Zendeskは、Secure Assertion Markup Language(SAML)およびJSON Webトークン(JWT)経由でのZendeskアカウントへのエンタープライズシングルサインオンアクセスをサポートしています。SSOを使用すると、ユーザーは会社のサインインフォームを使用して一度サインインすることで、Zendesk製品を含む複数のシステムとサービスプロバイダにアクセスできます。
Zendesk管理者としての役割は、SSOオプションを有効にすることです。この記事では、チームメンバー(管理者と、ライトエージェントと閲覧担当を含むエージェント)、エンドユーザー、またはその両方の認証に使用できる、最大2つのSAMLシングルサインオン設定を有効にする方法について説明します。
この記事では、次のトピックについて説明します。
- ZendeskでのSAML SSOの動作
- SAML SSOを有効にするための要件
- SAML SSOを有効にする方法
- SAML SSOをユーザーに割り当てる
- SAML SSOを有効にした後でZendesk内のユーザーを管理する
- 認証方法を切り替える
会社のSAML認証システムの設定と管理は、通常は会社のITチームが担当します。ITチームの役割は、システムにZendesk向けSSOを実装することです。ITチームに、この記事内の以下のトピックをご紹介ください。
関連記事
ZendeskでのSAML SSOの動作
Zendesk対応のSAMLの動作は、SAMLがほかのすべてのサービスプロバイダで動作する場合と同じです。よくあるユースケースは、ユーザー認証をすべてActive DirectoryやLDAPなどの企業認証システム(一般にIDプロバイダまたはIdPと呼ばれます)で管理している会社です。ZendeskはIDプロバイダとの信頼関係を確立し、ユーザーの認証を許可して、Zendeskアカウントにサインインさせることができます。
よくあるユースケースとして、ユーザーが1日の始業時に会社のシステムにサインインする場合があります。いったんサインインすると、それ以降はサインインを求められることなく、他の社内アプリケーションやサービス(メールやZendesk Supportなど)にアクセスすることができます。
ユーザーがZendeskアカウントに直接サインインしようとすると、認証のためにSAMLサーバーまたはサービスにリダイレクトされます。認証されたユーザーは、Zendeskアカウントにリダイレクトされ、自動的にサインイン状態になります。
サポートされているもう1つのワークフローでは、ユーザーが社内のWebサイトにサインインした後に、Zendeskへのアクセス許可を与える方法です。ユーザーがWebサイト認証情報を使用してWebサイトにサインインした場合、ユーザーの検証を求めるリクエストがIDプロバイダに送られます。その後、プロバイダからの応答がSAMLサーバーに送信され、SAMLサーバーから応答がZendeskアカウントに転送されて、ユーザーにZendeskのセッションが割り当てられます。
SAML SSOを有効にするための要件
SAML認証システムを担当している社内のチーム(通常はITチーム)と話し合い、自社が次の要件を満たしていることを確認してください。
-
会社にSAMLサーバーと、プロビジョニングされたユーザーまたはMicrosoft Active DirectoryやLDAPなどのIDリポジトリがある。その他の選択肢として、OpenAMなどの社内SAMLサーバー、Okta、OneLogin、PingIdentityなどのSAMLサービスを使用している。
-
Active Directoryフェデレーションサービス(ADFS)サーバーを使用する場合は、フォームベースの認証を有効にする必要があります。ZendeskはWindows統合認証(WIA)をサポートしていません。詳しくは、「Active Directoryを使用したADFSおよびSAMLシングルサインオンの設定」を参照してください。
- Zendeskから送信されるトラフィックはHTTPではなくHTTPS経由です。
- SAMLサーバーのリモートログインURL(SAMLシングルサインオンURLと呼ばれることもある)
- (オプション)ユーザーがZendeskからサインアウトした後に、ZendeskがユーザーをリダイレクトするページのログアウトURL
- (オプション)ユーザーを適切なサインインオプションにリダイレクトするためのIPアドレス範囲のリスト。指定されたIPアドレス範囲から要求を行ったユーザーは、リモートSAMLの認証サインインフォームにルーティングされます。指定されたIPアドレス範囲外から要求を行ったユーザーは、通常のZendeskのサインインフォームにルーティングされます。アドレス範囲を指定しないと、すべてのユーザーがリモート認証のサインインフォームにリダイレクトされます。
- SAMLサーバーから取得したSAML証明書のSHA2指紋。PEM形式またはDER形式のX .509証明書はサポートされていますが、X .509証明書にはSHA 2指紋を指定する必要があります。SHA指紋のサイズに、上限は設定されていません。
ITチームが、ZendeskからSAML実装を設定するための追加情報を必要とする場合があります。その場合は、この記事の実装のためのテクニカルワークシートを参考にしてもらってください。
要件を満たし、必要な情報がすべて揃っていることを確認したら、SAML SSOを有効にすることができます。
SAML SSOを有効にする方法
管理者は、SAMLシングルサインオンをエンドユーザーのみ、チームメンバーのみ(ライトエージェントと閲覧担当も含む)、または両方のグループに対して有効にすることができます。SAML SSOの設定は2つまで作成できます。設定を開始する前に、必要な情報を会社のITチームから入手します。「SAML SSOを有効にする要件」を参照してください。
SAMLシングルサインオンをZendeskで有効にするには
- 管理センターで、サイドバーの「
アカウント」をクリックし、「セキュリティ」>「シングルサインオン」を選択します。 - 「SSO設定を作成する」をクリックし、「SAML」を選択します。
- 一意の構成名を入力します。
- 「SAML SSO URL」に、SAMLサーバーのリモートログインURLを入力します。
- SHA-256の「証明書指紋」を入力します。これは、SAMLサーバーとの通信のために必要です。
- (オプション)「リモートログアウトURL」には、ZendeskからサインアウトしたユーザーがリダイレクトされるページのログアウトURLを入力します。
- (オプション)「IPアドレス範囲」には、ユーザーを適切なサインインオプションにリダイレクトするためのIPアドレス範囲を列挙して入力します。
指定されたIPアドレス範囲から要求を行ったユーザーは、リモートSAMLの認証サインインフォームにルーティングされます。指定されたIPアドレス範囲外から要求を行ったユーザーは、通常のZendeskのサインインフォームにルーティングされます。すべてのユーザーをリモート認証のサインインフォームにリダイレクトしたい場合は、アドレス範囲を指定しないでください。
- 「保存」をクリックします。
デフォルトでは、エンタープライズSSO構成は非アクティブです。SSO構成をアクティブにするには、ユーザーに割り当てる必要があります。
SAML SSOをユーザーに割り当てる
SAML SSO設定を作成したら、エンドユーザーかチームメンバー、またはその両方に割り当てることでSSO設定をアクティブにする必要があります。
SSO設定をチームメンバーまたはエンドユーザーに割り当てるには
- チームメンバーまたはエンドユーザーのセキュリティ設定を開きます。
- SSO設定をチームメンバーに割り当てる場合は、「外部認証」を選択して、認証オプションを表示します。
これらのオプションは、すでにエンドユーザーに表示されています。
- 「外部認証」セクションで「シングルサインオン(SSO)」をクリックし、使用したいSSO設定の名前を選択します。
エンドユーザーの場合、SSOオプションを選択すると、Zendesk認証オプションが自動的に選択解除されます。チームメンバーの場合、シングルサインオンですべてのユースケースがカバーされるわけではないため、Zendesk認証はデフォルトで有効のままです。たとえば、さまざまなZendeskインテグレーションからSupportアカウントにアクセスしたり、Zendesk APIやAppsフレームワークを使用したりする場合には、Zendeskパスワードが要求されます。Zendesk認証を無効にするには、「チームメンバーだけにSSO認証を使用させるには」を参照してください。
- 「保存」をクリックします。
チームメンバーだけにSSO認証を使用させるには
- 管理センターで、サイドバーの「 アカウント」をクリックし、「セキュリティ」>「チームメンバーの認証」を選択します。
- 「Zendeskによる認証」オプションの選択を解除し、「保存」をクリックします。
すべてのZendeskパスワードが、24時間以内にアカウントから完全に削除されます。
- 管理センターで、サイドバーの「アカウント」をクリックし、「セキュリティ」>「詳細」を選択します。
- 「認証」タブをクリックし、「SSOを使用しない」オプションを選択します。
外部のサインインプロバイダーがダウンした場合に、アカウントへのアクセスをアカウントオーナーのみに許可するか、すべての管理者(アカウントオーナーを含む)に許可するかを選択できます。
アクセス権を取得するには、アカウントオーナーまたは管理者は、ワンタイムアクセスリンクを含むメールの受信をリクエストします。リンクをクリックすると、アカウントへのアクセス権が付与されます。パスワードは必要ありません。「パスワードが無効になっている場合にアカウントにアクセスする」を参照してください。
- 「保存」をクリックします。
SAML SSOを有効にした後でZendesk内のユーザーを管理する
ZendeskでSAMLシングルサインオンを有効にした場合、Zendesk外でユーザーに加えられた変更がZendeskアカウントと同期されます。たとえば、社内のActive DirectoryまたはLDAPシステムにユーザーを追加すると、そのユーザーは自動的にZendeskアカウントにも追加されます。社内システムから削除されたユーザーはZendeskにサインインできなくなりますが、Zendesk内にアカウントは残されます。
デフォルトでは、シングルサインオンが有効になっている場合にZendeskに保存される唯一のユーザーデータは、ユーザーの姓名とメールアドレスです。Zendesk内にパスワードは保管されません。このため、パスワードに関するZendeskからの自動メール通知はすべて無効にする必要があります。「Zendeskからのパスワード通知メールを無効にする」を参照してください。
より良いカスタマーエクスペリエンスを提供するために、ユーザーの名前とメールアドレス以外の情報もZendeskに保存することができます。「追加のユーザーデータを取得する」を参照してください。
Zendeskからのパスワード通知メールを無効にする
ユーザーをZendeskアカウントに追加すると、メールアドレスの確認と、ユーザー名とパスワードの作成を求めるメール通知がユーザーに届く場合があります。
SAMLまたはJWTを使用してZendeskアカウントにアクセスしたすべての新規ユーザーに、ユーザープロフィールが作成されます。これらのユーザーはZendesk以外のパスワードによって認証されるため、Zendeskにサインインする必要がありません。このため、パスワードなしでプロフィールが作成されます。ただし、デフォルトでは、すべての新規ユーザーに、メールアドレスを確認し、ユーザー名とパスワードを指定するように求める通知が届いてしまいます。
- 管理センターで、サイドバーの「
メンバー」をクリックし、「設定」>「エンドユーザー」を選択します。 - 「アカウントメール」セクションの「エージェントまたは管理者によって新規ユーザーが登録されたときにも登録完了通知メールを送信する」の選択を解除します。
- 「ユーザーが各自のパスワードを変更できるようにする」で、このオプションの選択を解除します。
認証方法を切り替える
サードパーティのSSOメソッドを使用してZendeskでユーザーを作成および認証した後、Zendesk認証に切り替えるた場合、これらのユーザーはログインに使用できるZendeskパスワードを持たないことになります。これらのユーザーがZendeskにアクセスできるようにするには、Zendeskサインインページからパスワードをリセットする必要があります。
実装のためのテクニカルワークシート
このセクションは、SAML認証システムを担当する社内のチームを読者として想定しています。このセクションで、Zendesk SAML SSO実装について詳しく説明します。
次のトピックについて説明します。
認証対象のユーザーを識別するために必要なユーザーデータ
ZendeskアカウントへのSAML SSOアクセスを実装する際には、特定のユーザーデータを指定して、認証対象のユーザーを識別します。
次のトピックでは、入力が必要とされるデータについて説明します。
SAMLサブジェクトの名前IDでのユーザーのメールアドレスを指定する
Zendeskはメールアドレスを使用してユーザーを一意に識別します。SAMLサブジェクトの名前IDには、ユーザーのメールアドレスを指定します。
例:
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">stevejobs@yourdomain.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-04-23T21:42:47.412Z"/>
</saml:SubjectConfirmation>
</saml:Subject> givenname属性とsurname属性が指定されていない場合、Zendeskは
メールアドレスのユーザー名にピリオド記号が含まれている場合は、それを使用して名と姓を解析します。ピリオド記号がない場合は、ユーザー名全体がZendeskのユーザー名になります。たとえば、メールアドレス
SAMLアサーションで2つの必須ユーザー属性を指定する
givennameとsurnameの属性を指定する場合は、フレンドリ名ではなく、完全な名前空間を使用する必要があります。たとえば、フレンドリ名を「surname」とした場合、この属性に指定する実際の値はhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/surnameとなります。
| 概念 | 属性 | 説明 | 例 |
|---|---|---|---|
| first name | givenname | ユーザーの名。この属性の完全な名前空間を指定する必要があります。 |
|
| last name | surname | ユーザーの姓。Zendeskのユーザーは、このユーザーの名と姓にもとづいて作成または更新されます。以下の例を参照してください。この属性の完全な名前空間を指定する必要があります。 |
|
名と姓の例:
<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<saml:AttributeValue xsi:type="xs:anyType">James</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<saml:AttributeValue xsi:type="xs:anyType">Dietrich</saml:AttributeValue>
</saml:Attribute>Zendeskでは、このほかのユーザー属性もサポートします。Supportのデータ要件については、Zendesk Supportの管理者にご相談ください。
追加のユーザーデータを取得する
Zendeskが認証システムに求めるユーザーデータは、ユーザーの姓名とメールアドレスだけです。ユーザーの名前に関する情報を取得するために使用する必要がある属性名は、名前と姓だけです。ただし、ITチームに、サインイン時にIDプロバイダがZendeskに送信するSAMLアサーションへのユーザー属性の追加を依頼することで、より多くのデータを取得できます。
SAMLアサーションには、ユーザーに関する文が1つ以上含まれています。ユーザーがアクセスを許可されているかどうかにかかわらず、承認を決定する文は1つだけです。他の文に、サインインしたユーザーの詳細を示す属性を含めることができます。
| 属性 | 説明 |
|---|---|
| organization | ユーザーが所属する組織の名前またはID。組織のexternal_id属性は、サポートされません。組織がZendeskに存在しない場合、作成されません。ユーザーは作成されますが、どの組織にも追加されません。 |
| organizations | カンマ区切りで値を列挙。例:org1, org2, org3
|
| organization_id | 例:134211213
|
| organization_ids | カンマ区切りで値を列挙。例:23423433, 234324324,
23432
|
| ou | 組織単位の名前。organization属性として指定します。 |
| phone | 文字列として指定された電話番号。 |
| tags | ユーザーに設定されているタグ。これらのタグは、ユーザープロフィール内にすでにタグがある場合、それらのタグを上書きします。 |
| remote_photo_url | ユーザープロフィールに設定される写真のURL。 |
| locale(エージェントの場合) locale_id(エンドユーザーの場合) |
数値で指定するZendesk内のロケール。有効な数値のリストを入手するには、APIドキュメントで「Locales(ロケール)」を参照してください。 |
| role | ユーザーのロール。end-user、agent、またはadminを設定できます。デフォルトはend-userです。 |
| custom_role_id | role属性がagent以上の場合にのみ、適用されます。カスタムロールのIDは、カスタムロールAPIを使用して取得できます。 |
| external_id | ユーザーがメールアドレス以外の属性で識別されている場合、またはメールアドレスが変更される可能性がある場合に、システムから取得されるユーザーID。文字列として指定します。 |
| user_field_<key> | Zendesk Supportのカスタムユーザーフィールドの値。「ユーザープロフィールへのカスタムフィールドの追加」を参照してください。<key>は、Zendesk Supportのカスタムユーザーフィールドに割り当てられたフィールドキーです。例:user_field_employee_number。ここで、employee_numberはZendeskのフィールドキーです。属性値にnull値または空の文字列を送信すると、Zendesk Supportで設定されているカスタムフィールドの値が削除されます。
|
| フレンドリ名 | SAML2の名称 |
|---|---|
| ou (organization unit) | urn:oid:2.5.4.11 |
| displayName | urn:oid:2.16.840.1.113730.3.1.241 |
Zendesk用のIDプロバイダを設定する
| 属性 | 値 |
|---|---|
| entityID | https://yoursubdomain.zendesk.com |
| AudienceRestriction | yoursubdomain.zendesk.com |
両方の値について、your_subdomainをZendesk Supportのサブドメインで置き換えます。サブドメインがわからない場合は、自社のZendesk管理者にお問い合わせください。
ZendeskはAudienceRestriction属性を適用します。
ZendeskにSAMLサーバーを設定する
一部のSAMLサーバーでは、Zendeskとのインテグレーションの設定時に次のような情報が必要になる場合があります。
-
Access Consumer Service (ACS) URL:https://yoursubdomain.zendesk.com/access/saml(大文字と小文字が区別されます)と指定します。「yoursubdomain」にはSupportのサブドメインを入力します。
-
SAMLシングルサインオンURLへのリダイレクト:HTTP POSTを使用します。
-
ハッシュアルゴリズム(ADFS):Active Directoryフェデレーションサービス(ADFS)を使用する場合、ZendeskではSHA-2アルゴリズムをサポートします。
リモートサインインURLおよびサインアウトURLに返されるパラメータ
ユーザーを認証システムにリダイレクトすると、ZendeskはリモートサインインURLとリモートサインアウトURLに次のパラメータを追加します。
| 属性 | 説明 |
|---|---|
| brand_id | ユーザーがサインインを試みたときに表示していたヘルプセンターのブランド。詳しくは「ブランドのヘルプセンターを作成する」を参照してください。 |
| 属性 | 説明 |
|---|---|
| サインアウトするユーザーのメールアドレス。 | |
| external_id | Zendeskのユーザープロフィールに格納されているシステムの一意の識別子。 |
| brand_id | ユーザーがサインアウトしたときに表示していたヘルプセンターのブランド。詳しくは「ブランドのヘルプセンターを作成する」を参照してください。 |
サインアウトURLでメールと外部ID情報を受け取りたくない場合は、Zendeskの管理者に管理インターフェイスの「リモートログアウトURL」フィールドに空白のパラメータを指定するよう依頼してください。「SAML SSOを有効にする」を参照してください。例:https://www.yourdomain.com/user/signout/?email=&external_id=.
ZendeskのSAML設定のトラブルシューティング
以下はZendeskのSAML 2.0のメタデータです。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<EntityDescriptor entityID="https://yoursubdomain.zendesk.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
<SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
<AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yoursubdomain.zendesk.com/access/saml"/> <!-- Note: replace 'accountname' with your Zendesk subdomain -->
</SPSSODescriptor>
</EntityDescriptor>Zendeskに渡されるSAMLアサーションは以下のようになります。
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="s2202bbbb
afa9d270d1c15990b738f4ab36139d463" InResponseTo="_e4a78780-35da-012e-8ea7-005056
9200d8" Version="2.0" IssueInstant="2011-03-21T11:22:02Z" Destination="https://yoursubdomain.zendesk.com/access/saml">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">myidp.entity.id
</saml:Issuer>
<samlp:Status xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<samlp:StatusCode xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
Value="urn:oasis:names:tc:SAML:2.0:status:Success">メモ:Destination属性の「accountname」を自社のZendeskのサブドメインで置き換えます。
Zendeskは、アサーションの属性文(
<saml:AttributeStatement>
<saml:Attribute Name="organization">
<saml:AttributeValue xsi:type="xs:string">Acme Rockets</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="tags">
<saml:AttributeValue xsi:type="xs:string">tag1 tag2</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="phone">
<saml:AttributeValue xsi:type="xs:string">555-555-1234</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="role">
<saml:AttributeValue xsi:type="xs:string">agent</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="custom_role_id">
<saml:AttributeValue xsi:type="xs:string">12345</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>Zendeskでサポートされるユーザー属性の名前と説明については、上述の「追加のユーザーデータを取得する」の表を参照してください。オプションのユーザー属性では、完全な名前空間はサポートされていないことに注意してください。
0 コメント
サインインしてコメントを残してください。