OpenID Connect (OIDC) es un protocolo de autenticación creado dentro del marco OAuth 2.0. Permite a los desarrolladores autenticar a los usuarios y obtener información básica de su perfil de una manera segura y estandarizada. OIDC utiliza tokens de ID para verificar la identidad de los usuarios en función de la autenticación realizada por un servidor de autorización, simplificando así el proceso de administrar las identidades de los usuarios y mejorar la seguridad de las interacciones entre los usuarios y las aplicaciones.
El inicio de sesión único con OIDC en Zendesk simplifica el proceso de autenticación porque permite que los usuarios inicien sesión a través de un proveedor de identidad central (IdP), como Google u Okta, en lugar de hacerlo con credenciales de inicio de sesión distintas para Zendesk.
- Cómo funciona el inicio de sesión único con OpenID Connect para Zendesk
- Consideraciones importantes
- Crear la configuración del inicio de sesión único con OpenID Connect
- Asignar el inicio de sesión único con OpenID Connect a los usuarios
- Administrar a los usuarios en Zendesk después de activar el inicio de sesión único con OpenID Connect
- Cambiar de método de autenticación
- Atributos admitidos por Zendesk
Artículos relacionados:
Cómo funciona el inicio de sesión único con OpenID Connect para Zendesk
Con el inicio de sesión único con OpenID Connect, un usuario puede autenticarse con un IdP mediante un protocolo estándar. Una vez autenticado, el IdP emite un token de ID que sirve para verificar la identidad del usuario y los permisos de acceso.
Pasos del proceso de inicio de sesión único (SSO) con OpenID Connect en Zendesk:
- Un usuario no autenticado va al URL de su cuenta de Zendesk Support. Ejemplo: https://susubdominio.zendesk.com/.
- Según el flujo de trabajo de inicio de sesión que haya definido, el usuario puede hacer clic en un botón de la página de inicio de sesión de Zendesk para iniciar sesión con el SSO, y así se le dirige al IdP, o bien se le redirige automáticamente al IdP para iniciar sesión.
- Después de autenticar correctamente al usuario, el IdP genera un token de ID que contiene información exclusiva del usuario.
- El token vuelve a enviarse a Zendesk, donde se valida conforme a la configuración que comparten Zendesk y el IdP.
- Después de realizar correctamente la validación, Zendesk otorga acceso al usuario gracias a la seguridad que le ofrece el IdP.
Consideraciones importantes
- Si tiene problemas para iniciar sesión en Zendesk con el inicio de sesión único de OpenID Connect, lo más probable es que se deba a un problema con el proveedor de identidad (IdP) y su configuración. Es imprescindible que contacte al administrador de su sistema o al equipo de TI para que verifiquen la configuración del IdP y miren los requisitos.
- OpenID Connect (OIDC) no se puede utilizar para autenticar a los usuarios de mensajería.
- Zendesk exige que todos los usuarios cuenten con una dirección de correo electrónico asociada con su perfil. Sin embargo, habrá usuarios que intentarán iniciar sesión sin una dirección de correo electrónico, en cuyo caso, Zendesk presenta un mensaje de error para evitar que se produzca un bucle por la falta de dirección de correo electrónico.
- Si desea utilizar OIDC junto con Entra, deberá configurar algunos requisitos para ello.
- El modo de autenticación tiene que ser PKCE.
- Agregue un URL de devolución de llamada en el formulario de configuración de OpenID Connect Proof Key for Code Exchange (OIDC PKCE) de Entra bajo Mobile and desktop applications - Redirect URIs.
Crear la configuración del inicio de sesión único con OpenID Connect
Los administradores pueden activar el inicio de sesión único con OIDC solo para los usuarios finales, solo para los integrantes del equipo (incluidos los agentes Light y colaboradores) o para ambos grupos. Se pueden crear varias configuraciones de inicio de sesión único con OIDC.
La información que se necesita para este paso debe proceder del IdP utilizado, por lo que debe asegurarse de que el IdP esté configurado antes de comenzar. Obtenga la información necesaria del equipo de TI de su compañía.
Para configurar el inicio de sesión único con OIDC en Zendesk
- En el Centro de administración, haga clic en Cuenta en la barra lateral y luego seleccione Seguridad > Inicio de sesión único.
- Haga clic en Crear configuración de SSO y luego seleccione OpenID Connect.
- Ingrese un Nombre de configuración único.
- (Opcional) Para Intervalos de IP, ingrese una lista de intervalos de IP si desea redirigir a los usuarios a la opción de inicio de sesión que corresponda.
Los usuarios que hacen solicitudes desde los intervalos de IP especificados son redirigidos al formulario de inicio de sesión de autenticación remota con OIDC. Los usuarios que hacen solicitudes desde direcciones IP que se encuentran fuera de los intervalos son redirigidos al formulario de inicio de sesión estándar de Zendesk. No especifique un intervalo si desea que todos los usuarios sean redirigidos al formulario de inicio de sesión con autenticación remota.
- En el campo ID del cliente, ingrese la ID del cliente que recibió del IdP.
- Ingrese el Secreto de cliente si el IdP lo exige.
Debido a la obligación de mantener la confidencialidad del secreto del cliente, no verá el secreto completo nuevamente después de guardar la configuración. Si necesita rotar el secreto, edite esta configuración de SSO para ingresar y guardar un secreto nuevo.
- En el campo Ámbitos, enumere todos los ámbitos que desea solicitar al IdP. Como mínimo, debe agregar
openid
además deemail
. Los ámbitos se separan por medio de espacios y sin comas. Por ejemplo:openid email phone
Entre los ámbitos admitidos dentro del estándar OIDC podemos mencionar
openid
,profile
,email
,address
yphone
. También puede incluir cualquier ámbito personalizado que haya configurado en su IdP.Los ámbitos no aceptados que su IdP rechazaría, provocarían el fallo del inicio de sesión con el error
Unknown error during sign-in
. Zendesk no valida ninguno de los ámbitos en este campo. - Seleccione Activar la detección automática si solamente desea proporcionar el URL del emisor. Cuando esta opción está activada, Zendesk extrae automáticamente los detalles de configuración del documento de configuración de OIDC. Lo único que tiene que proporcionar usted es el URL del emisor y el modo de autenticación.
- Ingrese los URL necesarios.
Compruebe si su IdP exige un formato específico para los URL que está utilizando. Si los URL tienen un formato incorrecto y su IdP los rechaza, es posible que se produzca un error de inicio de sesión y se muestre el mensaje de error
Unknown error during sign-in
. Zendesk no valida los URL de estos campos.- URL del emisor (conocido también como identificador de emisor): un identificador único para el IdP que realiza la autenticación del usuario y entrega los tokens de ID.
- URL de UserInfo: un extremo proporcionado por el IdP que, cuando se accede a él con un token de acceso válido, devuelve los atributos del usuario autenticado.
- URL de JWK: un extremo proporcionado por el IdP que permite que Zendesk pueda recuperar las claves públicas del proveedor. Estas claves se utilizan para verificar la firma de los tokens web JSON (JWT) que emite el IdP.
- URL de autorización: cuando los usuarios acceden a este URL, se les pide que inicien sesión y den su consentimiento para los ámbitos solicitados.
- URL del token de acceso (llamado también URL de extremo de token): se usa para intercambiar un código de autorización, ID del cliente y secreto del cliente por un token de acceso.
- Elija un modo de autenticación. Se recomienda PKCE.
- El uso de PKCE para obtener el token de acceso es la mejor opción para los clientes públicos, como las aplicaciones móviles o aplicaciones web JavaScript, ya que usa claves generadas dinámicamente para impedir el intercambio de tokens no autorizados sin que se necesite un secreto del cliente.
- Elija Flujo del código de autorización si desea que se obtenga el token de acceso por medio del flujo de código de autorización. Esto resulta ideal para aplicaciones basadas en servidor con almacenamiento back-end seguro que se fían de un secreto de cliente para obtener los tokens.
- Seleccione Mostrar el botón cuando los usuarios inician sesión si ha optado por permitir que los usuarios elijan la manera de iniciar sesión y desea que esta configuración sea una de las que se pueden seleccionar. Si selecciona esta opción, también necesitará poner nombre al botón que se mostrará en la página de inicio de sesión.
Borre la marca de esta casilla si sus usuarios solo inician sesión a través de un proveedor de identidad porque no usan la página de inicio de sesión de Zendesk.
- Haga clic en Guardar.
De manera predeterminada, las configuraciones de inicio de sesión único empresarial están inactivas, por lo que deberá asignar el inicio de sesión único con OpenID Connect a los usuarios para poder activarlas.
Asignar el inicio de sesión único con OpenID Connect a los usuarios
Después de crear la configuración del inicio de sesión único (SSO) con OIDC, deberá asignarla a los usuarios finales, a los integrantes del equipo o a ambos para poder activarla.
Para asignar una configuración de SSO a los integrantes del equipo y los usuarios finales
- Abra la configuración de seguridad para integrantes del equipo o usuarios finales.
- En el Centro de administración, haga clic en Cuenta en la barra lateral y luego seleccione Seguridad > Autenticación de integrantes del equipo.
- En el Centro de administración, haga clic en Cuenta en la barra lateral y luego seleccione Seguridad > Autenticación de usuarios finales.
- Seleccione Autenticación externa para mostrar las opciones de autenticación.
- Seleccione los nombres de las configuraciones de SSO que desea usar.
Es posible que el inicio de sesión único no funcione en todos los casos, por lo que la autenticación de Zendesk permanece activa de manera predeterminada.
- Decida cómo va a permitir que inicien sesión los usuarios finales.
Dejarlos elegir permite que el usuario inicie sesión a través de cualquier método de autenticación activado. Consulte Ofrecer a los usuarios distintas opciones de inicio de sesión en Zendesk.
Redirigir a SSO permite que los usuarios se autentiquen solo a través de la configuración de SSO principal. Los usuarios no ven ninguna opción de inicio de sesión adicional, incluso si las opciones de autenticación están activadas. Cuando se selecciona Redirigir a SSO, aparece el campo SSO principal, donde podrá seleccionar la configuración de SSO principal.
- Haga clic en Guardar.
Administrar a los usuarios en Zendesk después de activar el inicio de sesión único con OpenID Connect
Después de activar el inicio de sesión único con OIDC en Zendesk, los cambios que se realicen en los usuarios fuera de Zendesk no se sincronizan automáticamente con la cuenta de Zendesk. Los usuarios se actualizan en Zendesk en el momento de la autenticación. Por ejemplo, si se agrega un usuario a su sistema interno, el usuario es agregado a la cuenta de Zendesk en el momento en que inicia sesión en Zendesk. Si se borra a un usuario del sistema interno, el usuario ya no podrá iniciar sesión en Zendesk. Sin embargo, su cuenta seguirá existiendo en Zendesk.
De manera predeterminada, los únicos datos de usuario que se almacenan en Zendesk cuando está activado el inicio de sesión único son el nombre y la dirección de correo electrónico del usuario. Zendesk no almacena las contraseñas. Por lo tanto, se deben desactivar todas las notificaciones por correo electrónico automatizadas de Zendesk sobre las contraseñas.
Desactivar las notificaciones por correo electrónico sobre contraseñas de Zendesk
Se crea un perfil de usuario de Zendesk para los nuevos usuarios que acceden a la cuenta de Zendesk a través del inicio de sesión único con SAML, JWT u OpenID Connect (OIDC). Debido a que los usuarios son autenticados a través de un IdP con una contraseña que no es de Zendesk, el perfil se crea sin una contraseña porque no es necesario que inicien sesión en Zendesk directamente.
Los nuevos usuarios que inician sesión en Zendesk a través de SSO son verificados a través de un IdP, por lo que no recibirán notificaciones por correo electrónico para que verifiquen su cuenta. Sin embargo, se recomienda desactivar estas notificaciones por correo electrónico automatizadas para evitar que se envíen si el IdP no verifica al usuario correctamente. En el caso de SSO, la verificación del usuario siempre se tiene que hacer a través del IdP.
Para desactivar las notificaciones por correo electrónico sobre contraseñas
- En el Centro de administración, haga clic en Personas en la barra lateral y luego seleccione Configuración > Usuarios finales.
- En la sección Mensajes de correo electrónico de la cuenta, quite la marca de Enviar también un correo de bienvenida cuando un agente o administrador cree un nuevo usuario.
- En Permitir que los usuarios cambien su contraseña, quite la marca de la opción.
Cambiar de método de autenticación
Si se utiliza un método SSO de terceros para crear y autenticar a los usuarios en Zendesk y luego se cambia a la autenticación de Zendesk, estos usuarios no tendrán una contraseña disponible para iniciar sesión. Para obtener acceso, los usuarios tendrán que restablecer sus contraseñas en la página de inicio de sesión de Zendesk.
Atributos admitidos por Zendesk
-
Los estándar son atributos predefinidos y especificados por el protocolo OpenID Connect (OIDC) que garantizan que la identidad del usuario sea reconocida en todos los sistemas, por muy distintos que sean. Zendesk admite los siguientes atributos estándar:
sub
,email
,email_verified
ylocale
. - Los personalizados son atributos adicionales que amplían el conjunto estándar para satisfacer los requisitos particulares de Zendesk. Se pueden pasar en el token de ID o las solicitudes de información de usuario.
La tabla que sigue ofrece una lista completa de los atributos estándar y personalizados que admite Zendesk.
Atributo | Descripción |
---|---|
name | El nombre completo del usuario presentado en un formato fácil de leer. Incluye todas las partes del nombre —como cargos y sufijos— y sigue un orden adaptado a la región y las preferencias del usuario final. |
La dirección de correo electrónico principal de un usuario. | |
email_verified | Verdadero si se ha verificado la dirección de correo electrónico del usuario; de lo contrario es falso. Si el valor de este atributo es verdadero, quiere decir que el proveedor de OpenID tomó medidas concretas para garantizar que esta dirección de correo electrónico estuviera bajo el control del usuario en el momento en que se realizó la verificación. Cuando se usa el inicio de sesión único en Zendesk, la responsabilidad de verificar las direcciones de correo electrónico de sus usuarios recae en usted. |
organization | Nombre o ID de una organización a la cual se desea agregar el usuario. No se admite el atributo external_id de una organización. Si la organización no existe en Zendesk, no será creada. En cambio, el usuario sí será creado, aunque no será agregado a ninguna organización. |
organizations | Valores separados por comas, como org1 , org2 , org3 .
|
organization_id |
La ID externa de la organización en la API de Zendesk. Si se proporcionan los atributos organization y organization_id, se ignora organization. Ejemplo: Si desea pasar varias ID de organizaciones al mismo tiempo, use el atributo organization_ids en lugar de organization_id. Las ID de organizaciones se deben pasar en una cadena, separadas por comas. |
organization_ids |
Las ID externas de la organización en la API de Zendesk. Use este atributo si va a pasar varias ID de organización al mismo tiempo. Si se proporcionan los atributos organizations y organization_ids, no se toma en cuenta organizations. Ejemplo: Valores separados por comas, como |
phone | Un número de teléfono, especificado como una cadena. |
tags | Etiquetas para configurar en el usuario. Las etiquetas reemplazarán todas las demás etiquetas que existan en el perfil del usuario. |
remote_photo_url | URL de una foto para configurar en el perfil del usuario. |
locale (para agentes) locale_id (para usuarios finales) |
La configuración regional en Zendesk, especificada como un número. Para obtener una lista de los números válidos, consulte Locales en los documentos sobre la API. |
zendesk_role | El rol del usuario. Se puede configurar en usuario final, agente o administrador. Si no se pasa un zendesk_role, Zendesk crearía al usuario como un usuario final, a menos que ya exista con otro rol. |
custom_role_id | Se aplica solo si el valor del atributo role de Zendesk que se describe anteriormente es agente. Las ID de los roles personalizados se indican en esta página sobre la API de roles personalizados. |
external_id | Una ID de usuario del sistema si los usuarios están identificados por cualquier cosa que no sea una dirección de correo electrónico, o si sus direcciones de correo electrónico pueden cambiar. Especificado como una cadena. |
user_field_<key> | Un valor para un campo de usuario personalizado en Zendesk Support. Consulte Adición de campos personalizados a usuarios. El valor <key> es la clave de campo asignada al campo de usuario personalizado en Zendesk Support. Ejemplo: user_field_employee_number , donde employee_number es la clave de campo en Zendesk. Si se envía un valor null o una cadena vacía en el valor del atributo, se eliminará todo valor de campo personalizado establecido en Zendesk Support. |