Zendesk supporta accessi Single Sign-On (SSO) tramite SAML 2.0. Un provider di identità SAML 2.0 può esistere in molte forme differenti, una delle quali è un server ADFS (Active Directory Federation Services) self-hosted. ADFS è un servizio fornito da Microsoft come ruolo standard per Windows Server che fornisce un accesso web usando credenziali Active Directory esistenti.

Requisiti

Per accedere alla tua istanza Zendesk tramite ADFS, sono necessari i seguenti componenti:

• Un'istanza Active Directory in cui tutti gli utenti hanno un attributo di indirizzo email.
• Un'istanza Zendesk.
• Un server in cui è in esecuzione Microsoft Server 2012 o 2008. Questa guida usa screenshot di Server 2012R2, ma è possibile seguire passaggi simili in altre versioni.
• Un certificato SSL per firmare la tua pagina di accesso ADFS e l'impronta digitale per quel certificato.
• Se usi la mappatura host nella tua istanza Zendesk, un certificato installato per SSL in hosting.

Dopo aver soddisfatto questi requisiti di base, devi installare ADFS sul tuo server. La configurazione e l'installazione di ADFS esulano dagli scopi di questa guida, ma sono descritte dettagliatamente in un articolo della Knoweldge base di Microsoft.

Quando hai un'installazione completa di ADFS, annota il valore dell'URL "SAML 2.0/W-Federation" nella sezione degli endpoint ADFS. Se scegli l'impostazione predefinita per l'installazione, sarà "/adfs/ls/".

Passaggio 1 - Aggiunta di un'attendibilità di componente

A questo punto, dovresti essere pronto per configurare la connessione ADFS con il tuo account Zendesk. La connessione tra ADFS e Zendesk viene definita mediante un'attendibilità di componente (Relying Party Trust, RPT).

Seleziona la cartella Relying Party Trusts in AD FS Management e aggiungi una nuova attendibilità di componente standard selezionando Standard Relying Party Trust nella barra laterale Actions. In questo modo si avvia la configurazione guidata per una nuova attendibilità.

1. Nella schermata Select Data Source, seleziona l'ultima opzione, Enter Data About the Party Manually.
   
2. Nella schermata successiva, in Display name, inserisci un nome visualizzato facile da riconoscere e le eventuali note che vuoi aggiungere.
   
3. Nella schermata successiva, seleziona il pulsante di opzione AD FS profile.
   
4. Nella schermata successiva, lascia le impostazioni predefinite relative al certificato.
   
5. Nella schermata successiva, seleziona la casella Enable Support for the SAML 2.0 WebSSO protocol. L'URL del servizio sarà https://subdomain.zendesk.com/access/saml, dove subdomain verrà sostituito dal tuo sottodominio Zendesk. Tieni presente che non c'è una barra alla fine dell'URL.
   
6. Nella schermata successiva, in Relying party trust identifier, aggiungi un identificatore di attendibilità di componente di subdomain.zendesk.com, dove subdomain è il tuo sottodominio Zendesk.
   
   Nota: Se inserisci ilsottodominio.zendesk.com e viene visualizzato un errore di richiesta non riuscita, potrebbe essere necessario inserire il sottodominio come https://sottodominio.zendesk.com o sottodominio.zendesk.com/.
7. Nella schermata successiva puoi configurare l'autenticazione a più fattori, ma questa operazione non è descritta in questa guida.
   
8. Nella schermata successiva, seleziona il pulsante di opzione Permit all users to access this relying party.
   
9. Nelle due schermate successive, la procedura guidata mostrerà una panoramica delle impostazioni. Nella schermata finale, usa il pulsante Close per uscire e aprire l'editor delle regole attestazione.
   

Passaggio 2 - Creazione di regole attestazione

Dopo aver creato l'attendibilità di componente, puoi creare regole attestazione e aggiornare l'attendibilità con modifiche secondarie non definite dalla procedura guidata. Per impostazione predefinita, l'editor di regole attestazione si apre dopo aver creato l'attendibilità. Per mappare ulteriori valori oltre all'autenticazione, consulta la nostra documentazione.

1. Per creare una nuova regola, fai clic su Add Rule. Crea una regola di tipo Send LDAP Attributes as Claims.
   
2. Nella schermata successiva, usando Active Directory come archivio attributi, procedi come segue:
   1. Nella colonna LDAP Attribute, seleziona E-Mail Addresses.
   2. In Outgoing Claim Type, seleziona E-Mail Address.
   
3. Fai clic su OK per salvare la nuova regola.
4. Crea un'altra nuova regola facendo clic su Add Rule, questa volta selezionando Transform an Incoming Claim come modello.
   
5. Nella schermata successiva:
   1. Seleziona E-mail Address in Incoming Claim Type.
   2. In Outgoing Claim Type, seleziona Name ID.
       3. In Outgoing Name ID Format, seleziona Email.
   Per la regola, lascia il valore predefinito Pass through all claim values.
   
6. Infine, fai clic su OK per creare la regola attestazione e quindi di nuovo su OK per terminare la creazione delle regole.

Passaggio 3 - Modifica delle impostazioni di attendibilità

Devi ancora modificare alcune impostazioni relative all'attendibilità di componente. Per accedere a queste impostazioni, seleziona Properties nella barra laterale Actions con l'attendibilità di componente selezionata.

1. Nella scheda Advanced, assicurati che SHA-256 sia specificato come algoritmo hash sicuro.
   
2. Nella scheda Endpoints, fai clic su Add SAML per aggiungere un nuovo endpoint.
3. In Endpoint type, seleziona SAML Logout.
4. In Binding, scegli POST.
5. In Trusted URL, crea un URL usando:
   1. L'indirizzo web del tuo server ADFS
   2. L'endpoint SAML ADFS che hai annotato in precedenza
   3. La stringa "?wa=wsignout1.0"
   L'URL deve essere simile a quanto segue: https://sso.yourdomain.tld/adfs/ls/?wa=wsignout1.0.
   
6. Conferma le modifiche facendo clic su OK nell'endpoint e nelle proprietà dell'attendibilità di componente. Ora dovresti avere un'attendibilità di componente funzionante per Zendesk.

Nota: la tua istanza ADFS potrebbe avere impostazioni di sicurezza che richiedono la compilazione di tutte le proprietà di Federation Services e la pubblicazione delle stesse nei metadati. Verifica con il tuo team se è il caso per la tua istanza.  In tal caso, seleziona la casella Publish organization information in federation metadata.

Passaggio 4 - Configurazione di Zendesk

Dopo aver impostato ADFS, devi configurare il tuo account Zendesk per l'autenticazione con SAML. Segui i passaggi in Abilitazione di Single Sign-On SAML. Userai l'URL completo del server ADFS con l'endpoint SAML come URL SSO e l'endpoint di accesso creato come URL di disconnessione. L'impronta digitale sarà l'impronta del certificato per la firma del token installato nella tua istanza ADFS.

Puoi ottenere l'impronta digitale eseguendo il seguente comando PowerShell nel sistema con il certificato installato:

Cerca l'identificazione digitale SHA256 del certificato di tipo Token-Signing.

Quando l'hai trovata: 

• In Centro amministrativo, fai clic sull'icona Account () nella barra laterale, quindi seleziona Sicurezza > Single Sign-On.
  La pagina dovrebbe risultare simile a quanto segue:

Ora dovresti avere un'implementazione SSO di ADFS funzionante per Zendesk.