Zendesk admite el acceso con inicio de sesión único empresarial a las cuentas de Zendesk a través de Secure Assertion Markup Language (SAML), Token Web JSON (JWT) y OpenID Connect (OIDC). Con SSO, los usuarios pueden iniciar sesión una vez usando el formulario de inicio de sesión de su compañía para obtener acceso a varios sistemas y proveedores de servicio, y productos Zendesk.
El rol de los administradores de Zendesk consiste en activar la opción de inicio de sesión único. En este artículo se describe cómo activar varias configuraciones de inicio de sesión único con SAML que se pueden usar para autenticar a los integrantes del equipo (administradores y agentes, incluidos los agentes Light y los colaboradores), usuarios finales, o ambos.
En este artículo se tratan los siguientes temas:
- Cómo funciona el inicio de sesión único con SAML para Zendesk
- Requisitos para activar el inicio de sesión único con SAML
- Activar el inicio de sesión único con SAML
- Asignar inicio de sesión único (SSO) con SAML a los usuarios
- Administrar a los usuarios en Zendesk después de activar el inicio de sesión único con SAML
- Cambiar de método de autenticación
El equipo de TI de una compañía es normalmente responsable de la configuración y administración del sistema de autenticación SAML de la compañía. Su rol incluye implementar SSO para Zendesk en el sistema. Remita al equipo al siguiente tema en este artículo:
Artículos relacionados:
Cómo funciona el inicio de sesión único con SAML para Zendesk
SAML para Zendesk funciona de la misma manera que funciona con todos los demás proveedores de servicio. Un uso común sería una compañía donde toda la autenticación de los usuarios es administrada por un sistema de autenticación corporativo como Active Directory o LDAP (comúnmente conocido como un proveedor de identidad o IdP). Zendesk establece una relación de confianza con el proveedor de identidad y le permite autenticar a los usuarios e iniciar sesión en cuentas de Zendesk.
Un ejemplo de uso común es un usuario que inicia sesión en el sistema corporativo de su empresa al comienzo de un día de trabajo. Una vez que ha iniciado sesión, tiene acceso a otros servicios y aplicaciones de la empresa (como correo electrónico o Zendesk Support) sin tener que iniciar sesión por separado en cada uno de esos servicios.
Si un usuario intenta iniciar sesión directamente en una cuenta de Zendesk, será redirigido al servidor o servicio SAML para la autenticación. Una vez completada la autenticación, el usuario es redirigido a la cuenta de Zendesk y la sesión se inicia automáticamente.
Otro flujo de trabajo admitido da a los usuarios acceso a Zendesk después de que inician sesión en el sitio web de la compañía. Cuando un usuario inicia sesión en el sitio web con sus credenciales del sitio web, el sitio web envía una solicitud al proveedor de identidad para validar al usuario. A continuación, el sitio web envía la respuesta del proveedor al servidor SAML, este lo reenvía a la cuenta de Zendesk que, a su vez, otorga una sesión al usuario.
Requisitos para activar el inicio de sesión único con SAML
Reúnase con el equipo responsable del sistema de autenticación SAML dentro de su compañía (por lo general, el equipo de TI) para asegurarse de que la compañía cumpla los siguientes requisitos:
-
La compañía tienen un servidor SAML con usuarios aprovisionados o conectados a un repositorio de identidades como Microsoft Active Directory o LDAP. Las opciones incluyen un servidor SAML integrado como OpenAM, o un servicio SAML como Okta, OneLogin o PingIdentity.
-
Si se usa un servidor Servicios de federación de Active Directory (ADFS), se debe activar la autenticación basada en formularios. Zendesk no admite Windows Integrated Authentication (WIA). Si desea más información, consulte Configuración del inicio de sesión único usando Active Directory con ADFS y SAML.
- Todo el tráfico dirigido hacia Zendesk se realiza a través de HTTPS, y no de HTTP.
- El URL de inicio de sesión remoto para su servidor SAML (a veces denominado URL de inicio de sesión único con SAML)
- (Opcional) El URL de cierre de sesión remoto al que Zendesk puede redirigir a los usuarios después de que cierran sesión en Zendesk
- (Opcional) Una lista de intervalos de IP para redirigir a los usuarios a la opción de inicio de sesión que corresponda. Los usuarios que hacen solicitudes desde los intervalos de IP especificados son redirigidos al formulario de inicio de sesión de autenticación remota con SAML. Los usuarios que hacen solicitudes desde direcciones IP fuera de los intervalos son redirigidos al formulario de inicio de sesión normal de Zendesk. Si no se especifica un intervalo, todos los usuarios son redirigidos al formulario de inicio de sesión de autenticación remota.
- La huella digital SHA2 del certificado SAML obtenida del servidor SAML. Los certificados X.509 son compatibles y deberían tener un formato PEM o DER, pero de todos modos se tiene que proporcionar una huella digital SHA2 para el certificado X.509. No hay límite máximo para el tamaño de la huella digital SHA.
Es posible que el equipo de TI necesite más información de Zendesk para poder configurar la implementación de SAML. Remítalos a la Hoja de trabajo de implementación técnica en este artículo.
Después de confirmar que cumple los requisitos y tiene toda la información necesaria, podrá activar SSO SAML.
Activar el inicio de sesión único con SAML
Los administradores pueden activar el inicio de sesión único con SAML solo para los usuarios finales, solo para los integrantes del equipo (incluidos los agentes Light y colaboradores) o para ambos grupos. Se pueden crear varias configuraciones de inicio de sesión único con SAML. Antes de comenzar, obtenga la información necesaria del equipo de TI de su compañía. Consulte Requisitos para activar el inicio de sesión único con SAML.
Para activar el inicio de sesión único con SAML en Zendesk
- En el Centro de administración, haga clic en
Cuenta en la barra lateral y luego seleccione Seguridad > Inicio de sesión único. - Haga clic en Crear configuración de SSO y luego seleccione SAML.
- Ingrese un Nombre de configuración único.
- Para URL SSO SAML, ingrese el URL de inicio de sesión remoto para el servidor SAML.
- Ingrese la Huella digital de certificado SHA-256. Esto es obligatorio para que podamos comunicarnos con el servidor SAML.
- (Opcional) Para URL de cierre de sesión remoto, ingrese un URL de cierre de sesión a donde se debe redirigir a los usuarios después de que cierran sesión en Zendesk.
- (Opcional) Para Intervalos de IP, ingrese una lista de intervalos de IP si desea redirigir a los usuarios a la opción de inicio de sesión que corresponda.
Los usuarios que hacen solicitudes desde los intervalos de IP especificados son redirigidos al formulario de inicio de sesión de autenticación remota con SAML. Los usuarios que hacen solicitudes desde direcciones IP fuera de los intervalos son redirigidos al formulario de inicio de sesión normal de Zendesk. No especifique un intervalo si desea que todos los usuarios sean redirigidos al formulario de inicio de sesión con autenticación remota.
- Seleccione Mostrar el botón cuando los usuarios inician sesión para agregar un botón Continuar con SSO a la página de inicio de sesión de Zendesk.
Si lo desea, puede personalizar el rótulo del botón introduciendo un valor en el campo Nombre del botón. Los rótulos de botón personalizados son útiles si agrega varios botones de SSO a la página de inicio de sesión. Consulte Agregar botón "Continuar con SSO" a la página de inicio de sesión de Zendesk si desea más información.
- Haga clic en Guardar.
De manera predeterminada, las configuraciones de inicio de sesión único empresarial están inactivas. Tendrá que asignar la configuración de SSO a los usuarios para activarlo.
Asignar inicio de sesión único (SSO) con SAML a los usuarios
Después de crear la configuración del inicio de sesión único (SSO) con SAML, deberá asignarla a los usuarios finales, a los integrantes del equipo o a ambos para poder activarla.
Para asignar una configuración de SSO a los integrantes del equipo y los usuarios finales
- Abra la configuración de seguridad para integrantes del equipo o usuarios finales.
- En el Centro de administración, haga clic en Cuenta en la barra lateral y luego seleccione Seguridad > Autenticación de integrantes del equipo.
- En el Centro de administración, haga clic en Cuenta en la barra lateral y luego seleccione Seguridad > Autenticación de usuarios finales.
- En el Centro de administración, haga clic en
- Seleccione Autenticación externa para mostrar las opciones de autenticación.
- Seleccione los nombres de las configuraciones de SSO que desea usar.
Es posible que el inicio de sesión único no funcione en todos los casos, por lo que la autenticación de Zendesk permanece activa de manera predeterminada.
- Decida cómo va a permitir que inicien sesión los usuarios finales.
Dejarlos elegir permite que el usuario inicie sesión a través de cualquier método de autenticación activado. Consulte Ofrecer a los usuarios distintas opciones de inicio de sesión en Zendesk.
Redirigir a SSO permite que los usuarios se autentiquen solo a través de la configuración de SSO principal. Los usuarios no ven ninguna opción de inicio de sesión adicional, incluso si las opciones de autenticación están activadas. Cuando se selecciona Redirigir a SSO, aparece el campo SSO principal, donde podrá seleccionar la configuración de SSO principal.
- Haga clic en Guardar.
Administrar a los usuarios en Zendesk después de activar el inicio de sesión único con SAML
Después de activar el inicio de sesión único con SAML en Zendesk, los cambios que se realicen en los usuarios fuera de Zendesk no se sincronizarán automáticamente con la cuenta de Zendesk. Los usuarios se actualizan en Zendesk en el momento de la autenticación. Por ejemplo, si se agrega un usuario a su sistema interno, el usuario es agregado a la cuenta de Zendesk en el momento en que inicia sesión en Zendesk. Cuando se hacen cambios en los datos del usuario en un sistema interno (como el nombre o la dirección de correo electrónico), los atributos que se compartan en la carga del SAML se actualizan en Zendesk. Si se borra a un usuario del sistema interno, el usuario ya no podrá iniciar sesión en Zendesk. Sin embargo, su cuenta seguirá existiendo en Zendesk.
De manera predeterminada, los únicos datos de usuario que se almacenan en Zendesk cuando está activado el inicio de sesión único son el nombre y la dirección de correo electrónico del usuario. Zendesk no almacena las contraseñas. Por lo tanto, se deben desactivar todas las notificaciones por correo electrónico automatizadas de Zendesk sobre las contraseñas.
Para ofrecer una mejor experiencia a los clientes, puede almacenar el nombre, la dirección de correo electrónico del usuario en Zendesk y otros datos. Consulte Obtener datos adicionales del usuario.
Desactivar las notificaciones por correo electrónico sobre contraseñas de Zendesk
Se crea un perfil de usuario de Zendesk para los nuevos usuarios que acceden a la cuenta de Zendesk a través del inicio de sesión único con SAML, JWT u OpenID Connect (OIDC). Debido a que los usuarios son autenticados a través de un IdP con una contraseña que no es de Zendesk, el perfil se crea sin una contraseña porque no es necesario que inicien sesión en Zendesk directamente.
Los nuevos usuarios que inician sesión en Zendesk a través de SSO son verificados a través de un IdP, por lo que no recibirán notificaciones por correo electrónico para que verifiquen su cuenta. Sin embargo, se recomienda desactivar estas notificaciones por correo electrónico automatizadas para evitar que se envíen si el IdP no verifica al usuario correctamente. En el caso de SSO, la verificación del usuario siempre se tiene que hacer a través del IdP.
Para desactivar las notificaciones por correo electrónico sobre contraseñas
- En el Centro de administración, haga clic en
Personas en la barra lateral y luego seleccione Configuración > Usuarios finales. - En la sección Mensajes de correo electrónico de la cuenta, quite la marca de Enviar también un correo de bienvenida cuando un agente o administrador cree un nuevo usuario.
- En Permitir que los usuarios cambien su contraseña, quite la marca de la opción.
Cambiar de método de autenticación
Si se utiliza un método SSO de terceros para crear y autenticar a los usuarios en Zendesk y luego se cambia a la autenticación de Zendesk, estos usuarios no tendrán una contraseña disponible para iniciar sesión. Para obtener acceso, los usuarios tendrán que restablecer sus contraseñas en la página de inicio de sesión de Zendesk.
Hoja de trabajo de implementación técnica
Esta sección es para el equipo responsable del sistema de autenticación SAML dentro de la compañía. Proporciona los detalles sobre la implementación del inicio de sesión único con SAML de Zendesk.
Temas que se tratan:
- Datos de usuario requeridos para identificar al usuario al que se está identificando
- Configurar el proveedor de identidad para Zendesk
- Configurar el servidor SAML para Zendesk
- Parámetros que se devuelven a los URL de inicio de sesión y cierre de sesión remotos
- Usar RelayState para redirigir a los usuarios después de la autenticación
- Resolver problemas con la configuración de SAML para Zendesk
Datos de usuario requeridos para identificar al usuario al que se está identificando
Cuando se implementa el acceso SSO con SAML en las cuentas de Zendesk, se especifican ciertos datos de usuario para identificar al usuario al que se está identificando.
Los siguientes temas describen los datos que se tienen que proporcionar:
Especificar la dirección de correo electrónico del usuario en la NameID de SAML del sujeto
Zendesk utiliza direcciones de correo electrónico para identificar de forma exclusiva a los usuarios. Se debe especificar la dirección de correo electrónico del usuario en la ID de nombre de SAML del sujeto.
Por ejemplo:
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">stevejobs@yourdomain.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-04-23T21:42:47.412Z"/>
</saml:SubjectConfirmation>
</saml:Subject> Si no se proporcionan los atributos givenname y surname, Zendesk utilizará el nombre de usuario de la dirección de correo electrónico proporcionada en el elemento
Si el nombre de usuario de correo electrónico incluye un carácter de punto, este se usa para separar el primer nombre del apellido. Si no hay un carácter de punto, todo el nombre de usuario se convierte en el nombre del usuario en Zendesk. Por ejemplo, si la dirección de correo electrónico
Especificar dos atributos de usuario requeridos en la aserción de SAML
Si se especifican los atributos givenname y surname, se debe usar el espacio de nombres completo en lugar de los nombres corrientes. Por ejemplo: si el nombre corriente es “apellido”, el valor real que se tiene que especificar para el atributo es http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
| Concepto | Atributo | Descripción | Valor de ejemplo |
|---|---|---|---|
| primer nombre | givenname | El primer nombre de este usuario. Se debe especificar el espacio de nombres completo para este atributo. |
|
| apellido | surname | El apellido de este usuario. Se crea y actualiza un usuario en Zendesk conforme al primer nombre y apellido de este usuario. Vea el ejemplo a continuación. Se debe especificar el espacio de nombres completo para este atributo. |
|
Ejemplo de primer nombre y apellido.
<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<saml:AttributeValue xsi:type="xs:anyType">James</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<saml:AttributeValue xsi:type="xs:anyType">Dietrich</saml:AttributeValue>
</saml:Attribute>Zendesk admite atributos de usuario adicionales. Hable con el administrador de Zendesk Support si desea información sobre los requisitos de datos en Support.
Obtener datos adicionales del usuario
Los únicos datos de usuario que Zendesk necesita del sistema de autenticación son el primer nombre, el apellido y la dirección de correo electrónico del usuario. El primer nombre y el apellido son los únicos nombres de atributo que se deben usar para obtener información sobre el nombre de un usuario. No obstante, si desea obtener más datos, puede solicitarle al equipo de TI que agregue atributos de usuario a las aserciones SAML que el proveedor de identidades envía a Zendesk cuando los usuarios inician sesión.
Una aserción SAML contiene una o varias declaraciones sobre el usuario. Una declaración es la decisión de autorización en sí, es decir, si se le otorgó acceso o no al usuario. Otra declaración puede constar de atributos que describen al usuario que ha iniciado sesión.
| Atributo | Descripción |
|---|---|
| organization | Nombre o ID de una organización a la cual se desea agregar el usuario. No se admite el atributo external_id de una organización. Si la organización no existe en Zendesk, no será creada. En cambio, el usuario sí será creado, aunque no será agregado a ninguna organización. |
| organizations | Valores separados por comas, como org1, org2, org3
|
| organization_id |
La ID externa de la organización en la API de Zendesk. Si se proporcionan los atributos organization y organization_id, se ignora organization. Ejemplo: Si desea pasar varias ID de organizaciones al mismo tiempo, use el atributo organization_ids en lugar de organization_id. Las ID de organizaciones se deben pasar en una cadena, separadas por comas. |
| organization_ids |
Las ID externas de la organización en la API de Zendesk. Use este atributo si va a pasar varias ID de organización al mismo tiempo. Si se proporcionan los atributos organizations y organization_ids, no se toma en cuenta organizations. Ejemplo: Valores separados por comas, como |
| phone | Un número de teléfono, especificado como una cadena. |
| tags | Etiquetas para configurar en el usuario. Las etiquetas reemplazarán todas las demás etiquetas que existan en el perfil del usuario. |
| remote_photo_url | URL de una foto para configurar en el perfil del usuario. |
| locale (para agentes) locale_id (para usuarios finales) |
La configuración regional en Zendesk, especificada como un número. Para obtener una lista de los números válidos, consulte Locales en los documentos sobre la API. |
| role | El rol del usuario. Se puede configurar en usuario final, agente o administrador. El valor predeterminado es usuario final. |
| custom_role_id | Se aplica solo si el valor del atributo role de arriba es agente. Las ID para los roles personalizados se encuentran en Custom Roles API. |
| external_id | Una ID de usuario del sistema si los usuarios están identificados por cualquier cosa que no sea una dirección de correo electrónico, o si sus direcciones de correo electrónico pueden cambiar. Especificado como una cadena. |
| user_field_<key> | Un valor para un campo de usuario personalizado en Zendesk Support. Consulte Adición de campos personalizados a usuarios. El valor <key> es la clave de campo asignada al campo de usuario personalizado en Zendesk Support. Ejemplo: user_field_employee_number, donde employee_number es la clave de campo en Zendesk. Si se envía un valor null o una cadena vacía en el valor del atributo, se eliminará todo valor de campo personalizado establecido en Zendesk Support.
|
| Nombre corriente | Nombre formal SAML2 |
|---|---|
| ou (unidad de organización) | urn:oid:2.5.4.11 |
| displayName | urn:oid:2.16.840.1.113730.3.1.241 |
Configurar el proveedor de identidad para Zendesk
| Atributo | Valor |
|---|---|
| entityID | https://susubdominio.zendesk.com |
| AudienceRestriction | susubdominio.zendesk.com |
Para ambos valores, reemplace su_subdominio por el subdominio de Zendesk Support. Si no está seguro de cuál es el subdominio, consulte con el administrador de su cuenta de Zendesk.
Zendesk impone el atributo AudienceRestriction.
Configurar el servidor SAML para Zendesk
Es posible que algunos servidores SAML necesiten la siguiente información al configurar una integración con Zendesk:
-
URL de Access Consumer Service (ACS): especifique https://susubdominio.zendesk.com/access/saml (distingue entre mayúsculas y minúsculas), donde “susubdominio” es el subdominio de su cuenta de Support
-
Redirige al URL de inicio de sesión único de SAML: utilice HTTP POST
-
Algoritmo hash (ADFS): Zendesk admite el algoritmo SHA-2 cuando usa los Servicios de federación de Active Directory (ADFS)
Parámetros que se devuelven a los URL de inicio de sesión y cierre de sesión remotos
Al redirigir a los usuarios al sistema de autenticación, Zendesk anexa los siguientes parámetros a los URL de inicio de sesión remoto y de cierre de sesión remoto.
| Atributo | Descripción |
|---|---|
| brand_id | La marca del centro de ayuda en el que se encontraba el usuario cuando intentó iniciar sesión. Si desea más información, consulte Crear un Centro de ayuda para una de sus marcas. |
| Atributo | Descripción |
|---|---|
| Correo electrónico del usuario que está cerrando sesión. | |
| external_id | Un identificador único del sistema almacenado en el perfil de usuario de Zendesk. |
| brand_id | La marca del Centro de ayuda en la que se encontraba el usuario cuando cerró sesión. Si desea más información, consulte Crear un Centro de ayuda para una de sus marcas. |
Si prefiere no recibir información sobre la ID externa y el correo en el URL de cierre de sesión, solicítele al administrador de su cuenta de Zendesk que especifique parámetros en blanco en el campo URL de cierre de sesión remoto en la interfaz del administrador. Consulte Activar el inicio de sesión único con SAML. Por ejemplo: https://www.yourdomain.com/user/signout/?email=&external_id=.
Usar RelayState para redirigir a los usuarios después de la autenticación
RelayState es un parámetro que se usa para mantener el estado de la solicitud original durante todo el proceso de SSO. Especifica el URL original al que el usuario estaba tratando de acceder antes de iniciarse el proceso de SSO. Después de completar el proceso de SSO, puede dirigir al usuario al URL de RelayState para proporcionarle una experiencia sin problemas.
El parámetro RelayState es opcional en SAML. Si no lo incluye en su solicitud, el usuario será enviado a la ubicación predeterminada en función del tipo de usuario que sea.
- Para los agentes, la ubicación predeterminada es el panel de agentes en Zendesk Support.
- Para los usuarios finales, la ubicación predeterminada es la página principal del centro de ayuda de la marca predeterminada.
Cuando un usuario accede a un vínculo de Zendesk que exige iniciar sesión y se está utilizando SAML, Zendesk redirige al usuario a la configuración de SSO que se configuró y, además, envía el URL de donde vino el usuario en el parámetro RelayState.
Ejemplo:
https://zendesk.okta.com/app/zendesk/exladafgzkYLwtYra2r7/sso/saml?RelayState=https%3A%2F%2Fyoursubdomain.zendesk.com%2Fagent%2Ffilters%2F253389123456&brand_id=361234566920&SAMLRequest=[samlloginrequesthere]
Cuando se crea la solicitud de autenticación de SAML, se debe agregar el parámetro RelayState y establecer su valor en el URL enviado desde Zendesk en la respuesta SAML.
Por ejemplo, este sería el parámetro RelayState que redirige a los usuarios a https://yoursubdomain.zendesk.com/agent/filters/253389123456:
SAMLResponse=[SAMLpayloadhere]&RelayState=https%3A%2F%2Fyoursubdomain.zendesk.com%2Fagent%2Ffilters%2F253389123456
Resolver problemas con la configuración de SAML para Zendesk
Estos son los metadatos de SAML 2.0 de Zendesk:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<EntityDescriptor entityID="https://yoursubdomain.zendesk.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
<SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
<AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yoursubdomain.zendesk.com/access/saml"/> <!-- Note: replace 'accountname' with your Zendesk subdomain -->
</SPSSODescriptor>
</EntityDescriptor>Zendesk espera una aserción de SAML como la siguiente:
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="s2202bbbb
afa9d270d1c15990b738f4ab36139d463" InResponseTo="_e4a78780-35da-012e-8ea7-005056
9200d8" Version="2.0" IssueInstant="2011-03-21T11:22:02Z" Destination="https://yoursubdomain.zendesk.com/access/saml">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">myidp.entity.id
</saml:Issuer>
<samlp:Status xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<samlp:StatusCode xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
Value="urn:oasis:names:tc:SAML:2.0:status:Success">Nota: Reemplace “nombredecuenta” en el atributo Destination con el subdominio de su cuenta de Zendesk.
Zendesk espera que los atributos de usuario estén especificados en la declaración del atributo de la aserción (
<saml:AttributeStatement>
<saml:Attribute Name="organization">
<saml:AttributeValue xsi:type="xs:string">Acme Rockets</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="tags">
<saml:AttributeValue xsi:type="xs:string">tag1 tag2</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="phone">
<saml:AttributeValue xsi:type="xs:string">555-555-1234</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="role">
<saml:AttributeValue xsi:type="xs:string">agent</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="custom_role_id">
<saml:AttributeValue xsi:type="xs:string">12345</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>Si desea ver los nombres y las descripciones de los atributos de usuario admitidos por Zendesk, consulte la tabla en Obtener datos adicionales del usuario más arriba. Tenga en cuenta que el espacio de nombres completo no es compatible con los atributos de usuario opcionales.