Zendesk admite el inicio de sesión único (SSO) a través de SAML 2.0. Un proveedor de identidad (IDP) para SAML 2.0 puede adoptar muchas formas, y una de ellas es el servidor Active Directory Federation Services (ADFS) autohospedado. El ADFS es un servicio que ofrece Microsoft como un rol estándar para Windows Server con un inicio de sesión web mediante las credenciales existentes de Active Directory.
Requisitos
A fin de utilizar el ADFS para iniciar sesión en su instancia de Zendesk, necesita los siguientes componentes:
- Una instancia Active Directory en la que todos los usuarios tengan un atributo de dirección de correo electrónico.
- Una instancia de Zendesk.
- Un servidor que ejecute Microsoft Server 2012 o 2008. En esta guía, se utilizan capturas de pantalla del servidor 2012R2, pero se pueden seguir pasos similares en otras versiones.
- Un certificado SSL para firmar su página de inicio de sesión ADFS y la huella digital para ese certificado.
- Si está usando el mapeo de host en su instancia de Zendesk, un certificado instalado para SSL alojado.
Una vez cumplidos los requisitos anteriores, tiene que instalar el ADFS en su servidor. La configuración e instalación del ADFS va más allá del ámbito de esta guía, pero se explica con gran detalle en unartículo de la base de conocimientos de Microsoft。
Cuando haya completado la instalación del ADFS, apunte el valor del URL de 'SAML 2.0/W-Federation' en la sección “ADFS Endpoints”. Si elige la opción predeterminada de la instalación, el valor será '/adfs/ls/'.
Paso 1 - Agregar una relación de confianza para usuario autenticado
En este momento, ya debería estar listo para configurar la conexión ADFS con su cuenta de Zendesk. La conexión entre ADFS y Zendesk se define a través de una relación de confianza para usuario autenticado (RPT, Relying Party Trust).
Seleccione la carpetaRelying Party TrustsdelAD FS Managementy agregue una nuevaStandard Relying Party Trusten la barra lateralActions。Con esto se inicia el asistente para la configuración de la nueva relación de confianza.
- En la pantallaSelect Data Source, seleccione la última opción,Enter Data About the Party Manually。
- En la siguiente pantalla, enDisplay nameescriba un nombre que vaya a reconocer fácilmente en un futuro y cualquier comentario que desee agregar.
- En la siguiente pantalla, seleccione el botón de opciónADFS FS profile。
- En la siguiente pantalla, deje los valores predeterminados del certificado.
- En la siguiente pantalla, seleccione la casillaEnable Support for the SAML 2.0 WebSSO protocol。El URL de servicio será https://subdomain。zendesk.com/access/saml, reemplazandosubdomaincon su subdominio de Zendesk. Observe que no existe una barra al final del URL.
- En la siguiente pantalla, agregue unRelying party trust identifierdesubdomain。zendesk.com, reemplazandosubdomaincon su subdominio de Zendesk.
Nota: Si escribesubdomain。zendesk.com, y recibe un error de solicitud, es posible que tenga que introducir su subdominio como https://subdomain。zendesk.com.
- En la siguiente pantalla, puede configurar la autenticación de varios factores (algo que no está dentro del ámbito de esta guía).
- En la siguiente pantalla, seleccione el botón de opciónPermit all users to access this relying party。
- En las siguientes dos pantallas, el asistente mostrará información general de todas las opciones seleccionadas. En la última pantalla, seleccione el botónClosepara salir y abrir el editor Claim Rules.
Paso 2 - Crear las reglas de notificación
Una vez creada la relación de confianza para usuario autenticado (RPT), puede crear las reglas de notificación y, además, actualizar la relación con cambios menores no definidos por el asistente. De manera predeterminada, el editor de reglas de notificación se abre cuando se termina de crear la relación de confianza. Si desea mapear valores adicionales más allá de la autenticación, consulte nuestradocumentación。
- Para crear una nueva regla, haga clic enAdd Rule。Cree una reglaSend LDAP Attributes as Claims。
- En la siguiente pantalla, utiliceActive Directorycomo almacén de atributos y haga lo siguiente:
1. En la columnaLDAP Attribute, seleccioneE-Mail Addresses。
2. EnOutgoing Claim Type, seleccioneE-Mail Address。 - Haga clic enOKpara guardar la nueva regla.
- Cree otra regla haciendo clic enAdd Rule, y esta vez seleccioneTransform an Incoming Claimcomo plantilla.
- En la siguiente pantalla:
1. SeleccioneE-mail Addresscomo elIncoming Claim Type。
2. ParaOutgoing Claim Type, seleccioneName ID。
3. ParaOutgoing Name ID Format, seleccioneEmail。
Deje la regla con el valor predeterminado dePass through all claim values。 - Por último, haga clic enOKpara crear la regla de notificación y haga clic enOKde nuevo para finalizar la creación de reglas.
Paso 3 - Ajustar las opciones de la relación de confianza
Ahora tendrá que ajustar algunas opciones de la relación de confianza para usuario autenticado. Para tener acceso a estas opciones, seleccionePropertiesen la barra lateralActionsmientras tiene seleccionada la RPT.
- En la pestañaAdvanced, asegúrese de tener especificadoSHA-256como algoritmo de hash seguro.
- En la pestañaEndpoints, haga clic enadd SAMLpara agregar un extremo nuevo.
- ParaEndpoint type, seleccioneSAML Logout。
- ParaBinding, elijaPOST。
- ParaTrusted URL, cree un URL con estos datos:
1. La dirección web de su servidor ADFS
2. El extremo ADFS SAML que anotó anteriormente
3. La cadena '?wa=wsignout1.0'
El URL debería ser algo parecido a esto: https://sso.sudominio.tld/adfs/ls/?wa=wsignout1.0. - Confirme sus cambios haciendo clic enOKen el extremo y en las propiedades de la RPT. Ahora debe tener una relación de confianza para usuario autenticado (RPT) para Zendesk.
Nota: Su instancia de ADFS puede tener configuradas opciones de seguridad que exijan completar todas las propiedades de Federation Services y publicarlas en los metadatos. Consulte con su equipo para ver si esto se aplica en su instancia. Si este fuera el caso, asegúrese de marcar la casillaPublish organization information in federation metadata。
Paso 4 - Configurar Zendesk
Después de configurar ADFS, necesita configurar su cuenta de Zendesk para hacer la autenticación con SAML. Siga los pasos que se describen enActivación del inicio de sesión único con SAML。Utilizara el URL del servidor ADFS completo欺诈el extremo de SAML como el URL de SSO, y con el extremo de inicio de sesión que creó como el URL de cierre de sesión. La huella digital será la del certificado de firma de tokens instalado en su instancia de ADFS.
Para obtener la huella digital puede ejecutar el siguiente comando PowerShell en el sistema con el certificado instalado:
C:\>Get-AdfsCertificate [-Thumbprint] []
Busque数字SHA256 del certificado de la huellafirma de tokens.
Al finalizar, la páginaSeguridad > Inicio de sesión únicodel Centro de administración de Zendesk se debe ver así:
Ahora, ya debe estar en funcionamiento la implementación del inicio de sesión único de ADFS para Zendesk.
Cambiar de método de autenticación
Importante: Si se utiliza un método SSO de terceros para crear y autenticar a los usuarios en Zendesk, y luego se cambia a la autenticación de Zendesk, estos usuarios no tendrán una contraseña disponible para iniciar sesión. Para obtener acceso, los usuarios tendrán que restablecer sus contraseñas en la página de inicio de sesión de Zendesk.
0 Comentarios
Inicie sesiónpara dejar un comentario.