Configuration de la connexion unique en utilisant Active Directory avec ADFS et SAML – Aide Zendesk

Disponible avec toutes les éditions Suite

Exonération : Cet article est fourni à titre informatif uniquement. Zendesk ne fournit pas l’assistance pour le code et ne le garantit pas. Si vous rencontrez des problèmes, publiez-en la description dans la section des commentaires ou essayez de trouver une solution en ligne.

Zendesk prend en charge la connexion unique via SAML 2.0. Un fournisseur d’identité SAML 2.0 (IDP) peut exister sous de nombreuses formes différentes, notamment celle d’un serveur ADFS (Active Directory Federation Services). ADFS est un service fourni par Microsoft comme rôle standard pour Windows Server qui fournit une connexion Web en utilisant des identifiants Active Directory.

Spécifications

Pour utiliser ADFS pour vous connecter à votre instance Zendesk, vous devez disposer des composants suivants :

Une instance Active Directory dans laquelle tous les utilisateurs ont un attribut d’adresse e-mail.
Une instance Zendesk.
Un serveur exécutant Microsoft Server 2012 ou 2008. Ce guide utilise des captures d’écran de Server 2012R2, mais des étapes semblables devraient être possibles pour les autres versions.
Un certificat SSL pour signer votre page de connexion ADFS, ainsi que l’empreinte digitale de ce certificat.
Si vous utilisez le mappage d’hôte dans votre instance Zendesk, un certificat installé pour SSL hébergé.

Une fois ces exigences satisfaites, vous devez installer ADFS sur votre serveur. Ce guide ne couvre pas la configuration et l’installation d’ADFS, mais elles sont détaillées dans un article de la base de connaissances Microsoft.

Une fois que vous avez une installation ADFS complète, notez la valeur pour l’URL « SAML 2.0/W-Federation » dans la section des points de terminaison ADFS. Si vous choisissez la valeur par défaut pour l’installation, il s’agira de « /adfs/ls/ ».

Étape 1 - Ajout d’une approbation de partie de confiance

À ce stade, vous devriez être prêt à configurer la connexion ADFS avec votre compte Zendesk. La connexion entre ADFS et Zendesk et définie à l’aide d’une approbation de partie de confiance (Relying Party Trust, RPT).

Sélectionnez le dossier Relying Party Trusts dans AD FS Management et ajoutez une nouvelle Standard Relying Party Trust à partir de la barre latérale Actions. Cela lance la configuration d’une nouvelle approbation.

À l’écran Select Data Source, sélectionnez la dernière option, Enter Data About the Party Manually.
À l’écran suivant, saisissez un nom d’affichage (Display name) facile à reconnaître et toutes les notes applicables.
À l’écran suivant, sélectionnez l’option ADFS FS profile.
À l’écran suivant, conservez les paramètres par défaut du certificat.
À l’écran suivant, cochez la case Enable Support for the SAML 2.0 WebSSO protocol. L’URL de service sera https://sousdomaine.zendesk.com/access/saml, où sousdomaine est votre sous-domaine Zendesk. Remarque - Il n’y a pas de barre oblique à la fin de l’URL.
À l’écran suivant, ajoutez un identifiant d’approbation de partie de confiance (Relying party trust identifier) de sousdomaine.zendesk.com, où sousdomaine est votre sous-domaine Zendesk.

Remarque – Si vous saisissez sousdomaine.zendesk.com et recevez une erreur d’échec de la demande, il est possible que vous deviez saisir votre sous-domaine sous la forme https://sousdomaine.zendesk.com.
À l’écran suivant, vous pouvez configurer l’authentification à plusieurs facteurs, mais ce guide ne couvre pas cette procédure.
À l’écran suivant, sélectionnez l’option Permit all users to access this relying party.
Sur les deux écrans suivants, l’assistant affiche un aperçu de vos paramètres. Au dernier écran, cliquez sur Close pour quitter et ouvrir l’éditeur des règles de revendication.

Étape 2 - Création de règles de revendication

Une fois l’approbation de partie de confiance créée, vous pouvez créer les règles de revendication et mettre l’approbation à jour pour y inclure les modifications mineures non définies par l’assistant. L’éditeur des règles de revendication s’ouvre automatiquement une fois que vous avez créé l’approbation. Si vous voulez mapper d’autres valeurs au-delà de l’authentification, consultez notre documentation.

Pour créer une nouvelle recherche, cliquez sur Add rule. Créez une règle de type Send LDAP Attributes as Claims.
À l’écran suivant, en utilisant Active Directory comme magasin d’attributs, faites ce qui suit :
1. Dans a colonne LDAP Attribute, sélectionnez E-Mail Addresses.
2. Dans la colonne Outgoing Claim Type, sélectionnez E-Mail Address.
Cliquez sur OK pour enregistrer la nouvelle règle.
Créez une autre nouvelle règle en cliquant sur Add rule, mais cette fois-ci, sélectionnez Transform an Incoming Claim comme modèle.
À l’écran suivant :
1. Sélectionnez E-mail Address comme Incoming Claim Type.
2. Pour Outgoing Claim Type, sélectionnez Name ID.
3. Pour Outgoing Name ID Format, sélectionnez Email.
Conservez la valeur par défaut, Pass through all claim values.
Enfin, cliquez sur OK pour créer la règle de revendication, puis une nouvelle fois sur OK pour mettre fin à la création de règles.

Étape 3 - Modification des paramètres de confiance

Vous devrez encore modifier quelques paramètres pour votre approbation de partie de confiance. Pour accéder à ces paramètres, sélectionnez Properties dans la barre latérale Actions alors que l’approbation de partie de confiance est sélectionnée.

Dans l’onglet Advanced, vérifiez que SHA-256 est spécifié comme algorithme de hachage sécurisé.
Dans l’onglet Endpoints, cliquez sur add SAML pour ajouter un nouveau point de terminaison.
Pour le Endpoint type, sélectionnez la SAML Logout.
Pour Binding, choisissez POST.
Pour Trusted URL, créez une URL en utilisant :
1. L’adresse Web de votre serveur ADFS
2. Le point de terminaison SAML ADFS que vous avez noté précédemment
3. La chaîne '?wa=wsignout1.0'
L’URL devrait ressembler à ce qui suit : https://sso.votredomaine.tld/adfs/ls/?wa=wsignout1.0.
Confirmez vos modifications en cliquant sur OK sur le point de terminaison dans les propriétés de l’approbation de partie de confiance. Vous devriez désormais avoir une approbation de partie de confiance qui fonctionne pour Zendesk.

Remarque – Il est possible que les paramètres de votre instance d’ADFS nécessitent que toutes les propriétés de services de fédération soient remplies et publiées dans les métadonnées. Demandez à votre équipe si c’est le cas pour votre instance. Dans l’affirmative, cochez la case Publish organization information in federation metadata.

Étape 4 - Configuration de Zendesk

Après la configuration d’ADFS, vous devez configurer votre compte Zendesk pour l’authentification avec SAML. Suivez les étapes détaillées dans Activation de la connexion unique SAML. Vous utiliserez l’URL complète du serveur ADFS avec le point de terminaison SAML comme URL de connexion unique et le point de terminaison que vous créez comme URL de déconnexion. L’empreinte digitale sera l’empreinte du certificat de signature de token installé dans votre instance ADSF.

Vous pouvez obtenir l’empreinte en exécutant la commande PowerShell suivante sur le système sur lequel est installé le certificat :

C:\> Get-AdfsCertificate [-Thumbprint] []

Cherchez l’empreinte SHA256 du certificat de type Token-Signing.

Ensuite :

Dans le Centre d’administration, cliquez sur l’icône Compte () dans la barre latérale, puis sélectionnez Sécurité > Connexion unique.
La page devrait ressembler à ce qui suit :

Vous devriez désormais avoir une implémentation de connexion unique ADFS qui fonctionne pour Zendesk.

Changement de méthode d’authentification

Important : Si vous utilisez une méthode de connexion unique tierce pour créer et authentifier les utilisateurs dans Zendesk, puis passez à l’authentification Zendesk, ces utilisateurs n’auront pas de mot de passe pour se connecter. Pour obtenir l’accès, ces utilisateurs doivent réinitialiser leur mot de passe à la page de connexion Zendesk.