Configuración del inicio de sesión único usando Active Directory con ADFS y SAML – Ayuda de Zendesk

Disponible en todos los planes de Zendesk Suite

Descargo de responsabilidad: Este artículo se ofrece con fines de instrucción únicamente. Zendesk no ofrece soporte para el código ni lo garantiza. Publique cualquier problema que tenga en la sección de comentarios o intente buscar una solución en Internet.

Zendesk admite el inicio de sesión único (SSO) a través de SAML 2.0. Un proveedor de identidad (IDP) para SAML 2.0 puede adoptar muchas formas, y una de ellas es el servidor Active Directory Federation Services (ADFS) autohospedado. El ADFS es un servicio que ofrece Microsoft como un rol estándar para Windows Server con un inicio de sesión web mediante las credenciales existentes de Active Directory.

Requisitos

A fin de utilizar el ADFS para iniciar sesión en su instancia de Zendesk, necesita los siguientes componentes:

Una instancia Active Directory en la que todos los usuarios tengan un atributo de dirección de correo electrónico.
Una instancia de Zendesk.
Un servidor que ejecute Microsoft Server 2012 o 2008. En esta guía, se utilizan capturas de pantalla del servidor 2012R2, pero se pueden seguir pasos similares en otras versiones.
Un certificado SSL para firmar su página de inicio de sesión ADFS y la huella digital para ese certificado.
Si está usando el mapeo de host en su instancia de Zendesk, un certificado instalado para SSL alojado.

Una vez cumplidos los requisitos anteriores, tiene que instalar el ADFS en su servidor. La configuración e instalación del ADFS va más allá del ámbito de esta guía, pero se explica con gran detalle en un artículo de la base de conocimientos de Microsoft.

Cuando haya completado la instalación del ADFS, apunte el valor del URL de 'SAML 2.0/W-Federation' en la sección “ADFS Endpoints”. Si elige la opción predeterminada de la instalación, el valor será '/adfs/ls/'.

Paso 1 - Agregar una relación de confianza para usuario autenticado

En este momento, ya debería estar listo para configurar la conexión ADFS con su cuenta de Zendesk. La conexión entre ADFS y Zendesk se define a través de una relación de confianza para usuario autenticado (RPT, Relying Party Trust).

Seleccione la carpeta Relying Party Trusts del AD FS Management y agregue una nueva Standard Relying Party Trust en la barra lateral Actions. Con esto se inicia el asistente para la configuración de la nueva relación de confianza.

En la pantalla Select Data Source, seleccione la última opción, Enter Data About the Party Manually.
En la siguiente pantalla, en Display name escriba un nombre que vaya a reconocer fácilmente en un futuro y cualquier comentario que desee agregar.
En la siguiente pantalla, seleccione el botón de opción ADFS FS profile.
En la siguiente pantalla, deje los valores predeterminados del certificado.
En la siguiente pantalla, seleccione la casilla Enable Support for the SAML 2.0 WebSSO protocol. El URL de servicio será https://subdomain.zendesk.com/access/saml, reemplazando subdomain con su subdominio de Zendesk. Observe que no existe una barra al final del URL.
En la siguiente pantalla, agregue un Relying party trust identifier de subdomain.zendesk.com, reemplazando subdomain con su subdominio de Zendesk.

Nota: Si escribe subdomain.zendesk.com, y recibe un error de solicitud, es posible que tenga que introducir su subdominio como https://subdomain.zendesk.com.
En la siguiente pantalla, puede configurar la autenticación de varios factores (algo que no está dentro del ámbito de esta guía).
En la siguiente pantalla, seleccione el botón de opción Permit all users to access this relying party.
En las siguientes dos pantallas, el asistente mostrará información general de todas las opciones seleccionadas. En la última pantalla, seleccione el botón Close para salir y abrir el editor Claim Rules.

Paso 2 - Crear las reglas de notificación

Una vez creada la relación de confianza para usuario autenticado (RPT), puede crear las reglas de notificación y, además, actualizar la relación con cambios menores no definidos por el asistente. De manera predeterminada, el editor de reglas de notificación se abre cuando se termina de crear la relación de confianza. Si desea mapear valores adicionales más allá de la autenticación, consulte nuestra documentación.

Para crear una nueva regla, haga clic en Add Rule. Cree una regla Send LDAP Attributes as Claims.
En la siguiente pantalla, utilice Active Directory como almacén de atributos y haga lo siguiente:
1. En la columna LDAP Attribute, seleccione E-Mail Addresses.
2. En Outgoing Claim Type, seleccione E-Mail Address.
Haga clic en OK para guardar la nueva regla.
Cree otra regla haciendo clic en Add Rule, y esta vez seleccione Transform an Incoming Claim como plantilla.
En la siguiente pantalla:
1. Seleccione E-mail Address como el Incoming Claim Type.
2. Para Outgoing Claim Type, seleccione Name ID.
3. Para Outgoing Name ID Format, seleccione Email.
Deje la regla con el valor predeterminado de Pass through all claim values.
Por último, haga clic en OK para crear la regla de notificación y haga clic en OK de nuevo para finalizar la creación de reglas.

Paso 3 - Ajustar las opciones de la relación de confianza

Ahora tendrá que ajustar algunas opciones de la relación de confianza para usuario autenticado. Para tener acceso a estas opciones, seleccione Properties en la barra lateral Actions mientras tiene seleccionada la RPT.

En la pestaña Advanced, asegúrese de tener especificado SHA-256 como algoritmo de hash seguro.
En la pestaña Endpoints, haga clic en add SAML para agregar un extremo nuevo.
Para Endpoint type, seleccione SAML Logout.
Para Binding, elija POST.
Para Trusted URL, cree un URL con estos datos:
1. La dirección web de su servidor ADFS
2. El extremo ADFS SAML que anotó anteriormente
3. La cadena '?wa=wsignout1.0'
El URL debería ser algo parecido a esto: https://sso.sudominio.tld/adfs/ls/?wa=wsignout1.0.
Confirme sus cambios haciendo clic en OK en el extremo y en las propiedades de la RPT. Ahora debe tener una relación de confianza para usuario autenticado (RPT) para Zendesk.

Nota: Su instancia de ADFS puede tener configuradas opciones de seguridad que exijan completar todas las propiedades de Federation Services y publicarlas en los metadatos. Consulte con su equipo para ver si esto se aplica en su instancia. Si este fuera el caso, asegúrese de marcar la casilla Publish organization information in federation metadata.

Paso 4 - Configurar Zendesk

Después de configurar ADFS, necesita configurar su cuenta de Zendesk para hacer la autenticación con SAML. Siga los pasos que se describen en Activación del inicio de sesión único con SAML. Utilizará el URL del servidor ADFS completo con el extremo de SAML como el URL de SSO, y con el extremo de inicio de sesión que creó como el URL de cierre de sesión. La huella digital será la del certificado de firma de tokens instalado en su instancia de ADFS.

Para obtener la huella digital puede ejecutar el siguiente comando PowerShell en el sistema con el certificado instalado:

C:\> Get-AdfsCertificate [-Thumbprint] []

Busque la huella digital SHA256 del certificado de firma de tokens.

Una vez que termine:

En el Centro de administración, haga clic en el icono Cuenta () en la barra lateral y luego seleccione Seguridad > Inicio de sesión único.
La página debería ser como sigue:

Ahora, ya debe estar en funcionamiento la implementación del inicio de sesión único de ADFS para Zendesk.

Cambiar de método de autenticación

Importante: Si se utiliza un método SSO de terceros para crear y autenticar a los usuarios en Zendesk, y luego se cambia a la autenticación de Zendesk, estos usuarios no tendrán una contraseña disponible para iniciar sesión. Para obtener acceso, los usuarios tendrán que restablecer sus contraseñas en la página de inicio de sesión de Zendesk.