Zendesk는 SAML 2.0을 통한 통합 인증(SSO) 로그인을 지원합니다. SAML 2.0 ID 제공업체(IDP)는 많은 형태를 취할 수 있는데 그 중 하나가 셀프 호스팅 Active Directory 페더레이션 서비스(ADFS) 서버입니다. ADFS는 기존 Active Directory 자격 증명을 사용하여 웹 로그인을 제공하는 Windows Server의 표준 역할로서 Microsoft가 제공하는 서비스입니다.
요구 사항
ADFS를 사용하여 Zendesk 인스턴스에 로그인하려면 다음 구성 요소가 필요합니다.
- 모든 사용자에게 이메일 주소 속성이 있는 Active Directory 인스턴스
- Zendesk 인스턴스.
- Microsoft Server 2012 또는 2008을 실행 중인 서버. 이 가이드에서는 Server 2012R2에서 확보한 스크린샷을 사용하지만 다른 버전에서도 비슷한 단계가 가능해야 합니다.
- ADFS 로그인 페이지에 서명하는 SSL 인증서와 해당 인증서의 지문
- Zendesk 인스턴스에서 호스트 맵핑을 사용하는 경우 호스팅된 SSL의 설치된 인증서
이러한 기본 요구 사항을 충족시킨 후 서버에 ADFS를 설치해야 합니다. ADFS 구성 및 설치는 본 가이드의 범위를 벗어나며, Microsoft KB 문서에서 자세하게 설명합니다.
ADFS 설치를 완료했으면 ADFS 엔드포인트 섹션에 있는 ‘SAML 2.0/W-Federation’ URL의 값을 적어 두세요. 설치 시 기본 값을 선택했으면 이 값은 ‘/adfs/ls/’입니다.
1단계 - 신뢰 당사자 트러스트 추가하기
여기서 Zendesk 계정에 ADFS 연결을 설정할 준비가 되어 있어야 합니다. ADFS와 Zendesk 사이의 연결은 신뢰 당사자 트러스트(RPT)를 사용하여 정의됩니다.
AD FS 관리에서 신뢰 당사자 트러스트 폴더를 선택하고 작업 사이드바에서 새 표준 신뢰 당사자 트러스트를 추가합니다. 새 트러스트를 위한 구성 마법사가 시작됩니다.
-
데이터 소스 선택 화면에서 마지막 옵션인 수동으로 신뢰 당사자 관련 데이터 입력을 선택합니다.
- 다음 화면에서 나중에 인식하게 될 표시 이름 및 원하는 메모를 입력합니다.
- 다음 화면에서 ADFS FS 프로필 라디오 버튼을 선택합니다.
- 다음 화면에서 인증서 설정을 기본 값으로 둡니다.
- 다음 화면에서 SAML 2.0 WebSSO 프로토콜 지원 사용 확인란을 선택합니다. 서비스 URL은 https://subdomain.zendesk.com/access/saml입니다. 여기서 subdomain을 회사 Zendesk 하위 도메인으로 바꿉니다. URL 끝에 슬래시가 없다는 사실에 주목하세요.
- 다음 화면에서 subdomain.zendesk.com의 신뢰 당사자 트러스트 식별자를 추가합니다. 이때 subdomain을 회사 Zendesk 하위 도메인으로 바꿉니다.
참고: subdomain.zendesk.com을 입력했는데 요청 실패 오류가 표시된다면 하위 도메인을 https://subdomain.zendesk.com으로 입력해야 할 수 있습니다. - 다음 화면에서 다단계 인증을 구성할 수 있지만 이는 본 가이드의 범위를 벗어납니다.
- 다음 화면에서 이 신뢰 당사자에 대한 모든 사용자 액세스 허용 라디오 버튼을 선택합니다.
- 다음 두 개 화면에서는 마법사가 설정의 개요를 표시합니다. 마지막 화면에서 닫기 버튼을 사용하여 종료하고 클레임 규칙 편집기를 엽니다.
2단계 - 클레임 규칙 만들기
신뢰 당사자를 만든 후에는 클레임 규칙을 만들고 마법사에 의해 설정되지 않은 사소한 변경 내용으로 RPT를 업데이트할 수 있습니다. 기본적으로 트러스트를 만들고 나면 클레임 규칙 편집기가 열립니다. 인증 외에 추가 값을 맵핑하려면 Zendesk 문서를 참조하세요.
- 새 규칙을 만들려면 규칙 추가를 클릭합니다. LDAP 특성을 클레임으로 보내기 규칙을 만듭니다.
- 다음 화면에서 Active Directory를 특성 저장소로 사용하여 다음 작업을 하세요.
1. LDAP 특성 열에서 전자 메일 주소를 선택합니다.
2. 보내는 클레임 유형에서 전자 메일 주소를 선택합니다.
- 확인을 클릭하여 새 규칙을 저장합니다.
-
규칙 추가를 클릭하고 이번에는 템플릿으로 들어오는 클레임 변환을 선택하여 또 다른 새 규칙을 만듭니다.
- 다음 화면에서 다음과 같이 하세요.
1. 들어오는 클레임 유형으로 전자 메일 주소를 선택합니다.
2. 보내는 클레임 유형으로 이름 ID를 선택합니다.
3. 보내는 이름 ID 형식으로 전자 메일을 선택합니다.
모든 클레임 값 통과의 기본 값으로 규칙을 그대로 둡니다.
- 마지막으로 확인을 클릭하여 클레임 규칙을 만든 다음 다시 확인을 클릭하여 규칙 만들기를 마칩니다.
3단계 - 트러스트 설정 조정하기
신뢰 당사자 트러스트의 몇 가지 설정을 조정해야 합니다. 이러한 설정에 액세스하려면 RPT가 선택되어 있는 동안 작업 사이드바에서 속성을 선택합니다.
-
고급 탭에서 SHA-256이 보안 해시 알고리즘으로 지정되어 있는지 확인합니다.
- 엔드포인트 탭에서 SAML 추가를 클릭하여 새 엔드포인트를 추가합니다.
- 엔드포인트 유형으로 SAML 로그아웃을 선택합니다.
- 바인딩으로 POST를 선택합니다.
-
트러스트된 URL에 대해 다음 정보를 사용하여 URL을 만듭니다.
1. ADFS 서버의 웹 주소
2. 이전에 메모해 둔 ADFS SAML 엔드포인트
3. 문자열 ‘?wa=wsignout1.0’
URL이 다음과 같이 표시됩니다. https://sso.yourdomain.tld/adfs/ls/?wa=wsignout1.0.
- 엔드포인트 및 RPT 속성에서 확인을 클릭하여 변경 내용을 확인합니다. 이제 Zendesk용 RPT가 구현되어 사용할 수 있습니다.
참고: 회사 ADFS 인스턴스에 메타데이터에서 모든 페더레이션 서비스 특성을 작성하고 개시하도록 요구하는 보안 설정이 구현되어 있을 수 있습니다. 이러한 사항이 회사 인스턴스에 적용되는지 팀에 문의하세요. 적용되는 경우에는 페더레이션 메타데이터에 조직 정보 게시 확인란을 반드시 선택하도록 하세요.
4단계 - Zendesk 구성하기
ADFS를 설정한 후 SAML을 사용하여 인증하도록 Zendesk 계정을 구성해야 합니다. SAML 통합 인증 사용 설정하기에 나온 단계를 따릅니다. SAML 엔드포인트를 SSO URL로 사용하고 만들어 놓은 로그인 엔드포인트를 로그아웃 URL로 사용하여 전체 ADFS 서버 URL을 사용할 것입니다. 지문은 ADFS 인스턴스에 설치된 토큰 서명 인증서의 지문입니다.
설치된 인증서가 있는 시스템에서 다음 PowerShell 명령을 실행하여 지문을 얻을 수 있습니다.
C:\> Get-AdfsCertificate [-Thumbprint] []
토큰 서명 유형 인증서의 SHA256 지문을 찾아보세요.
완료 후 다음과 같이 하세요.
-
관리 센터의 사이드바에서 계정 아이콘()을 클릭한 다음 보안 > 통합 인증을 선택합니다.
페이지는 다음과 같습니다.
이제 Zendesk용 ADFS SSO가 구현되어 사용할 수 있습니다.
인증 방법 전환하기
중요: 타사 SSO 방법을 사용하여 Zendesk에서 사용자를 만들고 인증한 다음 Zendesk 인증으로 전환하면 해당 사용자들에게는 로그인에 사용할 수 있는 비밀번호가 없습니다. 이러한 사용자들이 액세스 권한을 얻으려면 Zendesk 로그인 페이지에서 비밀번호를 재설정해야 합니다.