Zendesk admite el acceso con inicio de sesión único empresarial a las cuentas de Zendesk a través de SAML (Secure Assertion Markup Language) yJWT (Token Web JSON)。Con SSO, los usuarios pueden iniciar sesión una vez usando el formulario de inicio de sesión de su compañía para obtener acceso a varios sistemas y proveedores de servicio, y productos Zendesk.
El rol de los administradores de Zendesk consiste en activar la opción de inicio de sesión único. En este artículo se describe cómo activar varias configuraciones de inicio de sesión único con SAML que se pueden usar para autenticar a los integrantes del equipo (administradores y agentes, incluidos los agentes Light y los colaboradores), usuarios finales, o ambos.
En este artículo se tratan los siguientes temas:
- Cómo funciona el inicio de sesión único con SAML para Zendesk
- Requisitos para activar el inicio de sesión único con SAML
- Activar el inicio de sesión único con SAML
- Asignar inicio de sesión único (SSO) con SAML a los usuarios
- Administrar在洛usuarios en Zende亚博sk之后ctivar el inicio de sesión único con SAML
- Cambiar de método de autenticación
埃尔的球队de TI de una compania es normalmente responsable de la configuración y administración del sistema de autenticación SAML de la compañía. Su rol incluye implementar SSO para Zendesk en el sistema. Remita al equipo al siguiente tema en este artículo:
Artículos relacionados:
Cómo funciona el inicio de sesión único con SAML para Zendesk
SAML para Zendesk funciona de la misma manera que funciona con todos los demás proveedores de servicio. Un uso común sería una compañía donde toda la autenticación de los usuarios es administrada por un sistema de autenticación corporativo como Active Directory o LDAP (comúnmente conocido como unproveedor de identidadoIdP). Zendesk establece una relación de confianza con el proveedor de identidad y le permite autenticar a los usuarios e iniciar sesión en cuentas de Zendesk.
Un ejemplo de uso común es un usuario que inicia sesión en el sistema corporativo de su empresa al comienzo de un día de trabajo. Una vez que ha iniciado sesión, tiene acceso a otros servicios y aplicaciones de la empresa (como correo electrónico o Zendesk Support) sin tener que iniciar sesión por separado en cada uno de esos servicios.
Si un usuario intenta iniciar sesión directamente en una cuenta de Zendesk, será redirigido al servidor o servicio SAML para la autenticación. Una vez completada la autenticación, el usuario es redirigido a la cuenta de Zendesk y la sesión se inicia automáticamente.
Otro flujo de trabajo admitido da a los usuarios acceso a Zendesk después de que inician sesión en el sitio web de la compañía. Cuando un usuario inicia sesión en el sitio web con sus credenciales del sitio web, el sitio web envía una solicitud al proveedor de identidad para validar al usuario. A continuación, el sitio web envía la respuesta del proveedor al servidor SAML, este lo reenvía a la cuenta de Zendesk que, a su vez, otorga una sesión al usuario.
Requisitos para activar el inicio de sesión único con SAML
Reúnase con el equipo responsable del sistema de autenticación SAML dentro de su compañía (por lo general el equipo de TI) para asegurarse de que la compañía cumpla los siguientes requisitos:
La compañía tienen un servidor SAML con usuarios aprovisionados o conectados a un repositorio de identidades como Microsoft Active Directory o LDAP. Las opciones incluyen un servidor SAML integrado como OpenAM, o un servicio SAML como Okta, OneLogin o PingIdentity.
Si se usa un servidor Servicios de federación de Active Directory (ADFS), se debe activar la autenticación basada en formularios. Zendesk no admite Windows Integrated Authentication (WIA). Si desea más información, consulteConfiguración del inicio de sesión único usando Active Directory con ADFS y SAML。
- Todo el tráfico dirigido hacia Zendesk se realiza a través de HTTPS, y no de HTTP.
- El URL de inicio de sesión remoto para su servidor SAML (a veces denominado URL de inicio de sesión único con SAML)
- (Opcional) El URL de cierre de sesión remoto donde Zendesk puede redirigir a los usuarios después de que cierran sesión en Zendesk
- (Opcional) Una lista de intervalos de IP para redirigir a los usuarios a la opción de inicio de sesión que corresponda. Los usuarios que hacen solicitudes desde los intervalos de IP especificados son redirigidos al formulario de inicio de sesión de autenticación remota con SAML. Los usuarios que hacen solicitudes desde direcciones IP fuera de los intervalos son redirigidos al formulario de inicio de sesión normal de Zendesk. Si no se especifica un intervalo, todos los usuarios son redirigidos al formulario de inicio de sesión de autenticación remota.
- La huella digital SHA2 del certificado SAML obtenida del servidor SAML. Los certificados X.509 son compatibles y deberían tener un formato PEM o DER, pero de todos modos se tiene que proporcionar una huella digital SHA2 para el certificado X.509. No hay límite máximo para el tamaño de la huella digital SHA.
Es posible que el equipo de TI necesite más información de Zendesk para poder configurar la implementación de SAML. Remítalos a laHoja de trabajo de implementación técnicaen este artículo.
Después de confirmar que cumple los requisitos y tiene toda la información necesaria, estará listo paraactivar SSO SAML。
Activar el inicio de sesión único con SAML
Los administradores pueden activar el inicio de sesión único con SAML solo para los usuarios finales, solo para los integrantes del equipo (incluidos los agentes Light y colaboradores) o para ambos grupos. Se pueden crear varias configuraciones de inicio de sesión único con SAML. Antes de comenzar, obtenga la información necesaria del equipo de TI de su compañía. ConsulteRequisitos para activar el inicio de sesión único con SAML。
Para activar el inicio de sesión único con SAML en Zendesk
- En elCentro de administración, haga clic en
Cuentaen la barra lateral y luego seleccioneSeguridad > Inicio de sesión único。
- Haga clic enCrear configuración de SSOy luego seleccioneSAML。
- Ingrese unNombre de configuraciónúnico.
- ParaURL SSO SAML, ingrese el URL de inicio de sesión remoto para el servidor SAML.
- Ingrese laHuella digital de certificadoSHA-256. Esto es obligatorio para que podamos comunicarnos con el servidor SAML.
- (Opcional) ParaURL de cierre de sesión remoto, ingrese un URL de cierre de sesión a donde se debe redirigir a los usuarios después de que cierran sesión en Zendesk.
- (Opcional) ParaIntervalos de IP, ingrese una lista de intervalos de IP si desea redirigir a los usuarios a la opción de inicio de sesión que corresponda.
Los usuarios que hacen solicitudes desde los intervalos de IP especificados son redirigidos al formulario de inicio de sesión de autenticación remota con SAML. Los usuarios que hacen solicitudes desde direcciones IP fuera de los intervalos son redirigidos al formulario de inicio de sesión normal de Zendesk. No especifique un intervalo si desea que todos los usuarios sean redirigidos al formulario de inicio de sesión con autenticación remota.
- SeleccioneMostrar el botón cuando los usuarios inician sesiónpara agregar un botónContinuar con SSOa la página de inicio de sesión de Zendesk.
Si lo desea, puede personalizar el rótulo del botón introduciendo un valor en el campoNombre del botón。Los rótulos de botón personalizados son útiles si agrega varios botones de SSO a la página de inicio de sesión. ConsulteAgregar botón "Continuar con SSO" a la página de inicio de sesión de Zendesksi desea más información.
- Haga clic enGuardar。
De manera predeterminada, las configuraciones de inicio de sesión único empresarial están inactivas. Tendrá queasignar la configuración de SSO a los usuariospara activarlo.
Asignar inicio de sesión único (SSO) con SAML a los usuarios
Después de crear la configuración del inicio de sesión único (SSO) con SAML, se debe asignar a los usuarios finales, a los integrantes del equipo, o ambos, para activarla.
Para asignar una configuración de SSO a los integrantes del equipo y los usuarios finales
- 磨料la configuracion de seguridad para integrantes del equipo o usuarios finales.
- En elCentro de administración, haga clic en
Cuentaen la barra lateral y luego seleccioneSeguridad > Autenticación de integrantes del equipo。
- En elCentro de administración, haga clic en
Cuentaen la barra lateral y luego seleccioneSeguridad > Autenticación de usuarios finales。
- En elCentro de administración, haga clic en
- Si está asignando una configuración de SSO a los integrantes del equipo, seleccioneAutenticación externapara mostrar las opciones de autenticación.
Estas opciones ya se muestran para los usuarios finales.
- Haga clic en la opciónInicio de sesión único (SSO)en la secciónAutenticación externay luego seleccione los nombres de las configuraciones de SSO que desea utilizar.
Es posible que el inicio de sesión único no funcione en todos los casos, por lo que la autenticación de Zendesk permanece activa de manera predeterminada.
- Decida cómo va a permitir que inicien sesión los usuarios finales.
Dejarlos elegirpermite que el usuario inicie sesión a través de cualquier método de autenticación activado. ConsulteOfrecer a los usuarios distintas opciones de inicio de sesión en Zendesk。
Redirigir a SSOpermite que los usuarios se autentiquen solo a través de laconfiguración de SSO principal。Los usuarios no ven ninguna opción de inicio de sesión adicional, incluso si las opciones de autenticación están activadas. Cuando se seleccionaRedirigir a SSO, aparece el campoSSO principal, donde podrá seleccionar la configuración de SSO principal.
- Haga clic enGuardar。
Administrar在洛usuarios en Zende亚博sk之后ctivar el inicio de sesión único con SAML
Después de activar el inicio de sesión único con SAML en Zendesk, los cambios que se realicen en los usuarios fuera de Zendesk se sincronizan con la cuenta de Zendesk. Por ejemplo, si se agrega a un usuario al sistema Active Directory o LDAP interno, el usuario es agregado automáticamente a la cuenta de Zendesk. Si se borra a un usuario del sistema interno, el usuario ya no podrá iniciar sesión en Zendesk. Sin embargo, su cuenta seguirá existiendo en Zendesk.
De manera predeterminada, los únicos datos de usuario que se almacenan en Zendesk cuando está activado el inicio de sesión único son el primer nombre, el apellido y la dirección de correo electrónico del usuario. Zendesk no almacena las contraseñas. Por lo tanto, se deben desactivar todas las notificaciones por correo electrónico automatizadas de Zendesk sobre las contraseñas. ConsulteDesactivar las notificaciones por correo electrónico sobre contraseñas de Zendesk。
Para ofrecer una mejor experiencia a los clientes, puede almacenar el nombre, la dirección de correo electrónico del usuario en Zendesk y otros datos. ConsulteObtener datos adicionales del usuario。
Desactivar las notificaciones por correo electrónico sobre contraseñas de Zendesk
Cuando se agrega联合国usuario una东西德zendk, es posible que se le envíe una notificación automática por correo electrónico para que verifique su dirección de correo electrónico y cree un nombre de usuario y una contraseña.
Se crea un perfil de usuario de Zendesk para los nuevos usuarios que accedan a la cuenta de Zendesk a través de SAML o JWT. Debido a que se han autenticado con una contraseña que no es de Zendesk, el perfil se crea sin una contraseña porque no es necesario que inicien sesión en Zendesk. No obstante, de manera predeterminada, todos los nuevos usuarios reciben una notificación por correo electrónico que les notifica que deben verificar su dirección de correo electrónico y crear un nombre de usuario y una contraseña.
- En elCentro de administración, haga clic en
Personasen la barra lateral y luego seleccioneConfiguración > Usuarios finales。
- En la secciónMensajes de correo electrónico de la cuenta, quite la marca deEnviar también un correo de bienvenida cuando un agente o administrador cree un nuevo usuario。
- EnPermitir que los usuarios cambien su contraseña, quite la marca de la opción.
Cambiar de método de autenticación
Si se utiliza un método SSO de terceros para crear y autenticar a los usuarios en Zendesk, y luego se cambia a la autenticación de Zendesk, estos usuarios no tendrán una contraseña disponible para iniciar sesión. Para obtener acceso, solicite a dichos usuarios que restablezcan sus contraseñas en la página de inicio de sesión de Zendesk.
Hoja de trabajo de implementación técnica
Esta sección es para el equipo responsable del sistema de autenticación SAML dentro de la compañía. Proporciona los detalles sobre la implementación del inicio de sesión único con SAML de Zendesk.
Temas que se tratan:
- Datos de usuario requeridos para identificar al usuario al que se está identificando
- Configurar el proveedor de identidad para Zendesk
- Configurar el servidor SAML para Zendesk
- Parámetros que se devuelven a los URL de inicio de sesión y cierre de sesión remotos
- Resolver problemas con la configuración de SAML para Zendesk
Datos de usuario requeridos para identificar al usuario al que se está identificando
Cuando se implementa el acceso SSO con SAML en las cuentas de Zendesk, se especifican ciertos datos de usuario para identificar al usuario al que se está identificando.
Los siguientes temas describen los datos que se tienen que proporcionar:
Especificar la dirección de correo electrónico del usuario en la NameID de SAML del sujeto
Zendesk utiliza direcciones de correo electrónico para identificar de forma exclusiva a los usuarios. Se debe especificar la dirección de correo electrónico del usuario en la ID de nombre de SAML del sujeto.
Por ejemplo:
stevejobs@yourdomain.com
Si no se proporcionan los atributos givenname y surname, Zendesk utilizará el nombre de usuario de la dirección de correo electrónico proporcionada en el elemento
como el nombre del usuario. La primera parte de una dirección de correo electrónico que se encuentra antes del símbolo “@” es el nombre de usuario.
Si el nombre de usuario de correo electrónico incluye un carácter de punto, este se usa para separar el primer nombre del apellido. Si no hay un carácter de punto, todo el nombre de usuario se convierte en el nombre del usuario en Zendesk. Por ejemplo, si la dirección de correo electrónico
esstanley.yelnats@sudominio.com, el nombre del usuario en Zendesk se guardaría comoStanley Yelnats; sin embargo, si la dirección de correo electrónico esstanleyyelnats@sudominio.com, el nombre de usuario en Zendesk se guardaría comoStanleyyelnats。
Especificar dos atributos de usuario requeridos en la aserción de SAML
Si se especifican los atributosgivennameysurname, se debe usar el espacio de nombres completo en lugar de los nombres corrientes. Por ejemplo: si el nombre corriente es “apellido”, el valor real que se tiene que especificar para el atributo eshttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
Concepto | Atributo | Descripción | Valor de ejemplo |
---|---|---|---|
primer nombre | givenname | El primer nombre de este usuario. Se debe especificar el espacio de nombres completo para este atributo. |
|
apellido | surname | El apellido de este usuario. Se crea y actualiza un usuario en Zendesk conforme al primer nombre y apellido de este usuario. Vea el ejemplo a continuación. Se debe especificar el espacio de nombres completo para este atributo. |
|
Ejemplo de primer nombre y apellido.
< saml:属性名称= " http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"> James Dietrich
Zendesk admiteatributos de usuario adicionales。Hable con el administrador de Zendesk Support si desea información sobre los requisitos de datos en Support.
Obtener datos adicionales del usuario
Los únicos datos de usuario que Zendesk necesita del sistema de autenticación son el primer nombre, el apellido y la dirección de correo electrónico del usuario. El primer nombre y el apellido son los únicos nombres de atributo que se deben usar para obtener información sobre el nombre de un usuario. No obstante, si desea obtener más datos, puede solicitarle al equipo de TI que agregue atributos de usuario a las aserciones SAML que el proveedor de identidades envía a Zendesk cuando los usuarios inician sesión.
Unaaserción SAMLcontiene una o varias declaraciones sobre el usuario. Una declaración es la decisión de autorización en sí, es decir, si se le otorgó acceso o no al usuario. Otra declaración puede constar de atributos que describen al usuario que ha iniciado sesión.
Atributo | Descripción |
---|---|
organization | Nombre o ID de una organización a la cual se desea agregar el usuario. No se admite el atributo external_id de una organización. Si la organización no existe en Zendesk, no será creada. En cambio, el usuario sí será creado, aunque no será agregado a ninguna organización. |
organizations | Valores separados por comas, comoorg1 ,org2 ,org3 |
organization_id | Ejemplo:134211213 |
organization_ids | Valores separados por comas, como23423433, 234324324, 23432 |
ou | Nombre de una unidad de organización. Especifíquelo como un atributoorganization 。 |
phone | Un número de teléfono, especificado como una cadena. |
tags | Etiquetas para configurar en el usuario. Las etiquetas reemplazarán todas las demás etiquetas que existan en el perfil del usuario. |
remote_photo_url | URL de una foto para configurar en el perfil del usuario. |
locale (para agentes) locale_id (para usuarios finales) |
La configuración regional en Zendesk, especificada como un número. Para obtener una lista de los números válidos, consulteLocalesen los documentos sobre la API. |
role | El rol del usuario. Se puede configurar enusuario final,agenteoadministrador。El valor predeterminado esusuario final。 |
custom_role_id | Se aplica solo si el valor del atributorolede arriba esagente。Las ID para los roles personalizados se encuentran enCustom Roles API。 |
external_id | Una ID de usuario del sistema si los usuarios están identificados por cualquier cosa que no sea una dirección de correo electrónico, o si sus direcciones de correo electrónico pueden cambiar. Especificado como una cadena. |
user_field_ |
Un valor para un campo de usuario personalizado en Zendesk Support. ConsulteAdición de campos personalizados a usuarios。El英勇<键> es la劈开de campo asignadacampo de usuario personalizado en Zendesk Support. Ejemplo:user_field_employee_number dondeemployee_number es la clave de campo en Zendesk. Si se envía un valor null o una cadena vacía en el valor del atributo, se eliminará todo valor de campo personalizado establecido en Zendesk Support. |
Nombre corriente | Nombre formal SAML2 |
---|---|
ou (unidad de organización) | urn:oid:2.5.4.11 |
displayName | urn:oid:2.16.840.1.113730.3.1.241 |
Configurar el proveedor de identidad para Zendesk
Atributo | Valor |
---|---|
entityID | https://susubdominio。zendesk.com |
AudienceRestriction | susubdominio。zendesk.com |
Para ambos valores, reemplacesu_subdominiopor el subdominio de Zendesk Support. Si no está seguro cuál es el subdominio, consulte con el administrador de su cuenta de Zendesk.
Zendesk impone el atributoAudienceRestriction
。
Configurar el servidor SAML para Zendesk
Es posible que algunos servidores SAML necesiten la siguiente información al configurar una integración con Zendesk:
URL de Access Consumer Service (ACS): especifiquehttps://susubdominio.zendesk.com/access/saml(distingue entre mayúsculas y minúsculas), donde “susubdominio” es el subdominio de su cuenta de Support
Redirige al URL de inicio de sesión único de SAML: utiliceHTTP POST
Algoritmo hash (ADFS): Zendesk admite el algoritmo SHA-2 cuando usa los Servicios de federación de Active Directory (ADFS)
Parámetros que se devuelven a los URL de inicio de sesión y cierre de sesión remotos
Al redirigir a los usuarios al sistema de autenticación, Zendesk anexa los siguientes parámetros a los URL de inicio de sesión remoto y de cierre de sesión remoto.
Atributo | Descripción |
---|---|
brand_id | La marca del centro de ayuda en el que se encontraba el usuario cuando intentó iniciar sesión. Si desea más información, consulteCrear un Centro de ayuda para una de sus marcas。 |
Atributo | Descripción |
---|---|
Correo electrónico del usuario que está cerrando sesión. | |
external_id | Un identificador único del sistema almacenado en el perfil de usuario de Zendesk. |
brand_id | La marca del Centro de ayuda en la que se encontraba el usuario cuando cerró sesión. Si desea más información, consulteCrear un Centro de ayuda para una de sus marcas。 |
Si prefiere no recibir información sobre la ID externa y el correo en el URL de cierre de sesión, solicítele al administrador de su cuenta de Zendesk que especifique parámetros en blanco en el campoURL de cierre de sesión remotoen la interfaz del administrador. ConsulteActivar el inicio de sesión único con SAML。Por ejemplo:https://www.yourdomain.com/user/signout/?email=&external_id=。
Resolver problemas con la configuración de SAML para Zendesk
Estos son los metadatos de SAML 2.0 de Zendesk:
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
Zendesk espera una aserción de SAML como la siguiente:
myidp.entity.id
Nota: Reemplace “nombredecuenta” en el atributoDestination
con el subdominio de su cuenta de Zendesk.
Zendesk espera que los atributos de usuario estén especificados en la declaración del atributo de la aserción (
) como en el siguiente ejemplo:
Acme Rockets tag1 tag2 555-555-1234 agent 12345
Si desea ver los nombres y las descripciones de los atributos de usuario admitidos por Zendesk, consulte la tabla enObtener datos adicionales del usuariomás arriba. Tenga en cuenta que el espacio de nombres completo no es compatible con los atributos de usuario opcionales.
0 Comentarios
Inicie sesiónpara dejar un comentario.