Configuração do single sign-on usando Active Directory com ADFS e SAML – Ajuda do Zendesk

Disponível em todos os planos do Suite

Aviso: este artigo destina-se apenas a fins educacionais. A Zendesk não oferece suporte nem garantia ao código. Publique problemas encontrados nos comentários ou pesquise por uma solução online.

O Zendesk oferece suporte a uso de single sign-on (SSO) por meio do SAML 2.0. Um provedor de identidade (IDP) SAML 2.0 pode ter muitos formatos. Um deles é um servidor de Serviços de Federação do Active Directory (ADFS) auto hospedado. O ADFS é um serviço fornecido pela Microsoft como uma função padrão do Windows Server que permite se conectar à web usando credenciais existentes do Active Directory.

Requisitos

Para usar o ADFS para acessar sua instância do Zendesk, você precisa dos seguintes componentes:

Uma instância do Active Directory em que todos os usuários tenham um atributo de endereço de email.
Uma instância do Zendesk.
Um servidor que executa o Microsoft Server 2012 ou 2008. Este guia usa capturas de tela do Windows Server 2012R2, mas as etapas devem ser semelhantes nas outras versões.
Um certificado SSL para assinar sua página de acesso ao ADFS e a impressão digital desse certificado.
Se você estiver usando o mapeamento do host em sua instância do Zendesk, um certificado instalado para o SSL hospedado.

Após atender a esses requisitos básicos, você precisará instalar o ADFS em seu servidor. A configuração e a instalação do ADFS estão além do escopo deste guia, mas são detalhadas em um artigo da base de conhecimento da Microsoft.

Quanto tiver o ADFS totalmente instalado, anote do valor da URL de “SAML 2.0/W-Federation”, na seção de pontos de extremidade do ADFS. Se você escolher os valores padrão para a instalação, ele será “/adfs/ls/”.

Etapa 1: adição de um objeto de terceira parte confiável

Neste ponto, você deve estar pronto para configurar a conexão do ADFS com sua conta do Zendesk. A conexão entre o ADFS e o Zendesk é definida utilizando-se um objeto de confiança de terceira parte (TPC).

Selecione a pasta Confianças da Terceira Parte Confiável em Gerenciamento do AD FS e adicione um novo Objeto de confiança de terceira parte confiável padrão na barra lateral Ações. Isso inicia o assistente de configuração de uma nova TPC.

Na tela Selecionar fonte de dados, selecione a última opção, Inserir dados sobre a terceira parte confiável manualmente.
Na tela seguinte, insira um Nome de exibição que você reconheça no futuro e qualquer observação que quiser fazer.
Na tela seguinte, selecione o botão de opção Perfil do ADFS FS.
Na tela seguinte, deixe os valores padrão nas configurações do certificado.
Na tela seguinte, marque a caixa com o rótulo Habilitar suporte para o protocolo WebSSO do SAML 2.0. A URL de serviço será https://subdomínio.zendesk.com/access/saml, com a substituição do subdomínio pelo seu subdomínio do Zendesk. Observe que não há barra à direita no final da URL.
Na tela seguinte, adicione um Identificador da confiança da terceira parte confiável de subdomínio.zendesk.com, com a substituição de subdomínio pelo seu subdomínio do Zendesk.

Observação: se você inserir subdomínio.zendesk.com e receber um erro de falha de solicitação, talvez seja necessário inserir seu subdomínio como https://subdomínio.zendesk.com.
Na tela seguinte, você pode configurar a autenticação multifator, mas isso está além do escopo deste guia.
Na sela seguinte, selecione o botão de opção Permitir que todos os usuários acessem esta parte confiável.
Nas duas telas seguintes, o assistente exibirá uma visão geral de suas configurações. Na última tela, use o botão Fechar para sair e abrir o editor de Regras de declaração.

Etapa 2: criação de regras de declaração

Depois de criar o objeto de terceira parte confiável, você pode criar as regras de declaração e atualizar a TPC com pequenas alterações que não foram configuradas pelo assistente. Por padrão, o editor de regras de declaração é aberto quando você cria a terceira parte. Se quiser mapear valores adicionais além da autenticação, consulte nossa documentação.

Para criar uma nova regra, clique em Adicionar regra. Crie uma regra Enviar Atributos LDAP como Declarações.
Na tela seguinte, usando o Active Directory como repositório de atributos, faça o seguinte:
1. Na coluna Atributo LDAP, selecione Endereços de email.
2. Em Tipo de Declaração de Saída, selecione Endereço de email.
Clique em OK para salvar a regra.
Crie uma nova regra clicando em Adicionar regra, dessa vez selecionando Transformar uma Declaração de Entrada como modelo.
Na tela seguinte:
1. Selecione Endereço de email como o Tipo de Declaração de Entrada.
2. Em Tipo de declaração de saída, selecione ID do nome.
3. Em Formato de ID do nome de saída, selecione Email.
Deixe a regra com o valor padrão de Passar por todos os valores de declaração.
Por fim, clique em OK para criar a regra de declaração e, em seguida, clique em OK novamente para terminar de criar as regras.

Etapa 3: ajuste das configurações de confiança

Você ainda precisa ajustar algumas configurações em seu objeto de terceira parte confiável. Para acessar essas configurações, selecione Propriedades na barra lateral Ações com a TPC selecionada.

Na aba Avançado, assegure-se de que SHA-256 esteja especificado como o algoritmo de hash seguro.
Na aba Pontos de extremidade, clique em Adicionar SAML para incluir um novo ponto de extremidade.
Em Tipo de ponto de extremidade, selecione Logoff do SAML.
Para Associação, escolha POST.
Para URL confiável, crie uma URL usando:
1. O endereço da web de seu servidor ADFS
2. O ponto de extremidade de SAML do ADFS que você anotou anteriormente
3. A cadeia de caracteres "?wa=wsignout1.0"
A URL deve parecer com esta: https://sso.seudomínio.tld/adfs/ls/?wa=wsignout1.0.
Confirme suas alterações clicando em OK no ponto de extremidade nas propriedades da TPC. Agora, você deve ter uma TPC em funcionamento para o Zendesk.

Observação: sua instância do ADFS pode ter configurações de segurança em vigor que exigem que todas as Propriedades dos Serviços de Federação sejam preenchidas e publicadas nos metadados. Confirme com sua equipe se isso se aplica à sua instância. Caso se aplique, marque a caixa de seleção Publicar info. da organização em metadados de federação.

Etapa 4: configuração do Zendesk

Após configurar o ADFS, você precisa configurar sua conta do Zendesk para autenticação usando o SAML. Siga as etapas em Ativação de single sign-on por SAML. Você usará sua URL completa do servidor ADFS com o ponto de extremidade de SAML como URL de SSO e o ponto de extremidade de acesso que você criou, como a URL de saída. A impressão digital será aquela do certificado de autenticação do token instalado em sua instância do ADFS.

Você pode obter a impressão digital executando o seguinte comando do PowerShell no sistema com o certificado instalado:

C:\> Get-AdfsCertificate [-Thumbprint] []

Procure a impressão digital SHA256 do certificado de autenticação do token.

Depois de concluído:

Na Central de administração, clique no ícone Conta () na barra lateral e selecione Segurança > Single sign-on.
A página deve ter esta aparência:

Agora, você deve ter uma implementação de SSO do ADFS em funcionamento para o Zendesk.

Alternância de métodos de autenticação

Importante: se você usar um método SSO de terceiros para criar e autenticar usuários no Zendesk e depois trocar para a autenticação do Zendesk, esses usuários não terão uma senha disponível para o acesso. Para que tenham acesso, peça a esses usuários para redefinirem sua senha na página de entrada do Zendesk.