Português do Brasil
  1. Ajuda do Zendesk
  2. Para todos os produtos
  3. Recursos de diversos produtos
  4. Configurando o SSO

Ativação de single sign-on com SAML

Ben Rohrs
  • Editado

todos os planos

Caminho rápido: Central de administração > Segurança

O Zendesk oferece suporte a Secure Assertion Markup Language (SAML), que possibilita que você conceda acesso por single sign-on (SSO) às contas do Zendesk. Com o SSO, os usuários usam o formulário de acesso da empresa deles como acesso único a vários sistemas e provedores de serviços, inclusive os produtos Zendesk.

Você pode ativar o single sign-on com SAML apenas para membros da equipe (administradores e agentes, incluindo agentes light e colaboradores), apenas para usuários finais ou para os dois grupos.

Como administrador do Zendesk, sua função consiste em ativar as opções de SSO com SAML. Consulte os tópicos a seguir:

A equipe de TI de uma empresa em geral é responsável pela configuração e pelo gerenciamento do sistema de autenticação com SAML da empresa. Sua função é implementar o SSO para o Zendesk no sistema. Indique o tópico deste artigo para a equipe:

O single sign-on com SAML está disponível em todos os planos. Você também pode configurar o single sign-on para usar a autenticação remota com JWT. Consulte Configuração de single sign-on com JWT.

Como funciona o SSO com SAML no Zendesk

O SAML no Zendesk funciona da mesma maneira que em outros provedores de serviços. Um caso de uso comum é uma empresa na qual toda a autenticação dos usuários é gerenciada por um sistema de autenticação corporativo como Active Directory ou LDAP (mencionados genericamente como um provedor de identidade, ou IdP). O Zendesk estabelece uma relação de confiança com o IdP e permite que ele autentique e conceda acesso aos usuários às contas do Zendesk.

Um caso de uso comum é um usuário que entra em seu sistema corporativo no início do dia de trabalho. Depois de entrar, ele tem acesso a outros aplicativos e serviços corporativos (como email ou Zendesk Support) sem precisar acessar separadamente esses serviços.

Se um usuário tentar acessar diretamente uma conta do Zendesk, ele será redirecionado ao servidor ou serviço de SAML para autenticação. Depois de autenticado, o usuário é redirecionado de volta à conta do Zendesk e conectado automaticamente.

Outro fluxo de trabalho aceito é dar aos usuários acesso ao Zendesk depois de se conectarem pelo website de sua empresa. Quando um usuário entra no website usando as credenciais do website, o website envia uma solicitação para o provedor de identidade para validar o usuário. Em seguida, o website envia a resposta do provedor para o servidor SAML, que a encaminha para a sua conta do Zendesk, que concede uma sessão para o usuário.

Requisitos para ativação de SSO com SAML

Reúna-se com a equipe de sua empresa responsável pelo sistema de autenticação com SAML (em geral, a equipe de TI) para assegurar que a empresa atende aos requisitos a seguir:

  • A empresa tem um servidor SAML com usuários provisionados ou conectados a um repositório de identidades como o Microsoft Active Directory ou o LDAP. As opções incluem o uso de um servidor SAML interno, como o OpenAM, ou de um serviço de SAML como Okta, OneLogin ou PingIdentity.

  • Se usar um servidor Active Directory Federation Services (ADFS), a autenticação com formulários precisa estar ativada. O Zendesk não é compatível com a Autenticação Integrada do Windows (WIA). Para obter mais informações, consulte Configuração do single sign-on usando Active Directory com ADFS e SAML.

  • O tráfego associado ao Zendesk é via HTTPS, e não HTTP.
Solicite à equipe as seguintes informações:
  • A URL de acesso remoto do seu servidor SAML (algumas vezes chamada de URL de single sign-on de SAML).
  • (opcional) A URL de saída remota para onde o Zendesk possa redirecionar os usuários após saírem do Zendesk.
  • (opcional) Uma lista de intervalos de IP para redirecionar os usuários à opção de acesso apropriada. Os usuários que fazem solicitações dos intervalos de IP especificados são encaminhados ao formulário de acesso com autenticação com SAML remota. Os usuários que fazem solicitações de endereços IP fora dos intervalos especificados são encaminhados ao formulário normal de acesso do Zendesk. Se você não especificar um intervalo, todos os usuários são redirecionados ao formulário de acesso com autenticação remota.
  • A impressão digital SHA2 do certificado SAML do seu servidor SAML. Certificados X.509 são suportados e devem estar nos formatos PEM ou DER. Não há limite máximo para o tamanho da impressão digital SHA.

A próxima etapa é inserir as informações na Central de administração do Zendesk para ativar o SSO. Consulte Ativação de SSO com SAML.

A equipe de TI poderá exigir informações adicionais da Zendesk para configurar a implementação do SAML. Indique à equipe a Planilha de implementação técnica deste artigo.

Ativação de SSO com SAML

Você pode ativar o single sign-on com SAML apenas para usuários finais, apenas para agentes (incluindo agentes light e colaboradores) ou para os dois grupos. Se você estiver usando JWT e SAML, deve selecionar um deles como o método de autenticação principal. Ao acessar o Zendesk, os usuários serão redirecionados para sua página de acesso principal. Os usuários podem acessar o sistema com o método secundário acessando a página de acesso secundária. Para obter detalhes, consulte Uso de diferentes SSOs (single sign-on) com SAML e JWT para agentes e usuários finais.

Antes de começar, obtenha as informações necessárias da equipe de TI de sua empresa. Consulte Requisitos para ativação de SSO com SAML.

Você deve acessar o Zendesk como administrador para ativar o single sign-on com SAML.

Como ativar o single sign-on com SAML no Zendesk

  1. Em qualquer produto, clique no ícone de produtos Zendesk () na barra superior e selecione Central de administração.
  2. Na barra lateral esquerda, clique no ícone Segurança () e na aba Single sign-on.
  3. Para SAML, clique em Configurar.
  4. Na URL SAML SSO, insira a mesma URL de acesso remoto de seu servidor SAML.
  5. Insira a Impressão digital do certificado. Isso é necessário para que nós nos comuniquemos com seu servidor SAML.
  6. (Opcional) Em URL de saída remota, insira uma URL de saída para onde o Zendesk possa redirecionar os usuários após saírem do Zendesk.
  7. (Opcional) Em Intervalos de IP, insira uma lista de intervalos de IP se você deseja redirecionar os usuários à opção de acesso apropriada.

    Os usuários que fazem solicitações dos intervalos de IP especificados são encaminhados ao formulário de acesso com autenticação com SAML remota. Os usuários que fazem solicitações de endereços IP fora dos intervalos especificados são encaminhados ao formulário normal de acesso do Zendesk. Não especifique um intervalo se quiser que todos os usuários sejam redirecionados ao formulário de acesso com autenticação remota.

  8. Definida a configuração de SSO com SAML, clique em Ativar, assim você pode atribuir essa opção para usuários.
  9. Clique em Salvar.

Atribuição de SSO com SAML a usuários

Feita a configuração da opção de SSO com SAML, atribua essa opção de SSO para usuários finais, membros da equipe (administradores e agentes, incluindo agentes light e colaboradores) ou ambos.

  1. Na Central de administração, clique no ícone de Segurança () na barra lateral esquerda.
  2. Clique na aba Membros da equipe ou Usuários finais e selecione a opção Autenticação externa.
  3. Selecione SAML como opção Single sign-on (SSO) na seção Autenticação externa.

    Para os usuários finais, selecionar a opção de SSO desmarca automaticamente a opção de autenticação do Zendesk, se ativada. Para os membros da equipe, o single sign-on pode não atender a todos os casos de uso, então você tem a opção de manter os dois métodos de autenticação. Por exemplo, é necessária uma senha do Zendesk para acessar sua conta do Support em muitas integrações do Zendesk ou para usar a API do Zendesk ou a estrutura de aplicativos.

  4. Se desejar que todos os usuários usem o método de single sign-on, desmarque a opção Autenticação do Zendesk.

    As senhas do Zendesk serão permanentemente apagadas da conta em até 24 horas.

  5. Clique em Salvar.
  6. Se você desativou as senhas do Zendesk, clique em Avançado > Autenticação e selecione a opção Contorno do SSO.

    Você pode escolher apenas Responsável pela conta ou todos os Administradores (incluindo o Responsável pela conta) para receberem acesso à conta se o provedor de acesso sair do ar.

    Para ter acesso, o responsável pela conta ou um administrador solicita o recebimento de um email contendo um link de acesso único. Ao clicar no link, a pessoa tem acesso à conta. Não é necessária uma senha. Consulte Acesso à conta se as senhas estiverem desativadas.

  7. Clique em Salvar.

Gerenciamento de usuários no Zendesk após ativação de SSO com SAML

Depois de ativar o single sign-on com SAML no Zendesk, as alterações feitas em usuários fora do Zendesk são sincronizadas com sua conta do Zendesk. Por exemplo, se um usuário for adicionado em seu sistema Active Directory ou LDAP interno, ele também será adicionado automaticamente à sua conta do Zendesk. Se um usuário for apagado do seu sistema interno, ele não conseguirá mais entrar no Zendesk (mas a conta dele continuará existindo no Zendesk).

Por padrão, os únicos dados do usuário armazenados no Zendesk quando o single sign-on está ativado são o nome e o endereço de email do usuário. O Zendesk não armazena senhas. Por isso, você deve desativar as notificações automáticas por email do Zendesk sobre senhas. Consulte Desativação de emails de notificação de senhas do Zendesk.

Para melhorar a experiência do cliente, você pode querer armazenar no Zendesk outros dados além do nome e do endereço de email do usuário. Consulte Obtenção de dados do usuário adicionais.

Desativação de emails de notificação de senhas do Zendesk

Quando um usuário é adicionado a uma conta do Zendesk, uma notificação automática por email pode ser enviada ao usuário, pedindo que ele confirme seu endereço de email e crie um nome de usuário e uma senha.

Um perfil de usuário do Zendesk é criado para qualquer novo usuário que acesse sua conta do Zendesk com SAML. Como eles são autenticados com uma senha que não é do Zendesk, o perfil é criado sem uma senha porque eles não precisam entrar no Zendesk. No entanto, por padrão, cada usuário novo recebe um email notificando-o para confirmar o endereço de email e criar um nome de usuário e uma senha.

Para que isso não aconteça, desmarque estas opções na página Usuários finais (clientes) do Zendesk Support (em Admin. > Clientes):
  • Na seção Emails para a conta, desmarque Também enviar um email de boas-vindas quando um novo usuário é criado por um agente ou administrador.
  • Desmarque a opção Permitir que os usuários alterem suas senhas.

Obtenção de dados do usuário adicionais

Os únicos dados do usuário que o Zendesk requer de seu sistema de autenticação são o nome e o endereço de email do usuário. No entanto, você pode obter mais dados pedindo à sua equipe de TI que adicione atributos de usuário às asserções de SAML que o provedor de identidades envia ao Zendesk quando os usuários entram.

Uma asserção de SAML contém uma ou mais instruções sobre o usuário. A instrução por si só já é uma decisão de autorização – se foi concedido o acesso ao usuário ou não. Uma outra instrução pode consistir em atributos que descrevem o usuário conectado.

O Zendesk aceita os atributos de usuário adicionais de usuários conectados a seguir. Defina seus requisitos de dados no Support, depois se reúna com sua equipe de TI para discutir a adição de atributos às asserções de SAML.

Tabela 1. Atributos de usuário aceitos
Atributo Descrição
organization Nome ou ID de uma organização à qual o usuário será adicionado. O atributo external_id de uma organização não possui suporte. Se a organização não existe no Zendesk, ele não será criado. Ainda assim, o usuário será criado, mas não será adicionado a nenhuma organização.
organizations Valores separados por vírgula como org1, org2, org3
organization_id Exemplo: 134211213
organization_ids Valores separados por vírgula como 23423433, 234324324, 23432
ou Nome de uma unidade de organização. Especifica-o como um atributo organização.
phone Um número de telefone, especificado em uma cadeia de caracteres.
tags Tags a serem definidas para o usuário. As tags substituirão todas as demais tags existentes no perfil do usuário.
remote_photo_url URL para uma foto a ser definida no perfil do usuário.
locale (para usuários finais)

locale_id (para agentes)

 O idioma no Zendesk, especificado como um número. Para obter a lista de números válidos, consulte Idiomas nos documentos da API.
role A função do usuário. Pode ser definida como “user”, “agent” ou “admin”. O padrão é “user”.
custom_role_id Aplicável apenas se o valor do atributo “role” acima for “agent”. Você pode obter as IDs das suas funções personalizadas com a API de funções personalizadas.
external_id Uma ID de usuário do seu sistema, se seus usuários forem identificados por outros meios que não um endereço de email e se o endereço de email deles estiver sujeito a alterações. Especificado como uma cadeia de caracteres.
user_field_<key> Um valor para o campo de usuário personalizado no Zendesk Support. Consulte Inclusão de campos personalizados aos usuários. <key> é a chave de campo atribuída ao campo do usuário personalizado no Zendesk Support. Exemplo: user_field_employee_number. Quando você envia um valor null ou uma cadeia de caracteres vazia no valor do atributo, o valor do campo personalizado definido no Zendesk Support é removido.

O Zendesk oferece suporte a uma série de atributos da InCommon Federation para configurar atributos de usuários como parte do acesso. Exemplos:

Tabela 2. Nomes do atributo
Nome amigável Nome formal SAML2
ou (unidade de organização) urn:oid:2.5.4.11
displayName urn:oid:2.16.840.1.113730.3.1.241

Alternância de métodos de autenticação

Importante: se você usar um método SSO de terceiros para criar e autenticar usuários no Zendesk e depois trocar para a autenticação do Zendesk, esses usuários não terão uma senha disponível para o acesso. Para que tenham acesso, peça a esses usuários para redefinirem sua senha na página de entrada do Zendesk.

Planilha de trabalho para implementação técnica

Esta seção se destina à equipe responsável na empresa pelo sistema de autenticação com SAML da empresa. Ela apresenta detalhes sobre a implementação de SSO com SAML do Zendesk.

Tópicos discutidos:

Atributos de usuário obrigatórios

O Zendesk requer os dois atributos de usuário a seguir na asserção de SAML:

Tabela 3. Atributos de usuário obrigatórios
Atributo Descrição
email Email do usuário que está entrando. Identifica de forma única o usuário no Zendesk.
name O nome desse usuário. O usuário será criado ou atualizado no Zendesk de acordo com isso.

O Zendesk aceita outros atributos de usuário. Consulte uma lista dos atributos aceitos em Obtenção de dados do usuário adicionais. Converse com o administrador de Zendesk Support sobre os requisitos de dados dele no Support.

Configuração do provedor de identidade para o Zendesk

Tabela 4. Atributos do provedor de identidade
Atributo Valor
entityID https://seu_subdomínio.zendesk.com/
AudienceRestriction seu_subdomínio.zendesk.com

onde seu_subdomínio é o subdomínio do Zendesk Support. Se não tiver certeza de qual é o subdomínio, pergunte ao administrador do Zendesk.

O Zendesk utiliza o atributo AudienceRestriction.

Configuração do servidor de SAML para o Zendesk

Alguns servidores SAML podem exigir as seguintes informações durante a configuração de integração com o Zendesk:

  • A URL do Assertion Consumer Service (ACS): especifique https://accountname.zendesk.com/access/saml (diferencia maiúsculas e minúsculas), onde 'accountname' é seu subdomínio do Support

  • Redirecione à URL de Single Sign-on com SAML: use HTTP POST

  • Algoritmo de hash (ADFS): o Zendesk oferece suporte ao algoritmo SHA-2 quando os Serviços de Federação do Active Directory (ADFS) são usados.

Parâmetros retornados para suas URLs de acesso e saída remotos

Ao redirecionar usuários para seu sistema de autenticação, o Zendesk anexa os parâmetros a seguir às URLs de acesso e saída remotos.

Tabela 5. Parâmetros da URL de acesso remoto
Atributo Descrição
brand_id A marca da Central de Ajuda na qual o usuário estava quando tentou acessar o sistema. Para obter mais informações, consulte Criação de uma Central de Ajuda para uma de suas marcas.
Tabela 6. Parâmetros da URL de saída remota
Atributo Descrição
email Email do usuário que está saindo.
external_id Um identificador exclusivo de seu sistema, armazenado no perfil de usuário do Zendesk.
brand_id A marca da Central de Ajuda na qual o usuário estava quando se desconectou. Para obter mais informações, consulte Criação de uma Central de Ajuda para uma de suas marcas.

Caso você prefira não receber emails e informações de identificação externas na URL de saída, peça ao administrador de seu Zendesk para especificar parâmetros em branco no campo URL de saída remota na interface do administrador. Consulte Ativação de SSO com SAML. Exemplo:

https://www.seudominio.com/usuario/signout/?email=&external_id=

Resolução de problemas na configuração de SAML do Zendesk

Estes são os metadados do Zendesk SAML 2.0:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<EntityDescriptor entityID="your_subdomain.zendesk.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
    <SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
        <AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://accountname.zendesk.com/access/saml"/> <!-- Note: replace 'accountname' with your Zendesk subdomain -->
    </SPSSODescriptor>
</EntityDescriptor>

O Zendesk espera uma asserção de SAML semelhante a esta:

<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="s2202bbbb
afa9d270d1c15990b738f4ab36139d463" InResponseTo="_e4a78780-35da-012e-8ea7-005056
9200d8" Version="2.0" IssueInstant="2011-03-21T11:22:02Z" Destination="https://accountname.zendesk.com/access/saml"> 
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">myidp.entity.id
    </saml:Issuer>
    <samlp:Status xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
        <samlp:StatusCode  xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
Value="urn:oasis:names:tc:SAML:2.0:status:Success">

Observação: substitua "accountname" no atributo Destino por seu subdomínio do Zendesk.

O Zendesk espera que os atributos de usuário sejam especificados numa instrução de atributo da asserção (<saml:AttributeStatement>) como neste exemplo:

<saml:Attribute Name="organization">
  <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:type="xs:string">Acme Rockets</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="tags">
    <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:type="xs:string">tag1 tag2</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="phone">
    <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:type="xs:string">555-555-1234</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="role">
    <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:type="xs:string">agent</saml:AttributeValue>
  </saml:Attribute>
  <saml:Attribute Name="custom_role_id">
    <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:type="xs:string">12345</saml:AttributeValue>
 </saml:Attribute>

Consulte os nomes e as descrições dos atributos de usuário aceitos pelo Zendesk na tabela do item Obtenção de dados do usuário adicionais acima.

Tem mais dúvidas? Envie uma solicitação

0 Comentários

Por favor, entre para comentar.

Artigos relacionados

Artigos relacionados

Powered by Zendesk