亚博Zendesk通过SAML 2.0支持单点登录(SSO)。SAML 2.0标识提供程序(IDP)可以采用多种形式,其中之一是自托管的活动目录联合服务(ADFS)服务器。ADFS是微软作为Windows Server的标准角色提供的一种服务,它使用现有的活动目录凭据提供web登录。
需求
要使用ADFS登录到Zendesk实例,您需要以下组件:亚博
- 所有用户都具有电子邮件地址属性的Active Directory实例。
- 一个亚博Zendesk实例。
- 运行Microsoft server 2012或2008的服务器。本指南使用Server 2012R2的截图,但在其他版本上应该也可以使用类似的步骤。
- 用于签署ADFS登录页面的SSL证书和该证书的指纹。
- 如果您在Zendesk实例中使用主机映射,则需要为托管SSL安装证书。亚博
在满足这些基本要求之后,您需要在服务器上安装ADFS。配置和安装ADFS超出了本指南的范围,但将在附录中详细介绍Microsoft KB文章.
当您已完全安装ADFS时,请在ADFS端点部分中记下'SAML 2.0/W-Federation' URL的值。如果您选择默认安装,则该文件将是'/adfs/ls/'。
步骤1 -添加依赖方信任
在这一点上,你应该准备好与Zendesk帐户建立ADFS连接。亚博ADFS和Zendesk之间的连接是使用依赖方信任(RPT)定义亚博的。
选择依赖方信托文件夹的AD FS管理,并添加一个新的标准依赖方信托从行动侧边栏。这将启动新信任的配置向导。
- 在选择数据源屏幕,选择最后一个选项,手动输入参与方数据.
- 在下一个屏幕上,输入a显示名称你将来会认识到的,还有你想做的笔记。
- 在下一个屏幕上,选择ADFS FS配置文件单选按钮。
- 在下一个屏幕上,保持证书设置为默认值。
- 在下一个屏幕上,选中标记的方框启用SAML 2.0 WebSSO协议支持.服务URL将是https://子域名.亚博zendesk.com/access/saml,取代子域名你的Zendesk子亚博域。注意,URL末尾没有斜杠。
- 在下一个屏幕上,添加一个依赖方信任标识符的子域名.亚博zendesk.com,取代子域名你的Zendesk子亚博域。
注意:如果你进入子域名.亚博zendesk.com,并收到请求失败错误,您可能需要输入您的子域https://子域名.亚博zendesk.com。 - 在下一个屏幕上,您可以配置多因素身份验证,但这超出了本指南的范围。
- 在下一个屏幕上,选择允许所有用户访问此依赖方单选按钮。
- 在接下来的两个屏幕上,向导将显示您的设置的概述。在最后一个屏幕上使用关闭按钮退出并打开索赔规则编辑器。
步骤2 -创建索赔规则
一旦创建了依赖方信任,您就可以创建声明规则,并使用向导未设置的小更改更新RPT。默认情况下,一旦创建信任,声明规则编辑器就会打开。如果您想映射身份验证之外的其他值,请参考我们的文档.
- 要创建新规则,单击添加规则.创建一个将LDAP属性作为声明发送规则。
- 在下一个屏幕上,使用活动目录作为您的属性存储,请执行以下操作:
1.从LDAP属性列,选择电子邮件地址.
2.从传出索赔类型中,选择电子邮件地址. - 点击好吧拯救新规则。
- 单击,创建另一个新规则添加规则,这次选择转换传入索赔作为模板。
- 在下一个屏幕上:
1.选择电子邮件地址随着传入索赔类型.
2.为传出索赔类型中,选择名字标识.
3.为输出名称ID格式中,选择电子邮件.
保留该规则的默认值传递所有索赔值. - 最后,点击好吧创建索赔规则,然后好吧再次完成规则的创建。
步骤3—调整信任设置
您仍然需要调整依赖方信任的一些设置。若要访问这些设置,请选择属性从行动边栏,而您有选定的RPT。
- 在先进的Tab,确保sha - 256指定为安全哈希算法。
- 在端点Tab,点击添加SAML添加一个新的端点。
- 为端点类型中,选择SAML注销.
- 为绑定,选择帖子.
- 为信任URL,使用以下方法创建URL:
1.ADFS服务器的web地址
2.前面提到的ADFS SAML端点
3.字符串'?wa=wsignout1.0'
URL应该看起来像这样:https://sso.yourdomain.tld/ adfs / ls / ? = wsignout1.0。 - 通过单击确认您的更改好吧端点和RPT属性。现在您应该有了Zendesk的工作RPT。亚博
请注意:您的ADFS实例可能已经设置了安全设置,要求在元数据中填写并发布所有联邦服务属性。与您的团队一起检查这是否适用于您的实例。如果是,一定要检查在联合元数据中发布组织信息盒子。
步骤4 -配置Zendesk亚博
在设置ADFS之后,您需要配置Zendesk帐户以使用SAML进行身份验证。亚博按照下面的步骤操作启用SAML单点登录.您将使用完整的ADFS服务器URL,其中SAML端点作为SSO URL,您创建的登录端点作为注销URL。指纹将是安装在ADFS实例中的令牌签名证书的指纹。
在已安装证书的系统中,执行如下PowerShell命令获取指纹:
C: \ >Get-AdfsCertificate [-Thumbprint] []
寻找令牌签名类型证书的SHA256指纹。
完成后:
- 在管理中心,按账户图标(),然后选择安全>单点登录。
页面应该是这样的:
现在您应该已经有了Zendesk的ADFS SSO实现。亚博
切换身份验证方法
重要的:如果在Zendesk中使用第三方单点登录方式创建用户并进行认证,然后切换到Zendesk认证,则这些用户将没有密码可登录。亚博要获得访问权限,请这些用户从Zendesk登录页面重置他们的密码。亚博
0评论
请登录留下评论。