OpenID Connect (OIDC) è un protocollo di autenticazione basato sul framework OAuth 2.0. Consente agli sviluppatori di autenticare gli utenti e ottenere informazioni di base sul profilo in modo sicuro e standardizzato. OIDC usa i token ID per verificare l’identità degli utenti in base all’autenticazione eseguita da un server di autorizzazione, semplificando il processo di gestione delle identità degli utenti e migliorando la sicurezza delle interazioni tra utenti e applicazioni.
Il Single Sign-On (SSO) OIDC con Zendesk semplifica il processo di autenticazione consentendo agli utenti di accedere usando un provider di identità centrale (IdP) come Google o Okta anziché gestire credenziali di accesso separate per Zendesk.
Articoli correlati:
Come funziona OIDC SSO per Zendesk
OIDC SSO consente a un utente di autenticarsi con un IdP usando un protocollo standard. Una volta autenticato, l’IdP emette un token ID che viene usato per verificare l’identità dell’utente e le autorizzazioni di accesso.
Passaggi della procedura SSO Zendesk con OIDC:
- Un utente non autenticato accede all'URL del tuo Zendesk Support. Esempio: https://yoursubdomain.zendesk.com/.
- A seconda del workflow di accesso, l’utente fa clic su un pulsante nella pagina di accesso di Zendesk per accedere con SSO, indirizzandolo al tuo IdP, oppure viene reindirizzato automaticamente al tuo IdP per accedere.
- Dopo che l’utente si è autenticato, l’IdP genera un token ID contenente informazioni specifiche dell’utente.
- Il token viene rispedito a Zendesk, dove viene convalidato in base ai dettagli di configurazione condivisi tra Zendesk e l’IdP.
- Dopo la convalida, Zendesk concede all’utente l’accesso, sfruttando la fiducia stabilita dall’IdP.
Considerazioni importanti
- Non è possibile usare OIDC per autenticare gli utenti nella messaggistica.
- Zendesk richiede che tutti gli utenti dispongano di un indirizzo email associato al proprio profilo, ma gli utenti potrebbero tentare di accedere senza un indirizzo email. In questo scenario, per evitare un ciclo in cui l'autenticazione non riesce a causa della mancanza di un indirizzo email, Zendesk visualizza un messaggio di errore.
- Se vuoi usare OIDC con Entra, devi configurare alcuni requisiti specifici.
- La modalità di autenticazione deve essere PKCE.
- Aggiungi l’URL di richiamata nel modulo di configurazione Entra OIDC PKCE in Applicazioni mobili e desktop - URI di reindirizzamento.
Creazione della configurazione SSO OIDC
Gli amministratori possono abilitare Single Sign-On OIDC solo per gli utenti finali, solo per i membri del team (inclusi agenti interni e collaboratori) o per entrambi i gruppi. Puoi creare più configurazioni SSO OIDC.
Le informazioni necessarie per questo passaggio devono provenire dall’IdP che stai usando, quindi assicurati che l’IdP sia configurato prima di iniziare. Potrebbe essere necessario ottenere le informazioni dal team IT della tua azienda.
Per creare la configurazione SSO OIDC in Zendesk
- Nel Centro amministrativo, fai clic su Account nella barra laterale, quindi seleziona Sicurezza > Single Sign-On.
- Fai clic su Crea configurazione SSO, quindi seleziona OpenID Connect.
- Inserisci un Nome configurazione univoco.
- (Facoltativo) In Intervalli IP, inserisci un elenco di intervalli IP per reindirizzare gli utenti all’opzione di accesso appropriata.
Gli utenti che effettuano richieste dagli intervalli IP specificati vengono indirizzati al modulo di accesso con autenticazione OIDC remota. Gli utenti che effettuano richieste da indirizzi IP al di fuori degli intervalli vengono indirizzati al modulo di accesso Zendesk standard. Non specificare alcun intervallo se vuoi che tutti gli utenti siano reindirizzati al modulo di accesso con autenticazione remota.
- Nel campo ID cliente , inserisci l’ID cliente fornito dal tuo IdP.
- Inserisci il segreto client se il tuo IdP lo richiede.
Poiché il segreto del client deve essere mantenuto riservato, non lo vedrai più dopo aver salvato la configurazione. Se devi ruotare il segreto, modifica questa configurazione SSO per inserire e salvare un nuovo segreto.
- Nel campo Ambiti , elenca tutti gli ambiti che vuoi richiedere all’IdP. Come minimo, devi aggiungere
openid
eemail
. Gli ambiti sono separati da spazi e senza virgole. Ad esempio:openid email phone
Gli ambiti supportati nello standard OIDC includono
openid
,profile
,email
,address
, ephone
. Puoi anche elencare gli ambiti personalizzati configurati nel tuo IdP.Gli ambiti non accettati rifiutati dall’IdP impediranno l’accesso con l’errore
Unknown error during sign-in
. Zendesk non convalida nessuno degli ambiti in questo campo. - Seleziona Attiva individuazione automatica se vuoi fornire solo l’URL dell’emittente. Quando questa opzione è attivata, Zendesk estrae automaticamente i dettagli di configurazione dal documento di configurazione OIDC. Devi solo fornire l’URL dell’emittente e la Modalità di autenticazione.
- Inserisci gli URL richiesti.
Verifica se il tuo IdP richiede un formato specifico per gli URL che stai usando. Se gli URL sono formattati in modo errato e rifiutati dal tuo IdP, potresti riscontrare un errore di accesso accompagnato dal messaggio di errore
Unknown error during sign-in
. Zendesk non convalida gli URL in questi campi.- URL emittente (noto anche come identificatore emittente): Identificatore univoco per l’IdP che esegue l’autenticazione utente e fornisce i token ID.
- URL info utente: Un endpoint fornito dall’IdP che, quando si accede con un token di accesso valido, restituisce gli attributi relativi all’utente autenticato.
- URL JWK: Un endpoint fornito dall’IdP che consente a Zendesk di recuperare le chiavi pubbliche del provider. Queste chiavi vengono usate per verificare la firma dei token web JSON (JWT) emessi dall’IdP.
- URL di autorizzazione: Quando gli utenti accedono a questo URL, viene loro chiesto di accedere e di accettare gli ambiti richiesti.
- URL di accesso (noto anche come URL dell’endpoint del token): Usato per scambiare un codice di autorizzazione, un ID client e un segreto client con un token di accesso.
- Scegli una modalità di autenticazione. PKCE è consigliato.
- L’uso di PKCE per ottenere il token di accesso è la soluzione migliore per i client pubblici, come le app web per dispositivi mobili o Javascript, in quanto usa chiavi generate dinamicamente per impedire lo scambio di token non autorizzato senza la necessità di un segreto client.
- Scegli Flusso del codice di autorizzazione se vuoi ottenere il token di accesso usando il flusso del codice di autorizzazione. È la soluzione migliore per le app basate su server con spazio di archiviazione back-end sicuro che si basano su un segreto client per ottenere i token.
- Seleziona Mostra pulsante quando gli utenti accedono se consenti agli utenti di scegliere come accedere e vuoi che questa configurazione sia un’opzione tra cui scegliere. Se selezioni questa opzione, devi anche assegnare un nome al pulsante che verrà mostrato nella pagina di accesso di Zendesk.
Deseleziona questa casella se gli utenti accedono solo usando un provider di identità perché non usano la pagina di accesso Zendesk.
- Fai clic su Salva.
Per impostazione predefinita, le configurazioni SSO aziendali sono disattivate. Per attivarlo, devi assegnare OIDC SSO agli utenti .
Assegnazione SSO OIDC agli utenti
Dopo aver creato la configurazione SSO OIDC, devi attivarla assegnandola agli utenti finali, ai membri del team o a entrambi.
Per assegnare una configurazione SSO ai membri del team o agli utenti finali
- Apri le impostazioni di sicurezza per i membri del team o gli utenti finali.
- Nel Centro amministrativo, fai clic su Account nella barra laterale, quindi seleziona Sicurezza > Autenticazione membri del team.
- Nel Centro amministrativo, fai clic su Account nella barra laterale, quindi seleziona Sicurezza > Autenticazione utenti finali.
- Seleziona Autenticazione esterna per mostrare le opzioni di autenticazione.
- Seleziona i nomi delle configurazioni SSO da usare.
Single Sign-On potrebbe non coprire tutti i casi d'uso, pertanto l'autenticazione Zendesk rimane attiva per impostazione predefinita.
- Scegli come consentire agli utenti di accedere.
L’opzione Consenti loro di scegliere abilita gli utenti ad accedere usando qualsiasi metodo di autenticazione attivo. Consulta Accesso a Zendesk per gli utenti in diverse modalità.
Il reindirizzamento a SSO consente agli utenti di autenticarsi solo usando la configurazione SSO principale. Gli utenti non vedono ulteriori opzioni di accesso, anche se sono attive. Quando selezioni Reindirizza a SSO, viene visualizzato il campo SSO principale per selezionare la configurazione SSO principale.
- Fai clic su Salva.
Gestione degli utenti in Zendesk dopo aver attivato SSO OIDC
Dopo aver abilitato il Single Sign-On OIDC in Zendesk, le modifiche apportate agli utenti esterni a Zendesk non vengono sincronizzate automaticamente con il tuo account Zendesk. Gli utenti vengono aggiornati in Zendesk al momento dell’autenticazione. Ad esempio, se un utente viene aggiunto al tuo sistema interno, quando accede a Zendesk viene aggiunto al tuo account Zendesk. Se un utente viene eliminato dal sistema interno, non sarà più in grado di accedere a Zendesk. Tuttavia, il suo account continuerà a esistere in Zendesk.
Per impostazione predefinita, quando il Single Sign-On è abilitato, gli unici dati utente memorizzati in Zendesk sono il nome e l'indirizzo email dell'utente. Zendesk non memorizza le password. Di conseguenza, dovresti disattivare le notifiche email automatizzate di Zendesk sulle password.
Disabilitazione delle email di notifica sulle password di Zendesk
Per ogni nuovo utente che accede al tuo account Zendesk usando SAML, JWT o OpenID Connect (OIDC) come opzione di Single Sign-On viene creato un profilo utente Zendesk. Poiché gli utenti vengono autenticati tramite un IdP con una password non Zendesk, il profilo viene creato senza password in quanto non è necessario accedere a Zendesk.
Poiché i nuovi utenti che accedono a Zendesk tramite SSO vengono verificati tramite un IdP, non ricevono notifiche email per la verifica del proprio account. Tuttavia, è comunque consigliabile disattivare le notifiche email automatiche per impedire che vengano inviate nel caso in cui la verifica dell’utente tramite IdP non andasse a buon fine. Nel caso dell’SSO, la verifica degli utenti deve sempre avvenire tramite IdP.
Per disattivare le email di notifica sulle password
- In Centro amministrativo, fai clic sull’icona Persone nella barra laterale, quindi seleziona Configurazione > Utenti finali.
- Nella sezione Email relative all’account, deseleziona Invia un’email di benvenuto anche quando un nuovo utente viene creato da un agente o un amministratore.
- In Consenti agli utenti di cambiare la propria password, deseleziona questa opzione.
Modifica del metodo di autenticazione
Se usi un metodo SSO di terzi per creare e autenticare gli utenti in Zendesk e poi passi all’autenticazione Zendesk, questi utenti non avranno una password per l’accesso. Per ottenere l’accesso, chiedi a questi utenti di reimpostare la loro password dalla pagina di accesso a Zendesk.
Attributi supportati da Zendesk
-
Gli attributi standard sono attributi predefiniti e ampiamente accettati specificati dal protocollo OIDC e garantiscono una comprensione uniforme dell’identità degli utenti nei diversi sistemi. Zendesk supporta i seguenti attributi standard:
sub
,email
,email_verified
, elocale
. - Gli attributi personalizzati sono attributi aggiuntivi che estendono il set standard per soddisfare i requisiti specifici di Zendesk. Puoi passare attributi personalizzati nel token ID o nelle attestazioni userinfo.
La tabella seguente mostra un elenco completo degli attributi standard e personalizzati supportati da Zendesk.
Attributo | Descrizione |
---|---|
name | Il nome completo dell’utente in formato visualizzabile, incluse tutte le parti del nome, inclusi eventualmente titoli e suffissi, in ordine in base alle impostazioni locali e alle preferenze dell’utente finale. |
L’indirizzo email principale dell’utente. | |
email_verified | True se l’indirizzo email dell’utente è stato verificato; altrimenti falso. Quando il valore di questo attributo è true, significa che il provider OpenID ha adottato misure affermative per garantire che questo indirizzo email fosse controllato dall’utente al momento dell’esecuzione della verifica. Quando usi SSO in Zendesk, è tua responsabilità verificare gli indirizzi email degli utenti. |
organization | Il nome o l’ID dell’organizzazione a cui aggiungere l’utente. L’attributo external_id di un’organizzazione non è supportato. Se l’organizzazione non esiste in Zendesk, non verrà creata. L’utente verrà comunque creato, ma non verrà aggiunto a nessuna organizzazione. |
organizations | Valori separati da virgole come org1 , org2 , org3
|
organization_id |
L'ID esterno dell'organizzazione nell'API Zendesk. Se vengono specificati sia organization che organization_id, l'organizzazione viene ignorata. Esempio: Se vuoi trasmettere più ID di organizzazioni contemporaneamente, usa l’attributo organization_ids. Gli ID delle organizzazioni devono essere inseriti in una stringa, separati da virgole. |
organization_ids |
Gli ID esterni dell'organizzazione nell'API Zendesk. Usa questo attributo quando trasmetti più ID di organizzazioni contemporaneamente. Se vengono specificati sia organization che organization_ids, il file organization viene ignorato. Esempio: Valori separati da virgole come |
phone | Un numero di telefono, specificato come stringa. |
tags | I tag da impostare per l’utente. I tag sostituiranno qualsiasi altro tag esistente nel profilo dell’utente. |
remote_photo_url | L’URL di una foto da impostare nel profilo utente. |
locale (per agenti) locale_id (per utenti finali) |
Le impostazioni locali in Zendesk, specificate come numero. Per ottenere un elenco di numeri validi, consulta Locales nella documentazione API. |
zendesk_role | Il ruolo dell’utente. Può essere impostato su utente finale, agente o amministratore. Se non trasmetti zendesk_role, Zendesk crea l’utente come utente finale, a meno che non esista già con un altro ruolo. |
custom_role_id | Applicabile solo se il valore dell’attributo role qui sopra è agente. Puoi ottenere gli ID dei tuoi ruoli personalizzati con l’ API dei ruoli personalizzati. |
external_id | Un ID utente dal tuo sistema se gli utenti sono identificati da qualcosa di diverso da un indirizzo email o se i loro indirizzi email sono soggetti a modifiche. Specificato come stringa. |
user_field_<chiave> | Un valore per un campo utente personalizzato in Zendesk Support. Consulta Aggiunta di campi personalizzati agli utenti. La <chiave> è la chiave assegnata al campo utente personalizzato in Zendesk Support. Esempio: user_field_employee_number dove employee_number è la chiave del campo in Zendesk. L’invio di un valore nullo o di una stringa vuota nel valore dell’attributo rimuoverà qualsiasi valore del campo personalizzato impostato in Zendesk Support. |
Avvertenza sulla traduzione: questo articolo è stato tradotto usando un software di traduzione automatizzata per fornire una comprensione di base del contenuto. È stato fatto tutto il possibile per fornire una traduzione accurata, tuttavia Zendesk non garantisce l'accuratezza della traduzione.
Per qualsiasi dubbio sull'accuratezza delle informazioni contenute nell'articolo tradotto, fai riferimento alla versione inglese dell'articolo come versione ufficiale.