Quando usi l’accesso SAML con ADFS, puoi passare altri valori oltre ai valori di autenticazione. Questo articolo descrive come passare il nome completo, l’organizzazione, il numero di telefono, il ruolo o il ruolo personalizzato di un utente.

Questi valori sono definiti come regole attestazioni nell’attendibilità di componente. Per modificare le regole attestazioni, seleziona la cartella Relying Party Trusts in AD FS Management e scegli Edit Claim Rules nella barra laterale Actions. Per aggiungere nuove regole, fai clic su Add Rule e seleziona un modello nella finestra visualizzata. Esempio:

Nome completo

Per passare il nome completo di un utente, crea una regola con il modello Send LDAP Attributes.

1. Sotto LDAP Attribute, aggiungi una riga per Surname e una riga per Given-Name.
2. Sotto Outgoing Claim Type, seleziona Surname e Given Name.

Organizzazione

Per definire l’organizzazione a cui un utente sarà associato in Zendesk, crea una regola con il modello Send LDAP Attributes. Questa regola mappa un campo in Active Directory al tipo di attestazione in uscita dell’organizzazione. L’attributo LDAP dipenderà da come intendi mappare gli utenti. Ad esempio, potresti voler mappare i reparti a organizzazioni differenti.

1. Sotto LDAP attribute, seleziona il campo da mappare all’organizzazione.
2. Sotto Outgoing Claim Type, digita la parola organization in lettere minuscole nel campo.
   
   

Numero di telefono

Per passare il numero di telefono di un utente, crea una regola con il modello Send LDAP Attributes.

1. Sotto LDAP attribute, seleziona Telephone-Number.
2. Sotto Outgoing Claim Type, digita la parola phone in minuscolo nel campo.

Ruolo

L’impostazione del ruolo di un utente in base alla sua appartenenza a un gruppo comporta due fasi. Innanzitutto, crea una nuova regola usando il modello Send Group Membership as a Claim. Quindi, modifica leggermente la definizione generata da tale regola per creare una regola personalizzata che passi correttamente le informazioni a Zendesk.

Per creare la regola di appartenenza al gruppo:

1. Aggiungi una nuova regola e seleziona Send Group Membership as a Claim per il modello.
2. Usa il pulsante Sfoglia per individuare il gruppo da mappare al ruolo.
   
3. Sotto Outgoing Claim Type, seleziona Role.
   
4. Sotto Outgoing claim value, usa il valore specificato nella tabella degli attributi utente nella nostra documentazione SAML.
5. Fai clic su Finish, quindi su Edit Rule per la regola appena creata.
6. Usa il pulsante View Rule Language per ottenere il codice non elaborato per la regola. Copia il codice da qualche parte in quanto lo dovrai usare nel passaggio successivo.
   

Per creare la regola personalizzata:

1. Dopo aver copiato il codice dalla finestra della lingua della regola, fai clic su OK per chiudere la finestra di dialogo.
2. Rimuovi la regola e aggiungi una nuova regola con il modello Send Claims using a Custom Rule.
3. Incolla il codice copiato nell’editor delle regole personalizzate, quindi elimina la stringa “http://schemas.microsoft.com/ws/2008/06/identity/claims/” dal campo Type. Dovrebbe rimanere solo la parola role.
   
4. Salva la regola.

Ruolo personalizzato

Per impostare un ruolo personalizzato, devi usare l’ API Ruoli agente personalizzati per ottenere l’ID. Quindi, segui i passaggi per la creazione di una regola di ruolo generica nella sezione 4, con le modifiche seguenti:

• Invece di agente o amministratore per il valore attestazione in uscita, usa l’ID del ruolo.
• Non lasciare la parola role nel campo Type, ma cambia il valore in custom_role_id.

L’ultima istruzione della regola sarà simile a quanto segue:

issue(Type = "custom_role_id", Value = "ROLE_ID_HERE", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);

La mappatura dei ruoli personalizzata funziona solo se l’utente ha già il ruolo agent.