Zendeskアカウントで行うユーザー認証のほかに、シングルサインオンを使用してZendesk以外のアカウントでユーザーを認証することもできます。SSOには、ソーシャルアカウント、ビジネスアカウント、エンタープライズの3種類があります。
この記事では、次のトピックについて説明します。
SSOに関する基本事項
利用可能なシングルサインオンオプションに関する基本事項を以下に示します。これらについては、この記事の後半で詳しく説明します。
- 管理者とエージェントは、Google、Microsoft、またはZendeskアカウントでサインインすることも、ZendeskのURLにアクセスしてユーザー名とパスワードを入力することで直接サインインすることもできます。エンドユーザーは、Zendeskアカウントに加えて、すべてのソーシャルアカウントとビジネスアカウントでサインインすることができます。
- Zendeskアカウントが非アクティブか、または制限されている状態で、ユーザーがZendesk Supportに登録されていないメールアドレスでサインインしようとすると、そのリクエストは拒否されます。
- アクティブなJWT認証とアクティブなSAML認証の設定は、それぞれ2つまで定義できます。
- エンドユーザーまたはチームメンバーに複数のSSO設定を割り当てている場合、エンドユーザー用とチームメンバー用にそれぞれ1つ、メインの認証方法を割り当てる必要があります。
- どの認証方法を選択しても、Zendeskはすべてのユーザーを同じデータベースに保存します。
- サードパーティのIDプロバイダを使用して認証する場合は、ZendeskアプリケーションをIDプロバイダで設定する必要があります。
- 個々のブランドに異なるSSOオプションを適用することはできません。ただし、JWTのカスタムスクリプトを使用すれば可能です。
- ブロックリストにワイルドカード(*)で登録した場合、ユーザーはSSOによるアカウントの認証も作成もできなくなります。詳細については、「許可リストとブロックリストを使用したZendeskへのアクセスの管理」を参照してください。
ソーシャルおよびビジネスアカウントでのシングルサインオン
ソーシャルおよびビジネスアカウントでのシングルサインオンは、ユーザーの利便性の向上のために追加されたサインインオプションです。これらのログインは、ヘルプセンターのサインインページで選択できるようにすることができ、ユーザーは、Zendesk Supportアカウントまたはソーシャルアカウントやビジネスアカウントで認証することができます。認証を行なう場合、チームメンバーはビジネスアカウントしか使用できませんが、エンドユーザーはどちらのアカウントも使用できます。
ソーシャルアカウントは、たとえばFacebookやTwitterなどです。ビジネスアカウントは、たとえばGoogleやMicrosoftなどです。
- Google:Googleサインインは、GmailとGoogle Appsの両方をサポートします。Federated Login Serviceは、Google AppsのBusinessアカウントとEducationアカウントではデフォルトで無効になっています。ドメイン管理者は、http://www.google.com/a/cpanel/yourdomain/SetupIdpのコントロールパネルでこれを有効にできます(yourdomainは、ご使用のドメインで置き換えてください)。ビジネスアカウントの認証は、ユーザーまたはGoogle Appsドメイン(Google Authenticator)で有効になっている2要素認証に対応しています。
- Microsoft:Microsoftアカウントでのサインインは、iPad版のZendesk Support for Mobileアプリではサポートされていません。
ログインページにソーシャルおよびビジネスアカウントのシングルサインオンを追加する手順については、「ソーシャルおよびビジネスシングルサインオン(SSO)の有効化」を参照してください。
エンタープライズシングルサインオン
エンタープライズシングルサインオンは、ソーシャルメディアやビジネスアカウントのシングルサインオンとは異なります。エンタープライズシングルサインオンは、Zendeskアカウントサインインのオプションでも追加のサインインでもなく、他のすべてのサインオプションに取って代わるものです。ここでの「エンタープライズ」とは、Zendesk Enterpriseプランのことではありません。
エンタープライズシングルサインオンの概要
エンタープライズシングルサインオンを有効にすると、Zendeskを迂回して、ユーザー認証を外部で行うことになります。ユーザーがZendeskサインインページに移動したり、Zendeskアカウントへのアクセスリンクをクリックすると、OneLoginやOktaなどの企業サーバーやサードパーティのIDプロバイダーにサインインして認証することができます。エンタープライズシングルサインオンを有効にすると、iOS版とAndroid版のZendeskモバイルアプリにも影響します。
- Zendeskのページまたはサブドメインに移動します。
- 認証されていない場合は、選択したエンタープライズSSOオプションに応じて、企業サーバーまたはサードパーティのIDプロバイダーのログインページにリダイレクトされます。
- サインイン資格情報を入力します。
- 認証されると、元のZendeskページにリダイレクトされます。
エンドユーザーとチームメンバーはどちらも、エンタープライズシングルサインオンを使用してZendeskにサインインできます。このエンタープライズSSOは、エンドユーザーのみを対象、チームメンバーのみを対象、または両者を対象に設定することができます。
エンタープライズシングルサインオンを使用するメリットは、ファイアウォールの内部でユーザーを完全に管理下に置けるという点にあります。社内のユーザー認証システムに対してユーザー認証を1回実行すれば、ファイアウォールの内側および外側にある他の多数のリソースに対するアクセスも許可されます。つまり、Zendeskの外でユーザー管理を行うことになりますが、企業のユーザー認証システムはZendeskと同期を続けられます。新しい従業員のユーザーアカウントを追加すると、Zendeskに即座にアクセスできるようになります。あるいは、従業員のユーザーアカウントを削除すると、その従業員はZendeskにアクセスできなくなります。
デフォルトでは、Zendeskに保存される各ユーザーのデータは名前とメールアドレスですが、組織などの規模では、さらに多様なユーザーデータをZendeskと同期させることができます。
エンタープライズSSO認証を使用して、Zendesk認証を維持することもできます。ただし、SSOがアクティブな場合は常に、ユーザーはSSO認証を使用してログインする必要があります。Zendesk認証を無効にした場合、すべてのZendeskユーザーパスワードは24時間以内に完全に削除されます。
SSOサービスが一時的に利用不能になっても、Zendeskアカウントに引き続きアクセスできます。「SSOサービスの停止中にZendeskアカウントにアクセスする方法」を参照してください。
エンタープライズシングルサインオンのオプション
- JSON Webトークン(JWT):資格情報およびユーザー情報は、Zendeskの共有シークレットを使用して暗号化されたJSON形式で送信されます。JWTシングルサインオンの設定については、「JWTシングルサインオンの有効化」を参照してください。
- SAML(Secure Assertion Markup Language ):SAMLは、Okta、OneLogin、Active Directory、LDAPなどの多くのIDプロバイダサービスでサポートされています。SAMLシングルサインオンの設定については、「SAMLシングルサインオンの有効化」を参照してください。
すべてのユーザーに同じオプションを使用することも、ユーザーのグループごとに異なるオプションを使用することもできます。これは、異なる場所に存在する複数のユーザーセットがあり、それらを統合したくない場合に理想的です。複数のエンタープライズSSO設定を使用する場合、1つの設定をプライマリの認証方法として設定する必要があります。Zendeskにサインインすると、ユーザーはプライマリ認証のログインページにリダイレクトされます。ユーザーは、セカンダリ認証のログインページに移動して、別の認証方法でサインインすることができます。詳細については、「エージェントとエンドユーザーにそれぞれSAML SSOとJWT SSO(シングルサインオン)を使用する方法」を参照してください。
0 コメント
サインインしてコメントを残してください。