Zendeskアカウントで行うユーザー認証のほかに、シングルサインオン(SSO)を使用してZendesk以外のアカウントでユーザーを認証することもできます。SSOには、ソーシャルアカウント、ビジネスアカウント、エンタープライズの3種類があります。
この記事では、次のトピックについて説明します。
SSOに関する基本事項
利用可能なSSOオプションに関する基本事項を以下に示します。この記事で詳しく説明します。
- 管理者とエージェントは、Google、Microsoft、またはZendeskアカウントでサインインすることも、ZendeskのURLにアクセスしてユーザー名とパスワードを入力することで直接サインインすることもできます。エンドユーザーは、すべてのソーシャルアカウントとビジネスアカウント、および、Zendeskアカウントでサインインすることができます。
- Zendeskアカウントが非アクティブか、または制限されている状態で、ユーザーがZendesk Supportに登録されていないメールアドレスでサインインしようとすると、そのリクエストは拒否されます。
- アクティブなJWT認証とアクティブなSAML認証の設定は、それぞれ2つまで定義できます。
- エンドユーザーまたはチームメンバーに複数のSSO設定を割り当てている場合、エンドユーザー用とチームメンバー用にそれぞれ1つ、メインの認証方法を割り当てる必要があります。
- どの認証方法を選択しても、Zendeskはすべてのユーザーを同じデータベースに保存します。
- サードパーティのIDプロバイダを使用して認証する場合は、ZendeskアプリケーションをIDプロバイダで設定する必要があります。
- 個々のブランドに異なるSSOオプションを適用することはできません。ただし、JWTのカスタムスクリプトを使用すれば可能です。
- ブロックリストにワイルドカード(*)で登録した場合、ユーザーはSSOによるアカウントの認証も作成もできなくなります。詳しくは「許可リストとブロックリストを使用したZendesk Supportへのアクセスの管理」を参照してください。
ソーシャルおよびビジネスアカウントでのSSO
ソーシャルおよびビジネスアカウントでのSSOは、ユーザーの利便性の向上のために追加されたサインインオプションです。これらのログインをヘルプセンターのサインインページで選択できるようにすることで、ユーザーはZendesk Supportのアカウントやソーシャルアカウント、ビジネスアカウントで認証することができます。認証を行なう場合、チームメンバーはビジネスアカウントしか使用できませんが、エンドユーザーはどちらのアカウントも使用できます。
ソーシャルアカウントは、たとえばFacebookやTwitterなどです。ビジネスアカウントは、たとえばGoogleやMicrosoftなどです。
- Google:Googleサインインは、GmailとGoogle Appsの両方をサポートします。Federated Login Serviceは、Google AppsのBusinessアカウントとEducationアカウントではデフォルトで無効になっています。ドメイン管理者は、http://www.google.com/a/cpanel/yourdomain/SetupIdpのコントロールパネルでこれを有効にできます(yourdomainは、ご使用のドメインで置き換えてください)。ビジネスアカウントの認証は、ユーザーまたはGoogle Appsドメイン(Google Authenticator)で有効になっている2要素認証に対応しています。
- Microsoft:Microsoftアカウントでのサインインは、iPad版のZendesk Support for Mobileアプリではサポートされていません。
ログインページにソーシャルアカウントとビジネスアカウントのSSOを追加する手順については、「ソーシャルSSOとビジネスSSOの有効化」を参照してください。
エンタープライズSSO
エンタープライズSSOを使ってサインインするようにユーザーに要求することも、複数のサインインオプション(たとえば、エンタープライズSSOとZendeskによる認証)を有効にして、ユーザーにサインイン方法を選ばせることもできます。(ここでの「エンタープライズ」とは、Zendesk Enterpriseプランのことではありません。) 詳しくは「チームメンバーおよびエンドユーザーに複数のサインイン方法を許可する方法」を参照してください。
エンタープライズSSOについて
ユーザーをエンタープライズSSOに誘導すると、Zendeskを迂回して、ユーザー認証を外部で行うことになります。ユーザーがZendeskのサインインページに移動したり、リンクをクリックしてZendeskアカウントにアクセスしたりすると、企業のサーバーやOneLoginやOktaなどのサードパーティのIDプロバイダにサインインして認証することができます。エンタープライズSSOを有効にすると、iOS版とAndroid版のZendeskモバイルアプリにも影響します。
- Zendeskのページまたはサブドメインに移動します。
- 認証されていない場合は、選択したエンタープライズSSOオプションに応じて、企業サーバーまたはサードパーティのIDプロバイダーのログインページにリダイレクトされます。
- サインイン資格情報を入力します。
- 認証されると、元のZendeskページにリダイレクトされます。
エンドユーザーとチームメンバーはどちらも、エンタープライズSSOを使用してZendeskにサインインできます。このエンタープライズSSOは、エンドユーザーのみを対象、チームメンバーのみを対象、または両者を対象に設定することができます。
エンタープライズSSOを使用するメリットは、ファイアウォールの内部でユーザーを完全に管理下に置けるという点にあります。社内のユーザー認証システムに対してユーザー認証を1回実行すれば、ファイアウォールの内側および外側にある他の多数のリソースに対するアクセスも許可されます。Zendeskの外でユーザー管理を行うことになりますが、企業のユーザー認証システムはZendeskと同期を続けられます。新しい従業員のユーザーアカウントを追加すると、Zendeskに即座にアクセスできるようになります。あるいは、従業員のユーザーアカウントを削除すると、その従業員はZendeskにアクセスできなくなります。
デフォルトでは、Zendeskに保存される各ユーザーのデータは名前とメールアドレスですが、組織などの規模では、さらに多様なユーザーデータをZendeskと同期させることができます。
エンタープライズSSO認証を使用して、Zendesk認証を維持することもできます。Zendesk認証を無効にした場合、すべてのZendeskユーザーパスワードは24時間以内に完全に削除されます。
SSOサービスが一時的に利用不能になっても、Zendeskアカウントに引き続きアクセスできます。「SSOサービスの停止中にZendeskアカウントにアクセスする方法」を参照してください。
エンタープライズSSOのオプション
- JSON Webトークン(JWT):資格情報およびユーザー情報は、Zendeskの共有シークレットを使用して暗号化されたJSON形式で送信されます。JWT SSOの設定については、「JWTシングルサインオンの有効化」を参照してください。
- SAML(Secure Assertion Markup Language ):SAMLは、Okta、OneLogin、Active Directory、LDAPなどの多くのIDプロバイダサービスでサポートされています。SAML SSOの設定については、「SAMLシングルサインオンの有効化」を参照してください。
すべてのユーザーに同じオプションを使用することも、ユーザーのグループごとに異なるオプションを使用することもできます。これは、異なる場所に存在する複数のユーザーセットがあり、それらを統合したくない場合に理想的です。複数のエンタープライズSSO設定を使用する場合、1つの設定をプライマリの認証方法として設定する必要があります。Zendeskにサインインすると、ユーザーはプライマリ認証のログインページにリダイレクトされます。ユーザーは、セカンダリ認証のログインページに移動して、別の認証方法でサインインすることができます。詳しくは「エージェントとエンドユーザーにそれぞれSAML SSOとJWT SSO(シングルサインオン)を使用する方法」を参照してください。
0 コメント
サインインしてコメントを残してください。