亚博Zendesk支持通过SAML 2.0进行单点登录(SSO)。SAML 2.0身份提供程序(IDP)可以采用多种形式,其中一种是自托管的Active Directory联合服务(ADFS)服务器。ADFS是微软提供的一项服务,作为Windows Server的标准角色,它使用现有的Active Directory凭据提供web登录。
需求
要使用ADFS登录到Zendesk实例,您需要以下组件:亚博
- 一个Active Directory实例,其中所有用户都有一个电子邮件地址属性。
- Ze亚博ndesk实例。
- 一台运行微软server 2012或2008的服务器。本指南使用来自Server 2012R2的屏幕截图,但在其他版本上也可以使用类似的步骤。
- 用于签署ADFS登录页面的SSL证书和该证书的指纹。
- 如果在Zendesk实例中使用主机映射,则为托管SSL安装的证书。亚博
在满足这些基本要求之后,需要在服务器上安装ADFS。配置和安装ADFS超出了本指南的范围,但详细信息请参见Microsoft KB文章.
当您完全安装了ADFS后,请在ADFS端点部分中记下“SAML 2.0/W-Federation”URL的值。如果您为安装选择了默认值,那么这将是'/adfs/ls/'。
步骤1 -添加一个信任依赖方
此时,您应该准备好设置ADFS与Zendesk帐户的连接。亚博ADFS和Zendesk之间的连接使用依赖方信任(RPT)来定义亚博。
选择依赖方信托文件夹的AD FS管理,并添加一个新的标准依赖方信托从行动侧边栏。这将启动新信任的配置向导。
- 在选择数据源屏幕,选择最后一个选项,手动输入当事人数据.
- 在下一个屏幕中,输入a显示名称你以后会认出来的,还有你想做的笔记。
- 在下一个屏幕上,选择ADFS FS配置文件单选按钮。
- 在下一个屏幕上,将证书设置保持默认值。
- 在下一个屏幕上,选中标签框启用对SAML 2.0 WebSSO协议的支持.服务URL将是https://子域名.亚博zendesk.com/access/saml,取代子域名使用Zendesk子亚博域名。注意,URL的末尾没有斜杠。
- 在下一个屏幕中,添加一个依赖方信任标识符的子域名.亚博zendesk.com,取代子域名使用Zendesk子亚博域名。
注意:如果你输入子域名.亚博zendesk.com,并收到请求失败错误,您可能需要输入您的子域名为https://子域名.亚博zendesk.com。 - 在下一个屏幕上,您可以配置多因素身份验证,但这超出了本指南的范围。
- 在下一个屏幕上,选择允许所有用户访问该依赖方单选按钮。
- 在接下来的两个屏幕上,向导将显示设置的概述。在最后一个屏幕上使用关闭按钮退出并打开Claim Rules编辑器。
步骤2 -创建索赔规则
一旦创建了依赖方信任,您就可以创建索赔规则,并使用向导没有设置的小更改来更新RPT。默认情况下,一旦创建信任,索赔规则编辑器就会打开。如果要映射身份验证之外的其他值,请参阅我们的文档.
- 要创建新规则,请单击添加规则.创建一个作为声明发送LDAP属性规则。
- 在下一个屏幕上,使用活动目录作为您的属性存储,请执行以下操作:
1.从LDAP属性列,选择电子邮件地址.
2.从外发索赔类型中,选择电子邮件地址. - 点击好吧保存新规则。
- 通过单击创建另一个新规则添加规则,这次是选择转换传入申索作为模板。
- 在下一个屏幕上:
1.选择电子邮件地址随着传入索赔类型.
2.为外发索赔类型中,选择名字标识.
3.为输出名称ID格式中,选择电子邮件.
将规则保留为默认值传递所有索赔值. - 最后,点击好吧来创建索赔规则,然后好吧再次完成规则的创建。
步骤3—调整信任设置
您仍然需要调整您的依赖方信任的一些设置。要访问这些设置,请选择属性从行动在选中RPT时。
- 在先进的Tab键,确保sha - 256指定为安全哈希算法。
- 在端点选项卡,点击添加SAML添加一个新端点。
- 为端点类型中,选择SAML注销.
- 为绑定,选择帖子.
- 为信任URL,创建一个URL:
1.ADFS服务器的web地址
2.前面提到的ADFS SAML端点
3.字符串'?wa=wsignout1.0'
URL应该看起来像这样:https://sso.yourdomain.tld/ adfs / ls / ? = wsignout1.0。 - 单击确认更改好吧在端点和RPT属性上。现在,您应该为Zendesk创建了一个可工作的RPT。亚博
请注意:您的ADFS实例可能具有适当的安全设置,要求在元数据中填写和发布所有联邦服务属性。请与您的团队联系,看看这是否适用于您的实例。如果是,一定要检查在联邦元数据中发布组织信息盒子。
步骤4 -配置Zendesk亚博
设置ADFS之后,您需要配置Zendesk帐户以使用SAML进行身份验证。亚博按照启用SAML单点登录.您将使用完整的ADFS服务器URL,并使用SAML端点作为SSO URL,使用您创建的登录端点作为注销URL。指纹将是安装在您的ADFS实例中的令牌签名证书的指纹。
在已安装证书的系统上,执行如下PowerShell命令获取指纹:
C: \ >get - adfcertificate [-Thumbprint] []
查找令牌签名类型证书的SHA256指纹。
完成后:
- 在管理中心,点击账户图标(),然后选择安全>单点登录。
页面看起来应该是这样的:
现在,您应该有一个适用于Zendesk的ADFS SSO实现。亚博
切换认证方式
重要的:如果使用第三方SSO方法在Zendesk中创建用户并对其进行身份验证,然后切换到Zendesk身份验证,则这些用户将没有可用于登录的密码。亚博要获得访问权限,请要求这些用户从Zendesk登录页面重置密码。亚博
0评论
请登录留下评论。