O Zendesk oferece suporte a uso de single sign-on (SSO) por meio do SAML 2.0. Um provedor de identidade (IDP) SAML 2.0 pode ter muitos formatos. Um deles é um servidor de Serviços de Federação do Active Directory (ADFS) auto hospedado. O ADFS é um serviço fornecido pela Microsoft como uma função padrão do Windows Server que permite se conectar à web usando credenciais existentes do Active Directory.
Requisitos
Para usar o ADFS para acessar sua instância do Zendesk, você precisa dos seguintes componentes:
- Uma instância do Active Directory em que todos os usuários tenham um atributo de endereço de email.
- Uma instância do Zendesk.
- Um servidor que executa o Microsoft Server 2012 ou 2008. Este guia usa capturas de tela do Windows Server 2012R2, mas as etapas devem ser semelhantes nas outras versões.
- Um certificado SSL para assinar sua página de acesso ao ADFS e a impressão digital desse certificado.
- Se você estiver usando o mapeamento do host em sua instância do Zendesk, um certificado instalado para o SSL hospedado.
Após atender a esses requisitos básicos, você precisará instalar o ADFS em seu servidor. A configuração e a instalação do ADFS estão além do escopo deste guia, mas são detalhadas em um artigo da base de conhecimento da Microsoft.
Quanto tiver o ADFS totalmente instalado, anote do valor da URL de “SAML 2.0/W-Federation”, na seção de pontos de extremidade do ADFS. Se você escolher os valores padrão para a instalação, ele será “/adfs/ls/”.
Etapa 1: adição de um objeto de terceira parte confiável
Neste ponto, você deve estar pronto para configurar a conexão do ADFS com sua conta do Zendesk. A conexão entre o ADFS e o Zendesk é definida utilizando-se um objeto de confiança de terceira parte (TPC).
Selecione a pasta Confianças da Terceira Parte Confiável em Gerenciamento do AD FS e adicione um novo Objeto de confiança de terceira parte confiável padrão na barra lateral Ações. Isso inicia o assistente de configuração de uma nova TPC.
- Na tela Selecionar fonte de dados, selecione a última opção, Inserir dados sobre a terceira parte confiável manualmente.
- Na tela seguinte, insira um Nome de exibição que você reconheça no futuro e qualquer observação que quiser fazer.
- Na tela seguinte, selecione o botão de opção Perfil do ADFS FS.
- Na tela seguinte, deixe os valores padrão nas configurações do certificado.
- Na tela seguinte, marque a caixa com o rótulo Habilitar suporte para o protocolo WebSSO do SAML 2.0. A URL de serviço será https://subdomínio.zendesk.com/access/saml, com a substituição do subdomínio pelo seu subdomínio do Zendesk. Observe que não há barra à direita no final da URL.
- Na tela seguinte, adicione um Identificador da confiança da terceira parte confiável de subdomínio.zendesk.com, com a substituição de subdomínio pelo seu subdomínio do Zendesk.
Observação: se você inserir subdomínio.zendesk.com e receber um erro de falha de solicitação, talvez seja necessário inserir seu subdomínio como https://subdomínio.zendesk.com. - Na tela seguinte, você pode configurar a autenticação multifator, mas isso está além do escopo deste guia.
- Na sela seguinte, selecione o botão de opção Permitir que todos os usuários acessem esta parte confiável.
- Nas duas telas seguintes, o assistente exibirá uma visão geral de suas configurações. Na última tela, use o botão Fechar para sair e abrir o editor de Regras de declaração.
Etapa 2: criação de regras de declaração
Depois de criar o objeto de terceira parte confiável, você pode criar as regras de declaração e atualizar a TPC com pequenas alterações que não foram configuradas pelo assistente. Por padrão, o editor de regras de declaração é aberto quando você cria a terceira parte. Se quiser mapear valores adicionais além da autenticação, consulte nossa documentação.
- Para criar uma nova regra, clique em Adicionar regra. Crie uma regra Enviar Atributos LDAP como Declarações.
- Na tela seguinte, usando o Active Directory como repositório de atributos, faça o seguinte:
1. Na coluna Atributo LDAP, selecione Endereços de email.
2. Em Tipo de Declaração de Saída, selecione Endereço de email.
- Clique em OK para salvar a regra.
- Crie uma nova regra clicando em Adicionar regra, dessa vez selecionando Transformar uma Declaração de Entrada como modelo.
- Na tela seguinte:
1. Selecione Endereço de email como o Tipo de Declaração de Entrada.
2. Em Tipo de declaração de saída, selecione ID do nome.
3. Em Formato de ID do nome de saída, selecione Email.
Deixe a regra com o valor padrão de Passar por todos os valores de declaração.
- Por fim, clique em OK para criar a regra de declaração e, em seguida, clique em OK novamente para terminar de criar as regras.
Etapa 3: ajuste das configurações de confiança
Você ainda precisa ajustar algumas configurações em seu objeto de terceira parte confiável. Para acessar essas configurações, selecione Propriedades na barra lateral Ações com a TPC selecionada.
- Na aba Avançado, assegure-se de que SHA-256 esteja especificado como o algoritmo de hash seguro.
- Na aba Pontos de extremidade, clique em Adicionar SAML para incluir um novo ponto de extremidade.
- Em Tipo de ponto de extremidade, selecione Logoff do SAML.
- Para Associação, escolha POST.
- Para URL confiável, crie uma URL usando:
1. O endereço da web de seu servidor ADFS
2. O ponto de extremidade de SAML do ADFS que você anotou anteriormente
3. A cadeia de caracteres "?wa=wsignout1.0"
A URL deve parecer com esta: https://sso.seudomínio.tld/adfs/ls/?wa=wsignout1.0.
- Confirme suas alterações clicando em OK no ponto de extremidade nas propriedades da TPC. Agora, você deve ter uma TPC em funcionamento para o Zendesk.
Observação: sua instância do ADFS pode ter configurações de segurança em vigor que exigem que todas as Propriedades dos Serviços de Federação sejam preenchidas e publicadas nos metadados. Confirme com sua equipe se isso se aplica à sua instância. Caso se aplique, marque a caixa de seleção Publicar info. da organização em metadados de federação.
Etapa 4: configuração do Zendesk
Após configurar o ADFS, você precisa configurar sua conta do Zendesk para autenticação usando o SAML. Siga as etapas em Ativação de single sign-on por SAML. Você usará sua URL completa do servidor ADFS com o ponto de extremidade de SAML como URL de SSO e o ponto de extremidade de acesso que você criou, como a URL de saída. A impressão digital será aquela do certificado de autenticação do token instalado em sua instância do ADFS.
Você pode obter a impressão digital executando o seguinte comando do PowerShell no sistema com o certificado instalado:
C:\> Get-AdfsCertificate [-Thumbprint] []
Procure a impressão digital SHA256 do certificado de autenticação do token.
Depois de concluído:
- Na Central de administração, clique no ícone Conta () na barra lateral e selecione Segurança > Single sign-on.
A página deve ter esta aparência:
Agora, você deve ter uma implementação de SSO do ADFS em funcionamento para o Zendesk.
Alternância de métodos de autenticação
Importante: se você usar um método SSO de terceiros para criar e autenticar usuários no Zendesk e depois trocar para a autenticação do Zendesk, esses usuários não terão uma senha disponível para o acesso. Para que tenham acesso, peça a esses usuários para redefinirem sua senha na página de entrada do Zendesk.