Zendesk supporta l’accesso Single Sign-On aziendale agli account Zendesk tramite Secure Assertion Markup Language (SAML), JSON Web Token (JWT)e OpenID Connect (IODC). Con il servizio SSO, agli utenti è sufficiente connettersi una sola volta usando il modulo di accesso dell’azienda per accedere a molteplici sistemi e provider di servizi, inclusi i prodotti Zendesk.
In qualità di amministratore Zendesk, il tuo ruolo consiste nell’abilitare le opzioni SSO. Il presente articolo spiega come abilitare più configurazioni Single Sign-On SAML che possono essere utilizzate per l’autenticazione dei membri del team (amministratori e agenti, inclusi agenti interni e collaboratori), degli utenti finali o di entrambi.
Questo articolo include i seguenti argomenti:
- Funzionamento di SSO SAML per Zendesk
- Requisiti per l’abilitazione di SSO SAML
- Abilitazione di SSO SAML
- Assegnazione di SSO SAML agli utenti
- Gestione degli utenti in Zendesk dopo l’abilitazione di SSO SAML
- Cambiamento del metodo di autenticazione
In genere, il team IT di un’azienda è responsabile della configurazione e della gestione del sistema di autenticazione SAML dell’azienda. Il suo ruolo è implementare SSO per Zendesk nel sistema. Invita il team a leggere il seguente argomento in questo articolo:
Articoli correlati:
Funzionamento di SSO SAML per Zendesk
SAML per Zendesk funziona allo stesso modo di SAML con tutti gli altri provider di servizi. Un caso d’uso comune è rappresentato dalle aziende in cui l’autenticazione degli utenti è gestita interamente da un sistema di autenticazione aziendale, come Active Directory o LDAP (generalmente denominato provider di identità o IdP). Zendesk instaura un rapporto di fiducia con il provider di identità e gli consente di autenticare gli utenti e connetterli agli account Zendesk.
Un caso d’uso comune è rappresentato dagli utenti che si collegano al sistema aziendale all’inizio della giornata lavorativa. Una volta effettuato l’accesso, gli utenti possono accedere ad altre applicazioni e servizi aziendali (quali l’account email o Zendesk Support) senza dover accedere separatamente a ciascun servizio.
Se un utente tenta di accedere direttamente a un account Zendesk, viene reindirizzato al tuo server o servizio SAML per l’autenticazione. Una volta autenticato, l’utente viene reindirizzato al tuo account Zendesk e connesso automaticamente.
Un altro workflow supportato è consentire agli utenti di accedere a Zendesk dopo la connessione al sito web dell’azienda. Quando un utente si connette al sito web usando le proprie credenziali, il sito web invia una richiesta al provider di identità per convalidare l’utente. Il sito web invia quindi la risposta del provider al server SAML, che la inoltra al tuo account Zendesk, che a sua volta accorda una sessione all’utente.
Requisiti per l’abilitazione di SSO SAML
Incontra il team responsabile del sistema di autenticazione SAML della tua azienda (di solito il team IT) per assicurarti che l’azienda soddisfi i seguenti requisiti:
-
L’azienda dispone di un server SAML con utenti di cui è stato eseguito il provisioning o connesso a un repository di identità come Microsoft Active Directory o LDAP. Le opzioni includono l’uso di un server SAML interno come OpenAM o di un servizio SAML come Okta, OneLogin o PingIdentity.
-
Se si usa un server ADFS (Active Directory Federation Services), l’autenticazione basata su moduli deve essere abilitata. Zendesk non supporta l’autenticazione integrata di Windows (WIA). Per ulteriori informazioni, consulta Configurazione di Single Sign-On usando Active Directory con ADFS e SAML.
- Il traffico in direzione di Zendesk utilizza HTTPS e non HTTP.
- L’URL di accesso remoto per il server SAML (chiamato anche URL Single Sign-On SAML)
- (Facoltativo) L’URL di disconnessione remota a cui Zendesk può reindirizzare gli utenti dopo che si sono disconnessi da Zendesk
- (Facoltativo) Un elenco di intervalli IP per reindirizzare gli utenti all’opzione di accesso appropriata. Gli utenti che effettuano richieste dagli intervalli IP specificati vengono indirizzati al modulo di accesso con autenticazione SAML remota. Gli utenti che effettuano richieste da indirizzi IP al di fuori degli intervalli vengono indirizzati al modulo di accesso Zendesk normale. Se non specifichi un intervallo, tutti gli utenti vengono reindirizzati al modulo di accesso con autenticazione remota.
- L’impronta SHA2 del certificato SAML dal server SAML. I certificati X.509 sono supportati e devono essere in formato PEM o DER, ma dovrai comunque fornire un'impronta SHA2 per il certificato X.509. Non esiste un limite massimo per le dimensioni dell’impronta SHA.
Il team IT potrebbe avere bisogno di ulteriori informazioni da Zendesk per configurare l’implementazione SAML. Invita il team a consultare Foglio di lavoro per l’implementazione tecnica in questo articolo.
Dopo essersi assicurati di soddisfare tutti i requisiti e di disporre di tutte le informazioni necessarie, è possibile abilitare SSO SAML.
Abilitazione di SSO SAML
Gli amministratori possono abilitare Single Sign-On SAML solo per gli utenti finali, solo per i membri del team (inclusi agenti interni e collaboratori) o per entrambi i gruppi. Puoi creare molteplici configurazioni SSO SAML. Prima di iniziare, richiedi le informazioni necessarie al team IT della tua azienda. Consulta Requisiti per l’abilitazione di SSO SAML.
Per abilitare Single Sign-On SAML in Zendesk
- Nel Centro amministrativo, fai clic su Account nella barra laterale, quindi seleziona Sicurezza > Single Sign-On.
- Fai clic su Crea configurazione SSO, quindi seleziona SAML.
- Inserisci un Nome configurazione univoco.
- In URL SSO SAML, inserisci l’URL di accesso remoto del server SAML.
- Inserisci l’Impronta certificato SHA-256, necessaria per comunicare con il server SAML.
- (Facoltativo) In URL di uscita remota, inserisci l’URL di uscita a cui gli utenti devono essere reindirizzati quando si disconnettono da Zendesk.
- (Facoltativo) In Intervalli IP, inserisci un elenco di intervalli IP per reindirizzare gli utenti all’opzione di accesso appropriata.
Gli utenti che effettuano richieste dagli intervalli IP specificati vengono indirizzati al modulo di accesso con autenticazione SAML remota. Gli utenti che effettuano richieste da indirizzi IP al di fuori degli intervalli vengono indirizzati al modulo di accesso Zendesk normale. Non specificare alcun intervallo se vuoi che tutti gli utenti siano reindirizzati al modulo di accesso con autenticazione remota.
- Seleziona Mostra pulsante all’accesso degli utenti per aggiungere il pulsante Continua con SSO alla pagina di accesso a Zendesk.
Puoi personalizzare l’etichetta del pulsante inserendo un valore nel campo Nome pulsante. Le etichette dei pulsanti personalizzate sono utili se aggiungi più pulsanti SSO alla pagina di accesso. Per maggiori informazioni, consulta Aggiunta di pulsanti “Continua con SSO” alla pagina di accesso Zendesk.
- Fai clic su Salva.
Per impostazione predefinita, le configurazioni SSO aziendali sono disattivate. Assegna la configurazione SSO agli utenti per attivarla.
Assegnazione di SSO SAML agli utenti
Una volta creata una configurazione SSO SAML, devi attivarla assegnandola agli utenti finali, ai membri del team o a entrambi.
Per assegnare una configurazione SSO ai membri del team o agli utenti finali
- Apri le impostazioni di sicurezza per i membri del team o gli utenti finali.
- Nel Centro amministrativo, fai clic su Account nella barra laterale, quindi seleziona Sicurezza > Autenticazione membri del team.
- Nel Centro amministrativo, fai clic su Account nella barra laterale, quindi seleziona Sicurezza > Autenticazione utenti finali.
- Seleziona Autenticazione esterna per mostrare le opzioni di autenticazione.
- Seleziona i nomi delle configurazioni SSO da usare.
Single Sign-On potrebbe non coprire tutti i casi d'uso, pertanto l'autenticazione Zendesk rimane attiva per impostazione predefinita.
- Scegli come consentire agli utenti di accedere.
L’opzione Consenti loro di scegliere abilita gli utenti ad accedere usando qualsiasi metodo di autenticazione attivo. Consulta Accesso a Zendesk per gli utenti in diverse modalità.
Il reindirizzamento a SSO consente agli utenti di autenticarsi solo usando la configurazione SSO principale. Gli utenti non vedono ulteriori opzioni di accesso, anche se sono attive. Quando selezioni Reindirizza a SSO, viene visualizzato il campo SSO principale per selezionare la configurazione SSO principale.
- Fai clic su Salva.
Gestione degli utenti in Zendesk dopo l’abilitazione di SSO SAML
Dopo aver abilitato il Single Sign-On SAML in Zendesk, le modifiche apportate agli utenti esterni a Zendesk non vengono sincronizzate automaticamente con il tuo account Zendesk. Gli utenti vengono aggiornati in Zendesk al momento dell’autenticazione. Ad esempio, se un utente viene aggiunto al tuo sistema interno, quando accede a Zendesk viene aggiunto al tuo account Zendesk. Quando vengono apportati cambiamenti ai dati dell’utente nel sistema interno (come il nome o l’indirizzo email), gli eventuali attributi condivisi nel payload di SAML vengono aggiornati in Zendesk. Se un utente viene eliminato dal sistema interno, non sarà più in grado di accedere a Zendesk. Tuttavia, il suo account continuerà a esistere in Zendesk.
Per impostazione predefinita, quando il Single Sign-On è abilitato, gli unici dati utente memorizzati in Zendesk sono il nome e l'indirizzo email dell'utente. Zendesk non memorizza le password. Di conseguenza, dovresti disattivare le notifiche email automatizzate di Zendesk sulle password.
Per migliorare l’esperienza clienti, in Zendesk potresti memorizzare non solo il nome e l’indirizzo email dell’utente, ma anche altri dati. Consulta Ottenere ulteriori dati utente.
Disabilitazione delle email di notifica sulle password di Zendesk
Per ogni nuovo utente che accede al tuo account Zendesk usando SAML, JWT o OpenID Connect (OIDC) come opzione di Single Sign-On viene creato un profilo utente Zendesk. Poiché gli utenti vengono autenticati tramite un IdP con una password non Zendesk, il profilo viene creato senza password in quanto non è necessario accedere a Zendesk.
Poiché i nuovi utenti che accedono a Zendesk tramite SSO vengono verificati tramite un IdP, non ricevono notifiche email per la verifica del proprio account. Tuttavia, è comunque consigliabile disattivare le notifiche email automatiche per impedire che vengano inviate nel caso in cui la verifica dell’utente tramite IdP non andasse a buon fine. Nel caso dell’SSO, la verifica degli utenti deve sempre avvenire tramite IdP.
Per disattivare le email di notifica sulle password
- In Centro amministrativo, fai clic sull’icona Persone nella barra laterale, quindi seleziona Configurazione > Utenti finali.
- Nella sezione Email relative all’account, deseleziona Invia un’email di benvenuto anche quando un nuovo utente viene creato da un agente o un amministratore.
- In Consenti agli utenti di cambiare la propria password, deseleziona questa opzione.
Modifica del metodo di autenticazione
Se usi un metodo SSO di terzi per creare e autenticare gli utenti in Zendesk e poi passi all’autenticazione Zendesk, questi utenti non avranno una password per l’accesso. Per ottenere l’accesso, chiedi a questi utenti di reimpostare la loro password dalla pagina di accesso a Zendesk.
Foglio di lavoro per l’implementazione tecnica
Questa sezione è destinata al team responsabile del sistema di autenticazione SAML dell’azienda. Fornisce dettagli sull’implementazione SSO SAML di Zendesk.
Argomenti trattati:
- Dati utente necessari per identificare l’utente che viene autenticato
- Configurazione del provider di identità per Zendesk
- Configurazione del server SAML per Zendesk
- Parametri restituiti agli URL di accesso remoto e disconnessione remota
- Uso di RelayState per reindirizzare gli utenti dopo l’autenticazione
- Risoluzione dei problemi relativi alla configurazione SAML per Zendesk
Dati utente necessari per identificare l’utente che viene autenticato
Quando implementi l’accesso SSO SAML agli account Zendesk, specifichi determinati dati utente per identificare l’utente che viene autenticato.
Questi argomenti descrivono i dati che devi fornire:
Specificare l’indirizzo email dell’utente in NameID dell’oggetto SAML
Zendesk usa gli indirizzi email per identificare gli utenti in modo univoco. Devi specificare l’indirizzo email dell’utente nell’ID nome dell’oggetto SAML.
Ad esempio:
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">stevejobs@yourdomain.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-04-23T21:42:47.412Z"/>
</saml:SubjectConfirmation>
</saml:Subject>
Se gli attributi givenname e surname non sono forniti, Zendesk utilizzerà il nome utente dell’indirizzo email fornito nell’elemento
come nome dell’utente. La prima parte di un indirizzo email prima del simbolo "@" è il nome utente.
Se il nome utente dell’email include un punto, verrà usato per analizzare nome e cognome. Se non include un punto, l’intero nome utente diventa il nome dell’utente in Zendesk. Ad esempio, se l’indirizzo email
è stanley.yelnats@tuodominio.com, come nome utente in Zendesk viene memorizzato Stanley Yelnats; se invece l’indirizzo email è stanleyyelnats@tuodominio.com, come nome utente in Zendesk viene memorizzato Stanleyyelnats.
Specificare due attributi utente obbligatori nell’asserzione SAML
Se specifichi gli attributi givenname e surname, devi usare lo spazio dei nomi completo anziché i nomi descrittivi. Ad esempio: dove il nome descrittivo potrebbe essere "surname", il valore effettivo da specificare per l’attributo è http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
Concetto | Attributo | Descrizione | Valore di esempio |
---|---|---|---|
nome | givenname | Il nome dell’utente. Devi specificare lo spazio dei nomi completo per questo attributo. |
|
cognome | surname | Il cognome di questo utente. Un utente in Zendesk viene creato o aggiornato in base al nome e al cognome di tale utente. Guarda l’esempio seguente. Devi specificare lo spazio dei nomi completo per questo attributo. |
|
Esempio di nome e cognome:
<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<saml:AttributeValue xsi:type="xs:anyType">James</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<saml:AttributeValue xsi:type="xs:anyType">Dietrich</saml:AttributeValue>
</saml:Attribute>
Zendesk supporta attributi utente supplementari. Parla con il tuo amministratore di Zendesk Support dei requisiti relativi ai dati in Support.
Ottenere ulteriori dati utente
Gli unici dati utente che Zendesk richiede al sistema di autenticazione sono il nome, il cognome e l’indirizzo email dell’utente. Il nome e il cognome indicati sono gli unici nomi di attributi che devi usare per acquisire informazioni sul nome di un utente. Tuttavia, per ottenere ulteriori dati, chiedi al team IT di aggiungere attributi utente alle asserzioni SAML che il provider di identità invia a Zendesk quando gli utenti eseguono l’accesso.
Un’asserzione SAML contiene una o più istruzioni relative all’utente. Un’istruzione è la decisione in merito all’autorizzazione, ovvero se all’utente è stato concesso o meno l’accesso. Un’altra istruzione può essere costituita da attributi che descrivono l’utente che ha effettuato l’accesso.
Attributo | Descrizione |
---|---|
organization | Il nome o l’ID dell’organizzazione a cui aggiungere l’utente. L’attributo external_id di un’organizzazione non è supportato. Se l’organizzazione non esiste in Zendesk, non verrà creata. L’utente verrà comunque creato, ma non verrà aggiunto a nessuna organizzazione. |
organizations | Valori separati da virgola come org1 , org2 , org3
|
organization_id |
L'ID esterno dell'organizzazione nell'API Zendesk. Se vengono specificati sia organization che organization_id, l'organizzazione viene ignorata. Esempio: Se vuoi trasmettere più ID di organizzazioni contemporaneamente, usa l’attributo organization_ids. Gli ID delle organizzazioni devono essere inseriti in una stringa, separati da virgole. |
organization_ids |
Gli ID esterni dell'organizzazione nell'API Zendesk. Usa questo attributo quando trasmetti più ID di organizzazioni contemporaneamente. Se vengono specificati sia organization che organization_ids, il file organization viene ignorato. Esempio: Valori separati da virgola come |
telefono | Un numero di telefono, specificato come stringa. |
tags | I tag da impostare per l’utente. I tag sostituiranno qualsiasi altro tag esistente nel profilo dell’utente. |
remote_photo_url | L’URL di una foto da impostare nel profilo utente. |
locale (per agenti) locale_id (per utenti finali) |
Le impostazioni locali in Zendesk, specificate come numero. Per ottenere un elenco di numeri validi, consulta Locales nella documentazione API. |
role | Il ruolo dell’utente. Può essere impostato su utente finale, agente o amministratore. L’impostazione predefinita è utente finale. |
custom_role_id | Applicabile solo se il valore dell’attributo role qui sopra è agente. Puoi ottenere gli ID dei tuoi ruoli personalizzati con l’API dei ruoli personalizzati. |
external_id | Un ID utente del sistema se gli utenti sono identificati da qualcosa di diverso da un indirizzo email o se i loro indirizzi email sono soggetti a modifiche. Specificato come stringa. |
user_field_<chiave> | Un valore per un campo utente personalizzato in Zendesk Support. Consulta Aggiunta di campi personalizzati agli utenti. La <chiave> è la chiave assegnata al campo utente personalizzato in Zendesk Support. Esempio: user_field_employee_number dove employee_number è la chiave del campo in Zendesk. L’invio di un valore nullo o di una stringa vuota nel valore dell’attributo rimuoverà qualsiasi valore del campo personalizzato impostato in Zendesk Support.
|
Nome descrittivo | Nome formale SAML2 |
---|---|
ou (unità organizzativa) | urn:oid:2.5.4.11 |
displayName | urn:oid:2.16.840.1.113730.3.1.241 |
Configurazione del provider di identità per Zendesk
Attributo | Valore |
---|---|
entityID | https://yoursubdomain.zendesk.com |
AudienceRestriction | tuosottodominio.zendesk.com |
Per entrambi i valori, sostituisci tuo_sottodominio con il sottodominio Zendesk Support. Se non sei sicuro del sottodominio, chiedi al tuo amministratore Zendesk.
Zendesk applica l’attributo AudienceRestriction
.
Configurazione del server SAML per Zendesk
È possibile che alcuni server SAML richiedano le seguenti informazioni quando si configura un’integrazione con Zendesk:
-
URL ACS (Access Consumer Service): Specificahttps://yoursubdomain.zendesk.com/access/saml (distinzione tra maiuscole/minuscole), dove "accountname" è il tuo sottodominio Support
-
Reindirizzamenti a URL Single Sign-On SAML: usa POST HTTP
-
Algoritmo di hash (ADFS): Zendesk supporta l’algoritmo SHA-2 in caso di utilizzo di ADFS (Active Directory Federation Services)
Parametri restituiti agli URL di accesso remoto e disconnessione remota
Quando gli utenti vengono reindirizzati al tuo sistema di autenticazione, Zendesk aggiunge i seguenti parametri agli URL di accesso remoto e di disconnessione remota.
Attributo | Descrizione |
---|---|
brand_id | Il brand del centro assistenza in cui si trovava l’utente quando ha tentato di accedere. Per maggiori informazioni, consulta Creazione di un centro assistenza per uno dei tuoi brand. |
Attributo | Descrizione |
---|---|
L’indirizzo email dell’utente che si disconnette. | |
external_id | Un identificatore univoco del sistema memorizzato nel profilo utente Zendesk. |
brand_id | Il brand del centro assistenza in cui si trovava l’utente quando si è scollegato. Per maggiori informazioni, consulta Creazione di un centro assistenza per uno dei tuoi brand. |
Se preferisci non ricevere informazioni su email e ID esterno nell’URL di disconnessione, chiedi al tuo amministratore Zendesk di specificare dei parametri vuoti nel campo URL di uscita remota nell’interfaccia di amministrazione. Consulta Abilitazione di SSO SAML. Ad esempio: https://www.yourdomain.com/user/signout/?email=&external_id=.
Uso di RelayState per reindirizzare gli utenti dopo l’autenticazione
RelayState
è un parametro usato per mantenere lo stato della richiesta di origine durante il processo SSO. Specifica l’URL originale a cui l’utente tentava di accedere prima dell’avvio della procedura SSO. Dopo aver completato la procedura SSO, puoi inoltrare l’utente all’URL RelayState
per offrirgli un’esperienza ottimizzata.
Il parametro RelayState
è facoltativo in SAML. Se non lo includi nella richiesta, l'utente verrà indirizzato alla posizione predefinita in base al tipo di utente.
- Per gli agenti, la posizione predefinita è il dashboard agente in Zendesk Support.
- Per gli utenti finali, la posizione predefinita è la home page del centro assistenza del brand predefinito.
Quando un utente accede a un link Zendesk che richiede l’accesso e tu stai usando SAML, Zendesk reindirizza l’utente alla configurazione SSO che hai impostato e invia l’URL da cui proviene l’utente nel parametro RelayState
.
Esempio:
https://zendesk.okta.com/app/zendesk/exladafgzkYLwtYra2r7/sso/saml?RelayState=https%3A%2F%2Fyoursubdomain.zendesk.com%2Fagent%2Ffilters%2F253389123456&brand_id=361234566920&SAMLRequest=[samlloginrequesthere]
Quando crei la richiesta di autenticazione SAML, aggiungi il parametro RelayState
e impostane il valore sull’URL inviato da Zendesk nella risposta SAML.
Esempio del parametro RelayState
che reindirizza gli utenti a https://yoursubdomain.zendesk.com/agent/filters/253389123456:
SAMLResponse=[SAMLpayloadhere]&RelayState=https%3A%2F%2Fyoursubdomain.zendesk.com%2Fagent%2Ffilters%2F253389123456
Risoluzione dei problemi relativi alla configurazione SAML per Zendesk
Di seguito sono riportati i metadati SAML 2.0 di Zendesk:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<EntityDescriptor entityID="https://yoursubdomain.zendesk.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
<SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
<AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yoursubdomain.zendesk.com/access/saml"/> <!-- Note: replace 'accountname' with your Zendesk subdomain -->
</SPSSODescriptor>
</EntityDescriptor>
Zendesk si aspetta un’asserzione SAML simile a quanto segue:
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="s2202bbbb
afa9d270d1c15990b738f4ab36139d463" InResponseTo="_e4a78780-35da-012e-8ea7-005056
9200d8" Version="2.0" IssueInstant="2011-03-21T11:22:02Z" Destination="https://yoursubdomain.zendesk.com/access/saml">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">myidp.entity.id
</saml:Issuer>
<samlp:Status xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<samlp:StatusCode xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
Value="urn:oasis:names:tc:SAML:2.0:status:Success">
Nota: sostituisci "accountname" nell’attributo Destination
con il tuo sottodominio Zendesk.
Zendesk si aspetta che gli attributi utente siano specificati nell’istruzione di attributo di un’asserzione (
) come nell’esempio seguente:
<saml:AttributeStatement>
<saml:Attribute Name="organization">
<saml:AttributeValue xsi:type="xs:string">Acme Rockets</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="tags">
<saml:AttributeValue xsi:type="xs:string">tag1 tag2</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="phone">
<saml:AttributeValue xsi:type="xs:string">555-555-1234</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="role">
<saml:AttributeValue xsi:type="xs:string">agent</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="custom_role_id">
<saml:AttributeValue xsi:type="xs:string">12345</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
Per i nomi e le descrizioni degli attributi utente supportati da Zendesk, consulta la tabella in Ottenere ulteriori dati utente qui sopra. Tieni presente che lo spazio dei nomi completo non è supportato per gli attributi utente facoltativi.