden. Stellen Sie deshalb sicher, dass Ihr IdP eingerichtet ist, bevor Sie mit der Konfiguration beginnen. Möglicherweise müssen Sie die Informationen beim IT-Team Ihres Unternehmens anfordern.
So erstellen Sie die OIDC SSO-Konfiguration in Zendesk
- Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Single-Sign-On.
- Klicken Sie auf SSO-Konfiguration erstellen und dann auf OpenID Connect.
- Geben Sie einen eindeutigen Konfigurationsnamen ein.
- (Optional) Geben Sie im Feld IP-Bereiche eine Liste von IP-Bereichen ein, damit Benutzer an die entsprechende Anmeldeseite umgeleitet werden können.
Benutzer, die eine Anforderung von einer Adresse innerhalb der angegebenen IP-Bereiche aus einreichen, werden an das Remote-OIDC-Authentifizierungsformular weitergeleitet. Benutzer, die eine Anforderung von einer Adresse außerhalb der angegebenen IP-Bereiche aus einreichen, werden an das standardmäßige Zendesk-Anmeldeformular weitergeleitet. Wenn Sie keinen IP-Bereich angeben, werden alle Benutzer an das Remote-Authentifizierungsformular umgeleitet.
- Geben Sie in das Feld Client-ID die von Ihrem IdP zugeteilte Client-ID ein.
- Geben Sie das Client-Geheimnis ein, wenn dies von Ihrem IdP verlangt wird.
Da das Client-Geheimnis geheim gehalten werden muss, wird es nach dem Speichern nicht mehr vollständig angezeigt. Wenn Sie das Geheimnis rotieren müssen, geben Sie ein neues Geheimnis in diese SSO-Konfiguration ein und speichern Sie es.
- Listen Sie im Feld Zugriffsart alle Zugriffsarten auf, die Sie vom IdP anfordern möchten. Sie müssen mindestens
openid
undemail
hinzufügen. Zugriffsarten werden durch Leerzeichen und nicht durch Kommas getrennt eingegeben. Beispiel:openid email phone
Der OIDC-Standard unterstützt die Zugriffsarten
openid
,profile
,email
,address
undphone
. Darüber hinaus können Sie angepasste Zugriffsarten auflisten, die bei Ihrem IdP konfiguriert wurden.Nicht akzeptierte Zugriffsarten werden von Ihrem IdP zurückgewiesen und führen dazu, dass die Anmeldung fehlschlägt und die Fehlermeldung
Unknown error during sign-in
angezeigt wird. Zendesk überprüft die in diesem Feld angegebenen Zugriffsarten nicht. - Wenn Sie nur die Aussteller-URL angeben möchten, wählen Sie Automatische Erkennung aktivieren. Diese Option bewirkt, dass Zendesk die Konfigurationsdaten automatisch aus dem OIDC-Konfigurationsdokument extrahiert. Sie müssen nur die Aussteller-URL und den Authentifizierungsmodus angeben.
- Geben Sie die erforderlichen URLs ein.
Prüfen Sie, ob Ihr IdP ein bestimmtes Format für die verwendeten URLs vorschreibt. Wenn die URLs falsch formatiert sind und von Ihrem IdP abgelehnt werden, kann die Anmeldung mit der Fehlermeldung
Unknown error during sign-in
fehlschlagen. Zendesk validiert die URLs in diesen Feldern nicht.- Aussteller-URL (wird auch als Aussteller-ID bezeichnet): Eine eindeutige Kennung des IdP, der die Benutzerauthentifizierung durchführt und die ID-Token ausstellt.
- UserInfo-URL: Ein vom IdP bereitgestellter Endpunkt, der beim Zugriff mit einem gültigen Zugriffstoken Attribute über den authentifizierten Benutzer zurückgibt.
- URL der JWKs: Ein vom IdP bereitgestellter Endpunkt, über den Zendesk die öffentlichen Schlüssel des Providers abrufen kann. Diese Schlüssel dienen zum Bestätigen der Signatur der vom IdP ausgegebenen JSON Web Token (JWT).
- Autorisierungs-URL: Benutzer, die diese URL aufrufen, werden aufgefordert, sich anzumelden und den angeforderten Zugriffsarten zuzustimmen.
- URL des Zugriffstokens (wird auch als Endpunkt-URL des Tokens bezeichnet): Dient zum Austausch eines Autorisierungscodes, einer Client-ID und eines Client-Geheimnisses für ein Zugriffstoken.
- Wählen Sie einen Authentifizierungsmodus (PKCE empfohlen).
- Öffentliche Clients wie mobile Apps oder JavaScript-Webanwendungen rufen Zugriffstoken am besten über PKCE ab, da in diesem Modus dynamisch generierte Schlüssel verwendet werden, um unberechtigten Token-Austausch zu verhindern, und kein Client-Geheimnis benötigt wird.
- Wählen Sie Autorisierungscode-Fluss, wenn das Zugriffstoken über den Autorisierungscode-Fluss abgerufen werden soll. Dieses Verfahren eignet sich am besten für serverbasierte Apps mit sicherem Backend-Speicher, die Token mittels eines Client-Geheimnisses abrufen.
- Aktivieren Sie das Kontrollkästchen Schaltfläche anzeigen, wenn Benutzer sich anmelden, wenn Ihre Benutzer in der Lage sein sollen, die Art der Anmeldung selbst auszuwählen, und Sie unter anderem diese Konfiguration anbieten möchten. Wenn Sie diese Option wählen, müssen Sie auch den Namen der Schaltfläche angeben, die auf der Zendesk-Anmeldeseite angezeigt werden soll.
Deaktivieren Sie dieses Kontrollkästchen, wenn sich Ihre Benutzer ausschließlich über einen Identity Provider anmelden, da sie die Zendesk-Anmeldeseite in diesem Fall gar nicht zu Gesicht bekommen.
- Klicken Sie auf Speichern.
Standardmäßig sind Enterprise-SSO-Konfigurationen inaktiv. Sie müssen OIDC SSO Benutzern zuweisen, um es zu aktivieren.
Zuweisen von SSO über OIDC zu Benutzern
Nachdem Sie Ihre OIDC SSO-Konfiguration erstellt haben, müssen Sie sie aktivieren, indem Sie sie Endbenutzern und/oder Teammitgliedern zuweisen.
So weisen Sie eine SSO-Konfiguration Teammitgliedern oder Endbenutzern zu
- Öffnen Sie die Sicherheitseinstellungen für Teammitglieder oder Endbenutzer.
- Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Authentifizierung für Teammitglieder.
- Klicken Sie in der Seitenleiste des Admin Centers auf Konto und dann auf Sicherheit > Authentifizierung für Endbenutzer.
- Wählen Sie Externe Authentifizierung, um die Authentifizierungsoptionen anzuzeigen.
- Wählen Sie die Namen der SSO-Konfigurationen aus, die Sie verwenden möchten.
Single-Sign-On deckt möglicherweise nicht alle Anwendungsfälle ab. Deshalb bleibt die Zendesk-Authentifizierung standardmäßig aktiviert.
- Geben Sie an, wie sich die Benutzer anmelden sollen.
Lassen Sie sie wählen bedeutet, dass sich die Benutzer mit jeder aktiven Authentifizierungsmethode anmelden können. Weitere Informationen finden Sie unter Bereitstellen mehrerer Möglichkeiten zur Anmeldung bei Zendesk.
Zu SSO umleiten bedeutet, dass sich Benutzer nur mit der primären SSO-Konfiguration authentifizieren können. Weitere Möglichkeiten der Anmeldung werden nicht angezeigt, auch wenn die betreffenden Authentifizierungsoptionen aktiv sind. Wenn Sie Zu SSO umleiten wählen, wird das Feld Primäres SSO eingeblendet, in dem Sie die primäre SSO-Konfiguration auswählen können.
- Klicken Sie auf Speichern.
Verwalten von Benutzern in Zendesk nach dem Aktivieren von SSO über OIDC
Nachdem Sie OIDC als Single-Sign-On-Mechanismus in Zendesk aktiviert haben, werden außerhalb von Zendesk vorgenommene Änderungen an Benutzern nicht automatisch mit Ihrem Zendesk-Konto synchronisiert. Benutzer werden in Zendesk zum Zeitpunkt der Authentifizierung aktualisiert. Wenn beispielsweise ein Benutzer zu Ihrem internen System hinzugefügt wird, wird er bei seiner Zendesk-Anmeldung auch Ihrem Zendesk-Konto hinzugefügt. Wenn ein Benutzer aus Ihrem internen System gelöscht wird, kann er sich nicht mehr bei Zendesk anmelden. Sein Konto ist aber weiterhin in Zendesk vorhanden.
Wenn Single-Sign-On aktiviert ist, werden standardmäßig nur der Name und die E-Mail-Adresse des Benutzers in Zendesk gespeichert. Kennwörter werden von Zendesk nicht gespeichert. Deshalb sollten Sie alle automatischen E-Mail-Benachrichtigungen, die mit Kennwörtern zu tun haben, in Zendesk ausschalten.
Deaktivieren von Kennwort-E-Mails in Zendesk
Für jeden neuen Benutzer, der über SAML, JWT oder OpenID Connect (OIDC) auf Ihr Zendesk-Konto zugreift, wird ein Zendesk-Benutzerprofil erstellt. Das Profil wird ohne Kennwort erstellt, da Benutzer über einen IdP mit einem nicht von Zendesk vergebenen Kennwort authentifiziert werden und sich deshalb nicht bei direkt bei Zendesk anmelden müssen.
Da neue Benutzer, die sich per SSO bei Zendesk anmelden, durch einen IdP bestätigt werden, erhalten sie keine E-Mail-Benachrichtigungen für die Verifizierung ihres Kontos. Sie sollten diese automatisierten E-Mail-Benachrichtigungen trotzdem deaktivieren, um zu verhindern, dass sie bei einer nicht erfolgreichen Bestätigung des Benutzers durch den IdP gesendet werden. Bei einer SSO-Anmeldung muss der Benutzer immer durch den IdP bestätigt werden.
So schalten Sie Kennwortbenachrichtigungen per E-Mail aus
- Klicken Sie in der Seitenleiste des Admin Centers auf Personen und dann auf Konfiguration > Endbenutzer.
- Deaktivieren Sie im Abschnitt Konto-E‑Mails die Option Willkommens-E-Mail auch dann senden, wenn ein neuer Benutzer von einem Agenten oder Administrator erstellt wird.
- Deaktivieren Sie die Option Benutzer dürfen ihr Kennwort ändern.
Wechseln der Authentifizierungsmethode
Wenn Sie Benutzer in Zendesk über die SSO-Methode eines Drittanbieters erstellen und authentifizieren und später zur Zendesk-Authentifizierung wechseln, haben diese Benutzer kein Kennwort für die Anmeldung. Sie können sich erst wieder anmelden, nachdem sie ihr Kennwort auf der Zendesk-Anmeldeseite zurückgesetzt haben.
Von Zendesk unterstützte Attribute
-
Standardattribute sind vordefinierte, allgemein akzeptierte Attribute, die durch das OIDC-Protokoll spezifiziert werden und die Benutzeridentität über verschiedene Systeme hinweg vereinheitlichen. Zendesk unterstützt die folgenden Standardattribute:
sub
,email
,email_verified
undlocale
. - Angepasste Attribute sind zusätzliche Attribute, die die Standardattribute erweitern, um Zendesk-spezifische Anforderungen zu erfüllen. Sie können im ID-Token oder in userinfo-Claims übergeben werden.
Die folgende Tabelle zeigt eine vollständige Liste der von Zendesk unterstützten standardmäßigen und angepassten Attribute.
Attribut | Beschreibung |
---|---|
name | Vor- und Nachname des Benutzers in darstellbarer Form mit allen Namensbestandteilen, Titeln und Suffixen in der durch sein Gebietsschema und seine Einstellungen festgelegten Reihenfolge. |
Primäre E-Mail-Adresse des Benutzers. | |
email_verified | True, wenn die E-Mail-Adresse des Benutzers bestätigt wurde, andernfalls False. True bedeutet, dass der OpenID Provider sich vergewissert hat, dass sich die E-Mail-Adresse zum Zeitpunkt der Bestätigung im Besitz des Benutzers befand. Wenn Sie bei Zendesk SSO verwenden, sind Sie für die Bestätigung der E-Mail-Adressen Ihrer Benutzer verantwortlich. |
organization | Name oder ID einer Organisation, zu der der Benutzer hinzugefügt wird. Das Attribut „external_id“ einer Organisation wird nicht unterstützt. Wenn die Organisation in Zendesk nicht vorhanden ist, wird sie nicht erstellt. Der Benutzer selbst wird zwar erstellt, aber zu keiner Organisation hinzugefügt. |
organizations | Durch Kommas getrennte Werte wie org1 , org2 , org3
|
organization_id |
Die externe ID der Organisation in der Zendesk-API. Wenn sowohl „organization“ als auch „organization_id“ angegeben werden, wird „organization“ ignoriert. Beispiel: Wenn Sie mehrere Organisations-IDs gleichzeitig übergeben möchten, verwenden Sie stattdessen das Attribut „organization_ids“. Die Organisations-IDs müssen in einer fortlaufenden Zeichenfolge mit Kommas als Trennzeichen übergeben werden. |
organization_ids |
Die externe ID der Organisation in der Zendesk-API. Verwenden Sie dieses Attribut, wenn Sie mehrere Organisations-IDs gleichzeitig übergeben. Wenn sowohl „organizations“ als auch „organization_ids“ angegeben werden, wird „organization“ ignoriert. Beispiel: Durch Kommas getrennte Werte wie |
phone | Eine Telefonnummer als Zeichenfolge. |
tags | Stichwörter für den Benutzer. Diese Stichwörter ersetzen die evtl. bereits im Benutzerprofil vorhandenen Stichwörter. |
remote_photo_url | URL eines Fotos für das Benutzerprofil. |
locale (für Agenten) locale_id (für Endbenutzer) |
Das Gebietsschema in Zendesk als Zahl. Die gültigen Werte finden Sie in der API-Dokumentation unter Locales (Englisch). |
zendesk_role | Rolle des Benutzers. Kann auf end-user, agent oder admin gesetzt werden. Wenn Sie kein zendesk_role-Attribut übergeben, erstellt Zendesk den Benutzer als Endbenutzer, sofern er nicht bereits mit einer anderen Rolle existiert. |
custom_role_id | Nur zutreffend, wenn der Wert des Attributs role oben agent lautet. Sie können die IDs Ihrer angepassten Rollen mit der Custom Roles API abrufen. |
external_id | Eine Benutzer-ID aus Ihrem System, wenn Ihre Benutzer anhand eines anderen Werts als der E-Mail-Adresse eindeutig identifiziert werden oder die Möglichkeit besteht, dass sich ihre E-Mail-Adresse ändert. Geben Sie die ID als String an. |
user_field_<key> | Wert für ein angepasstes Benutzerfeld in Zendesk Support. Weitere Informationen finden Sie unter Hinzufügen von angepassten Feldern zu Benutzern. <key> ist der Feldschlüssel des angepassten Benutzerfelds in Zendesk Support. Beispiel: user_field_employee_number , wobei employee_number der Feldschlüssel in Zendesk ist. Wenn Sie einen Nullwert oder eine leere Zeichenfolge im Attributwert übergeben, wird der Wert des angepassten Felds in Zendesk Support gelöscht. |