Mapeamento de atributos do Active Directory com ADFS e SAML

Disponível em todos os planos do Suite

Quando usar login SAML com ADFS, você pode transmitir outros valores além dos valores de autenticação. Este artigo descreve como transmitir as seguintes informações do usuário: nome completo, organização, número de telefone, função ou função personalizada.

Esses valores são definidos como Regras de Declaração em Confianças da Terceira Parte Confiável. Para editar as Regras de reinvindicação, selecione a pasta Confianças da Terceira Parte Confiável em Gerenciamento do AD FS e escolha Editar Regra de Declaração na barra lateral Ações. Para que as novas regras sejam adicionadas, clique em Adicionar regra e selecione um modelo na janela pop-up. Exemplo:

Nome completo

Para transmitir o nome completo do usuário, crie uma regra com o modelo Enviar Atributos LDAP como Declarações.

No Atributo LDAP, adicione uma linha em Sobrenome e uma linha em Nome.
Em Tipo de Declaração de Saída, selecione Sobrenome e Nome.

Organização

Para definir a organização à qual um usuário será associado no Zendesk, crie uma regra com o modelo Enviar Atributos LDAP como Declarações. Essa regra mapeará um campo no Active Directory para o tipo de organização de declaração de saída. O atributo LDAP dependerá de como você deseja mapear os usuários. Por exemplo, você pode querer mapear departamentos para organizações diferentes.

Em Atributo LDAP, selecione o campo que você está mapeando para a organização.
Em Tipo de Declaração de Saída, digite a palavra organization com letra minúscula no campo.

Número de telefone

Para transmitir o número de telefone do usuário, crie uma regra com o modelo Enviar Atributos LDAP como Declarações.

Em Atributo LDAP, selecione Número de telefone.
Em Tipo de Declaração de Saída, digite a palavra telefone com letra minúscula no campo.

Função

É necessário executar um processo de duas etapas para definir a função de um usuário com base em sua associação a um grupo. Primeiro, crie uma nova regra usando o modelo Enviar Associação de Grupo como uma Declaração. Em seguida, você modifica um pouco a definição gerada por essa regra para criar uma regra personalizada que transmita corretamente as informações ao Zendesk.

Como criar a regra de associação ao grupo:

Adicione uma nova regra e selecione Enviar Associação de Grupo como uma Declaração para o modelo.
Use o botão Procurar para localizar o grupo que você deseja mapear para a função.
Em Tipo de declaração de saída, selecione Função.
Em Valor da declaração de saída, use o valor especificado na tabela de atributos do usuário em sua documentação do SAML.
Clique em Concluir e em Editar regra para a regra que você acabou de criar.
Use o botão Exibir Idioma da Regra para obter o código bruto da regra. Copie o código em qualquer lugar. Você precisará dele na próxima etapa.

Como criar a regra personalizada de funcionamento:

Depois de copiar o código da janela de idioma da regra, clique em OK para fechar a caixa de diálogo.
Remova a regra e adicione uma nova regra com o modelo Enviar Declarações Usando uma Regra Personalizada.
Cole o código que você copiou no editor de regras personalizadas e apague a cadeia de caracteres "http://schemas.microsoft.com/ws/2008/06/identity/claims/" do campo Tipo. Feito isso, sobrará apenas a palavra role.
Salve a regra.

Função personalizada

Para definir uma função personalizada, será necessário usar a API de funções personalizadas de agentes para obter o ID. Depois disso, siga as etapas para criar uma regra de função genérica na seção 4 com as seguintes modificações:

Em vez de agente ou administrador no Valor da declaração de saída, use o ID da função.
Em vez de deixar a palavra role no campo Tipo, altere o valor para custom_role_id.

A última instrução da regra será parecida com esta:

issue(Type = "custom_role_id", Value = "ROLE_ID_HERE", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, ValueType = c.ValueType);

O mapeamento da função personalizada funcionará apenas se o usuário já tiver a função de agente.