Zendeskアカウントで行うユーザー認証のほかに、シングルサインオンを使用してZendesk以外のアカウントでユーザーを認証することもできます。SSOには、ソーシャルアカウント、ビジネスアカウント、エンタープライズの3種類があります。
この記事では、次のトピックについて説明します。
SSOに関する基本事項
利用可能なシングルサインオンオプションに関する基本事項を以下に示します。これらについては、この記事の後半で詳しく説明します。
- 管理者とエージェントは、Google、Microsoft、またはZendeskアカウントでサインインすることも、ZendeskのURLにアクセスしてユーザー名とパスワードを入力することで直接サインインすることもできます。エンドユーザーは、Zendeskアカウントに加えて、すべてのソーシャルアカウントとビジネスアカウントでサインインすることができます。
- Zendeskが非アクティブか、または制限されている状態で、ユーザーがZendesk Supportに存在しないメールアドレスでサインインしようとすると、そのリクエストは拒否されます(「ソーシャルおよびビジネスシングルサインオン(SSO)の有効化」を参照)。
- JWTとSAMLの両方を使用する場合は、片方をプライマリ認証として設定する必要があります(「エージェントとエンドユーザーに対して異なるSAMLおよびJWT SSO(シングルサインオン)を使用」を参照)。なお、認証方式は分離されていないことをご理解ください。エージェントとエンドユーザーはいずれもSSOを使用するように設定されているため、どちらのメソッドでも認証できます。
- どの認証方法を選択しても、Zendeskはすべてのユーザーを同じデータベースに保存します。
- サードパーティのIDプロバイダを使用して認証する場合は、ZendeskアプリケーションをIDプロバイダで設定する必要があります。
- 個々のブランドに異なるSSOオプションを適用することはできません。ただし、JWTのカスタムスクリプトを使用すれば可能です。「複数ブランド - 複数のJWTシングルサインオンURLの使用」を参照してください。
- ブロックリストにワイルドカード(*)で登録した場合、ユーザーはSSOによるアカウントの認証も作成もできなくなります。詳細については、「許可リストとブロックリストを使用したZendeskへのアクセスの管理」を参照してください。
ソーシャルおよびビジネスアカウントでのシングルサインオン
ソーシャルおよびビジネスアカウントでのシングルサインオンは、ユーザーの利便性の向上のために追加されたサインインオプションです。これらのログインは、ヘルプセンターのサインインページで選択できるようにすることができ、ユーザーは、Zendesk Supportアカウントまたはソーシャルアカウントやビジネスアカウントで認証することができます。
FacebookおよびTwitterのソーシャルアカウントと、GoogleおよびMicrosoftのビジネスアカウントがあります。認証を行なう場合、エージェントと管理者はビジネスアカウントしか使用できませんが、エンドユーザーはどちらのアカウントも使用できます。
Microsoftアカウントでのサインインは、iPad版のZendesk Support for Mobileアプリではサポートされていません。Googleサインインは、GmailとGoogle Appsの両方をサポートします。Federated Login Serviceは、Google AppsのBusinessアカウントとEducationアカウントではデフォルトで無効になっています。ドメイン管理者は、http://www.google.com/a/cpanel/yourdomain/SetupIdpのコントロールパネルでこれを有効にできます。ユーザーによって、またはGoogle Appsドメイン用(Google認証システム)に2要素認証プロセスが有効になっている場合、この機能はこの認証プロセスによってサポートされます。
ログインページにソーシャルおよびビジネスアカウントのシングルサインオンを追加する手順については、「ソーシャルおよびビジネスシングルサインオン(SSO)の有効化」を参照してください。
エンタープライズシングルサインオン
エンタープライズシングルサインオンは、ソーシャルメディアやビジネスアカウントのシングルサインオンとは異なります。エンタープライズシングルサインオンは、Zendeskアカウントサインインのオプションでも追加のサインインでもなく、他のすべてのサインオプションに取って代わるものです。
エンタープライズシングルサインオンの概要
エンタープライズシングルサインオンを有効にすると、Zendeskを迂回して、ユーザー認証を外部で行うことになります。ユーザーがZendeskサインインページに移動したり、Zendeskへのリンクをクリックすると、OneLoginやOktaなどの企業サーバーやサードパーティのIDプロバイダーにサインインして認証することができます。エンタープライズシングルサインオンを有効にすると、iOS版とAndroid版のZendeskモバイルアプリにも影響します。
- Zendeskのページまたはサブドメインに移動します。
- 認証されていない場合は、選択したエンタープライズSSOオプションに応じて、企業サーバーまたはサードパーティのIDプロバイダーのログインページにリダイレクトされます。
- サインイン資格情報を入力します。
- 認証されると、元のZendeskページにリダイレクトされます。
エンドユーザーとエージェントはどちらも、エンタープライズシングルサインオンを使用してZendeskにサインインできます。このエンタープライズSSOは、エンドユーザーのみを対象、エージェントのみを対象、または両者を対象に設定することができます。
エンタープライズシングルサインオンを使用するメリットは、ファイアウォールの内部でユーザーを完全に管理下に置けるという点にあります。社内のユーザー認証システムに対してユーザー認証を1回実行すれば、ファイアウォールの内側および外側にある他の多数のリソースに対するアクセスも許可されます。つまり、Zendeskの外でユーザー管理を行うことになりますが、企業のユーザー認証システムはZendeskと同期を続けられます。したがって、新しい従業員のユーザーアカウントを追加すると、Zendeskに即座にアクセスできるようになります。あるいは、従業員のユーザーアカウントを削除すると、その従業員はZendeskにアクセスできなくなります。
デフォルトでは、Zendeskに保存される各ユーザーのデータは名前とメールアドレスですが、組織などの規模では、さらに多様なユーザーデータをZendeskと同期させることができます。
エンタープライズSSO認証を使用して、Zendesk認証を維持することもできます。ただし、SSOがアクティブな場合は常に、ユーザーはSSO認証を使用してログインする必要があります。Zendesk認証を無効にした場合、すべてのZendeskユーザーパスワードは24時間以内に完全に削除されます。
SSOサービスが一時的に利用不能になっても、Zendeskアカウントに引き続きアクセスできます。「SSOサービスの停止中にZendeskアカウントにアクセスする方法」を参照してください。
エンタープライズシングルサインオンのオプション
- JSON Webトークン(JWT):資格情報およびユーザー情報は、Zendeskの共有シークレットを使用して暗号化されたJSON形式で送信されます。JWTシングルサインオンの設定については、「JWT(JSON Webトークン)シングルサインオンの有効化」を参照してください。
- SAML(Secure Assertion Markup Language ):SAMLは、Okta、OneLogin、Active Directory、LDAPなどの多くのIDプロバイダサービスでサポートされています。SAMLシングルサインオンの設定については、「SAMLシングルサインオンの有効化」を参照してください。
両方のグループに同じオプションを使用することも、グループごとに異なるオプションを使用することもできます。これは、個別に存在する2つのユーザーセットがあり、それらを統合したくない場合に理想的です。JWTとSAMLの両方を使用する場合は、どちらか片方をプライマリ認証として選択する必要があります。Zendeskにサインインすると、ユーザーはプライマリ認証のログインページにリダイレクトされます。ユーザーは、最初に2番目の認証のログインページに移動して、2番目の認証でサインインすることができます。詳細については、「エージェントとエンドユーザーに異なるSAMLおよびJWT SSO(シングルサインオン)を使用する方法」を参照してください。
0 コメント
サインインしてコメントを残してください。