O Zendesk oferece suporte a Secure Assertion Markup Language (SAML), que possibilita que você conceda acesso por single sign-on (SSO) às contas do Zendesk. Com o SSO, os usuários usam o formulário de acesso da empresa deles como acesso único a vários sistemas e provedores de serviços, inclusive os produtos Zendesk.
Você pode ativar o single sign-on com SAML apenas para membros da equipe (administradores e agentes, incluindo agentes light e colaboradores), apenas para usuários finais ou para os dois grupos.
Como administrador do Zendesk, sua função consiste em ativar as opções de SSO com SAML. Consulte os tópicos a seguir:
- Como funciona o SSO com SAML no Zendesk
- Requisitos para ativação de SSO com SAML
- Ativação de SSO com SAML
- Atribuição de SSO com SAML a usuários
- Gerenciamento de usuários no Zendesk após ativação de SSO com SAML
- Alternância de métodos de autenticação
A equipe de TI de uma empresa em geral é responsável pela configuração e pelo gerenciamento do sistema de autenticação com SAML da empresa. Sua função é implementar o SSO para o Zendesk no sistema. Indique o tópico deste artigo para a equipe:
O single sign-on com SAML está disponível em todos os planos. Você também pode configurar o single sign-on para usar a autenticação remota com JWT. Consulte Configuração de single sign-on com JWT.
Como funciona o SSO com SAML no Zendesk
O SAML no Zendesk funciona da mesma maneira que em outros provedores de serviços. Um caso de uso comum é uma empresa na qual toda a autenticação dos usuários é gerenciada por um sistema de autenticação corporativo como Active Directory ou LDAP (mencionados genericamente como um provedor de identidade, ou IdP). O Zendesk estabelece uma relação de confiança com o IdP e permite que ele autentique e conceda acesso aos usuários às contas do Zendesk.
Um caso de uso comum é um usuário que entra em seu sistema corporativo no início do dia de trabalho. Depois de entrar, ele tem acesso a outros aplicativos e serviços corporativos (como email ou Zendesk Support) sem precisar acessar separadamente esses serviços.
Se um usuário tentar acessar diretamente uma conta do Zendesk, ele será redirecionado ao servidor ou serviço de SAML para autenticação. Depois de autenticado, o usuário é redirecionado de volta à conta do Zendesk e conectado automaticamente.
Outro fluxo de trabalho aceito é dar aos usuários acesso ao Zendesk depois de se conectarem pelo website de sua empresa. Quando um usuário entra no website usando as credenciais do website, o website envia uma solicitação para o provedor de identidade para validar o usuário. Em seguida, o website envia a resposta do provedor para o servidor SAML, que a encaminha para a sua conta do Zendesk, que concede uma sessão para o usuário.
Requisitos para ativação de SSO com SAML
Reúna-se com a equipe de sua empresa responsável pelo sistema de autenticação com SAML (em geral, a equipe de TI) para assegurar que a empresa atende aos requisitos a seguir:
-
A empresa tem um servidor SAML com usuários provisionados ou conectados a um repositório de identidades como o Microsoft Active Directory ou o LDAP. As opções incluem o uso de um servidor SAML interno, como o OpenAM, ou de um serviço de SAML como Okta, OneLogin ou PingIdentity.
-
Se usar um servidor Active Directory Federation Services (ADFS), a autenticação com formulários precisa estar ativada. O Zendesk não é compatível com a Autenticação Integrada do Windows (WIA). Para obter mais informações, consulte Configuração do single sign-on usando Active Directory com ADFS e SAML.
- O tráfego associado ao Zendesk é via HTTPS, e não HTTP.
- A URL de acesso remoto do seu servidor SAML (algumas vezes chamada de URL de single sign-on de SAML).
- (Opcional) A URL de saída remota para onde o Zendesk possa redirecionar os usuários após saírem do Zendesk.
- (Opcional) Uma lista de intervalos de IP para redirecionar os usuários à opção de acesso apropriada. Os usuários que fazem solicitações dos intervalos de IP especificados são encaminhados ao formulário de acesso com autenticação com SAML remota. Os usuários que fazem solicitações de endereços IP fora dos intervalos especificados são encaminhados ao formulário normal de acesso do Zendesk. Se você não especificar um intervalo, todos os usuários são redirecionados ao formulário de acesso com autenticação remota.
- A impressão digital SHA2 do certificado SAML do seu servidor SAML. Certificados X.509 possuem suporte e devem estar nos formatos PEM ou DER. Não há limite máximo para o tamanho da impressão digital SHA.
A próxima etapa é inserir as informações na Central de administração do Zendesk para ativar o SSO. Consulte Ativação de SSO com SAML.
A equipe de TI poderá exigir informações adicionais da Zendesk para configurar a implementação do SAML. Indique à equipe a Planilha de implementação técnica deste artigo.
Ativação de SSO com SAML
Você pode ativar o single sign-on com SAML apenas para usuários finais, apenas para agentes (incluindo agentes light e colaboradores) ou para os dois grupos. Se você estiver usando JWT e SAML, deve selecionar um deles como o método de autenticação principal. Ao acessar o Zendesk, os usuários serão redirecionados para sua página de acesso principal. Os usuários podem acessar o sistema com o método secundário acessando a página de acesso secundária. Para obter detalhes, consulte Uso de diferentes SSOs (single sign-on) com SAML e JWT para agentes e usuários finais.
Antes de começar, obtenha as informações necessárias da equipe de TI de sua empresa. Consulte Requisitos para ativação de SSO com SAML.
Você deve acessar o Zendesk como administrador para ativar o single sign-on com SAML.
Como ativar o single sign-on com SAML no Zendesk
- Em qualquer produto, clique no ícone de produtos Zendesk (
) na barra superior e selecione Central de administração.
- Na barra lateral esquerda, clique no ícone Segurança (
) e na aba Single sign-on.
- Para SAML, clique em Configurar.
- Na URL SAML SSO, insira a mesma URL de acesso remoto de seu servidor SAML.
- Insira a Impressão digital do certificado. Isso é necessário para que nós nos comuniquemos com seu servidor SAML.
- (Opcional) Em URL de saída remota, insira uma URL de saída para onde o Zendesk possa redirecionar os usuários após saírem do Zendesk.
- (Opcional) Em Intervalos de IP, insira uma lista de intervalos de IP se você deseja redirecionar os usuários à opção de acesso apropriada.
Os usuários que fazem solicitações dos intervalos de IP especificados são encaminhados ao formulário de acesso com autenticação com SAML remota. Os usuários que fazem solicitações de endereços IP fora dos intervalos especificados são encaminhados ao formulário normal de acesso do Zendesk. Não especifique um intervalo se quiser que todos os usuários sejam redirecionados ao formulário de acesso com autenticação remota.
- Definida a configuração de SSO com SAML, clique em Ativar, assim você pode atribuir essa opção para usuários.
- Clique em Salvar.
Atribuição de SSO com SAML a usuários
Feita a configuração da opção de SSO com SAML, atribua essa opção de SSO para usuários finais, membros da equipe (administradores e agentes, incluindo agentes light e colaboradores) ou ambos.
- Na Central de administração, clique no ícone de Segurança (
) na barra lateral esquerda.
- Clique na aba Membros da equipe ou Usuários finais e selecione a opção Autenticação externa.
- Selecione SAML como opção Single sign-on (SSO) na seção Autenticação externa.
Para os usuários finais, selecionar a opção de SSO desmarca automaticamente a opção de autenticação do Zendesk, se ativada. Para os membros da equipe, o single sign-on pode não atender a todos os casos de uso, então você tem a opção de manter os dois métodos de autenticação. Por exemplo, é necessária uma senha do Zendesk para acessar sua conta do Support em muitas integrações do Zendesk ou para usar a API do Zendesk ou a estrutura de aplicativos.
- Se desejar que todos os usuários usem o método de single sign-on, desmarque a opção Autenticação do Zendesk.
As senhas do Zendesk serão permanentemente apagadas da conta em até 24 horas.
- Clique em Salvar.
- Se você desativou as senhas do Zendesk, clique em Avançado > Autenticação e selecione a opção Contorno do SSO.
Você pode escolher apenas Responsável pela conta ou todos os Administradores (incluindo o Responsável pela conta) para receberem acesso à conta se o provedor de acesso sair do ar.
Para ter acesso, o responsável pela conta ou um administrador solicita o recebimento de um email contendo um link de acesso único. Ao clicar no link, a pessoa tem acesso à conta. Não é necessária uma senha. Consulte Acesso à conta se as senhas estiverem desativadas.
- Clique em Salvar.
Gerenciamento de usuários no Zendesk após ativação de SSO com SAML
Depois de ativar o single sign-on com SAML no Zendesk, as alterações feitas em usuários fora do Zendesk são sincronizadas com sua conta do Zendesk. Por exemplo, se um usuário for adicionado em seu sistema Active Directory ou LDAP interno, ele também será adicionado automaticamente à sua conta do Zendesk. Se um usuário for apagado do seu sistema interno, ele não conseguirá mais entrar no Zendesk (mas a conta dele continuará existindo no Zendesk).
Por padrão, os únicos dados do usuário armazenados no Zendesk quando o single sign-on está ativado são o nome, o sobrenome e o endereço de email do usuário. O Zendesk não armazena senhas. Por isso, você deve desativar as notificações automáticas por email do Zendesk sobre senhas. Consulte Desativação de emails de notificação de senhas do Zendesk.
Para melhorar a experiência do cliente, você pode querer armazenar no Zendesk outros dados além do nome e do endereço de email do usuário. Consulte Obtenção de dados do usuário adicionais.
Desativação de emails de notificação de senhas do Zendesk
Quando um usuário é adicionado a uma conta do Zendesk, uma notificação automática por email pode ser enviada ao usuário, pedindo que ele confirme seu endereço de email e crie um nome de usuário e uma senha.
Um perfil de usuário do Zendesk é criado para qualquer novo usuário que acesse sua conta do Zendesk com SAML. Como eles são autenticados com uma senha que não é do Zendesk, o perfil é criado sem uma senha porque eles não precisam entrar no Zendesk. No entanto, por padrão, cada novo usuário recebe um email notificando-o para confirmar o endereço de email e criar um nome de usuário e uma senha.
- Na seção Emails para a conta, desmarque Também enviar um email de boas-vindas quando um novo usuário é criado por um agente ou administrador.
- Desmarque a opção Permitir que os usuários alterem suas senhas.
Obtenção de dados do usuário adicionais
Os únicos dados do usuário que o Zendesk requer de seu sistema de autenticação são o nome, o sobrenome e o endereço de email do usuário. O nome e o sobrenome são os únicos atributos de nomes que você deve usar para obter as informações sobre o nome de um usuário. No entanto, você pode obter mais dados pedindo à sua equipe de TI que adicione atributos de usuário às asserções de SAML que o provedor de identidades envia ao Zendesk quando os usuários entram.
Uma asserção de SAML contém uma ou mais instruções sobre o usuário. A instrução por si só já é uma decisão de autorização – se foi concedido o acesso ao usuário ou não. Uma outra instrução pode consistir em atributos que descrevem o usuário conectado.
O Zendesk aceita os atributos de usuário adicionais de usuários conectados a seguir. Defina seus requisitos de dados no Support, depois se reúna com sua equipe de TI para discutir a adição de atributos às asserções de SAML.
Atributo | Descrição |
---|---|
organization | Nome ou ID de uma organização à qual o usuário será adicionado. O atributo external_id de uma organização não possui suporte. Se a organização não existe no Zendesk, ele não será criado. Ainda assim, o usuário será criado, mas não será adicionado a nenhuma organização. |
organizations | Valores separados por vírgula como org1 , org2 , org3
|
organization_id | Exemplo: 134211213
|
organization_ids | Valores separados por vírgula como 23423433, 234324324,
23432
|
ou | Nome de uma unidade de organização. Especifica-o como um atributo organization . |
phone | Um número de telefone, especificado em uma cadeia de caracteres. |
tags | Tags a serem definidas para o usuário. As tags substituirão todas as demais tags existentes no perfil do usuário. |
remote_photo_url | URL para uma foto a ser definida no perfil do usuário. |
locale (para usuários finais)
locale_id (para agentes) |
A localidade no Zendesk, especificada como um número. Para obter a lista de números válidos, consulte Localidades nos documentos da API. |
role | A função do usuário. Pode ser definida como end-user, agent ou admin. O padrão é "end-user". |
custom_role_id | Aplicável apenas se o valor do atributo “role” acima for “agent”. Você pode obter as IDs das suas funções personalizadas com a API de funções personalizadas. |
external_id | Uma ID de usuário do seu sistema, se seus usuários forem identificados por outros meios que não um endereço de email e se o endereço de email deles estiver sujeito a alterações. Especificado como uma cadeia de caracteres. |
user_field_<key> | Um valor para o campo de usuário personalizado no Zendesk Support. Consulte Inclusão de campos personalizados aos usuários. <key> é a chave de campo atribuída ao campo do usuário personalizado no Zendesk Support. Exemplo: user_field_employee_number . Quando você envia um valor null ou uma cadeia de caracteres vazia no valor do atributo, o valor do campo personalizado definido no Zendesk Support é removido. |
O Zendesk oferece suporte a uma série de atributos da InCommon Federation para configurar atributos de usuários como parte do acesso. Você precisa especificar o namespace completo com o nome do atributo, não um nome amigável, para atributos da InCommon Federation. Exemplos:
Nome amigável | Nome formal SAML2 |
---|---|
ou (unidade de organização) | urn:oid:2.5.4.11 |
displayName | urn:oid:2.16.840.1.113730.3.1.241 |
Alternância de métodos de autenticação
Planilha de trabalho para implementação técnica
Esta seção se destina à equipe responsável na empresa pelo sistema de autenticação com SAML da empresa. Ela apresenta detalhes sobre a implementação de SSO com SAML do Zendesk.
Tópicos discutidos:
- Dados obrigatórios para a identificação do usuário que está sendo autenticado
- Configuração do provedor de identidade para o Zendesk
- Configuração do servidor de SAML para o Zendesk
- Parâmetros retornados para suas URLs de acesso e saída remotos
- Resolução de problemas na configuração de SAML do Zendesk
Dados obrigatórios para a identificação do usuário que está sendo autenticado
Quando você implementa o acesso de SSO com SAML em contas do Zendesk, especifica alguns dados para identificar o usuário que está sendo autenticado.
Os tópicos a seguir descrevem os dados que você precisa fornecer:
Especificação do endereço de email do usuário no NameID do assunto do SAML
Você precisa especificar o endereço de email do usuário no NameID do assunto do SAML.
Conceito | Onde é especificado | Descrição | Valor de exemplo |
---|---|---|---|
|
Email do usuário que está entrando. Identifica de forma única o usuário no Zendesk. | stevejobs@apple.com |
Exemplo de email:
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">stevejobs@apple.com</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2014-04-23T21:42:47.412Z"/>
</saml:SubjectConfirmation>
</saml:Subject>
Se os atributos de nome e sobrenome não forem fornecidos, a Zendesk usará o nome de usuário do endereço de email fornecido no elemento
como o nome do usuário. A primeira parte de um endereço de email antes do símbolo ''@'' corresponde ao nome de usuário. Se o nome do usuário do email tiver um ponto nele, então ele será separado como nome e sobrenome. Se não houver nenhum ponto, o nome do usuário completo será usado como nome do usuário no Zendesk.
Endereço de email em
|
Nome do usuário autenticado no Zendesk |
---|---|
Stanley.Yelnats@exemplo.com | Stanley Yelnats |
Stanleyyelnats@exemplo.com | Stanleyyelnats |
Especificação de dois atributos de usuário obrigatórios na asserção SAML
Quando você especifica os atributos do usuário, o nome e o sobrenome, precisa especificar os atributos com o namespace completo. Por exemplo, onde o nome amigável seria ''surname'', o valor real que você precisa usar para o atributo é: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
Conceito | Atributo | Descrição | Valor de exemplo |
---|---|---|---|
first name | givenname | O nome desse usuário. Você precisa especificar o namespace completo para esse atributo. |
|
last name | surname | O sobrenome desse usuário. O usuário será criado ou atualizado na instância do Zendesk de acordo com o nome e o sobrenome do usuário. Veja o exemplo abaixo. Você precisa especificar o namespace completo para esse atributo. |
|
Exemplos de nome e sobrenome:
<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<saml:AttributeValue xsi:type="xs:anyType">James</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<saml:AttributeValue xsi:type="xs:anyType">Dietrich</saml:AttributeValue>
</saml:Attribute>
O Zendesk aceita outros atributos de usuário. Consulte uma lista dos atributos aceitos em Obtenção de dados do usuário adicionais. Converse com o administrador de Zendesk Support sobre os requisitos de dados dele no Support.
Configuração do provedor de identidade para o Zendesk
Atributo | Valor |
---|---|
entityID | https://seusubdominio.zendesk.com |
AudienceRestriction | seusubdominio.zendesk.com |
onde seu_subdomínio é o subdomínio do Zendesk Support. Se não tiver certeza de qual é o subdomínio, pergunte ao administrador do Zendesk.
O Zendesk faz cumprir o atributo AudienceRestriction
.
Configuração do servidor de SAML para o Zendesk
Alguns servidores SAML podem exigir as seguintes informações durante a configuração de integração com o Zendesk:
-
A URL do Assertion Consumer Service (ACS): Especifique https://seusubdominio.zendesk.com/access/saml (diferencia maiúsculas e minúsculas), onde 'seusubdominio' é seu subdomínio do Support
-
Redirecione à URL de Single Sign-on com SAML: use HTTP POST
-
Algoritmo de hash (ADFS): a Zendesk dá suporte ao algoritmo SHA-2 quando os Serviços de Federação do Active Directory (ADFS) são usados
Parâmetros retornados para suas URLs de acesso e saída remotos
Ao redirecionar usuários para seu sistema de autenticação, o Zendesk anexa os parâmetros a seguir às URLs de acesso e saída remotos.
Atributo | Descrição |
---|---|
brand_id | A marca da Central de Ajuda na qual o usuário estava quando tentou acessar o sistema. Para obter mais informações, consulte Criação de uma Central de Ajuda para uma de suas marcas. |
Atributo | Descrição |
---|---|
Email do usuário que está saindo. | |
external_id | Um identificador exclusivo de seu sistema, armazenado no perfil de usuário do Zendesk. |
brand_id | A marca da Central de Ajuda na qual o usuário estava quando se desconectou. Para obter mais informações, consulte Criação de uma Central de Ajuda para uma de suas marcas. |
Caso você prefira não receber emails e informações de identificação externas na URL de saída, peça ao administrador de seu Zendesk para especificar parâmetros em branco no campo URL de saída remota na interface do administrador. Consulte Ativação de SSO com SAML. Exemplo:
https://www.seudominio.com/usuario/signout/?email=&external_id=
Resolução de problemas na configuração de SAML do Zendesk
Estes são os metadados do Zendesk SAML 2.0:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<EntityDescriptor entityID="yoursubdomain.zendesk.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
<SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
<AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yoursubdomain.zendesk.com/access/saml"/> <!-- Note: replace 'accountname' with your Zendesk subdomain -->
</SPSSODescriptor>
</EntityDescriptor>
O Zendesk espera uma asserção de SAML semelhante a esta:
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="s2202bbbb
afa9d270d1c15990b738f4ab36139d463" InResponseTo="_e4a78780-35da-012e-8ea7-005056
9200d8" Version="2.0" IssueInstant="2011-03-21T11:22:02Z" Destination="https://yoursubdomain.zendesk.com/access/saml">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">myidp.entity.id
</saml:Issuer>
<samlp:Status xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<samlp:StatusCode xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
Value="urn:oasis:names:tc:SAML:2.0:status:Success">
Observação: substitua 'accountname' no atributo Destination
por seu subdomínio do Zendesk.
O Zendesk espera que os atributos de usuário sejam especificados numa instrução de atributo da asserção (
), como neste exemplo:
<saml:Attribute Name="organization">
<saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">Acme Rockets</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="tags">
<saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">tag1 tag2</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="phone">
<saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">555-555-1234</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="role">
<saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">agent</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="custom_role_id">
<saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">12345</saml:AttributeValue>
</saml:Attribute>
Consulte os nomes e as descrições dos atributos de usuário aceitos pelo Zendesk na tabela do item Obtenção de dados do usuário adicionais acima.
Atributos de usuário obrigatórios na asserção SAML
Atributo | Obrigatório | Descrição |
---|---|---|
Sim | Email do usuário que se conectará, usado para identificar exclusivamente o registro do usuário no Zendesk. | |
name | Sim | O nome desse usuário. O usuário será criado ou atualizado no Zendesk de acordo com isso. |
organization | Não | Nome ou ID de uma organização à qual o usuário será adicionado. |
tags | Não | Essa é uma matriz de tags JSON a serem definidas no usuário. Essas tags substituirão todas as demais tags existentes no perfil do usuário. |
remote_photo_url | Não | URL para uma foto a ser definida no perfil do usuário. |
Sobre os intervalos de IP
As solicitações desses intervalos de IP sempre serão encaminhadas por meio da autenticação remota. Solicitações de endereços IP fora desses intervalos serão encaminhadas para o formulário de acesso normal. Para encaminhar todas as solicitações pela autenticação remota, deixe isso em branco. Um intervalo IP está no formato n.n.n.n, onde n é um número ou asterisco (*) curinga. Separe múltiplos intervalos IP com um espaço. Seu endereço IP atual é: 209.119.38.228
Provedores de SAML com suporte e exemplos de configuração
Alguns provedores de SAML têm vantagens e nós oferecemos suporte para eles. Estes são alguns exemplos:
- Configuração de single sign-on no Okta
- Configuração de single sign-on no OneLogin
- Microsoft (em breve)
0 Comentários
Por favor, entre para comentar.