除了Zendesk提供的用户身份验证之外,您还可以使用单点登录(SSO)在Zendesk之外对用户进行亚博身份验证。SSO有三种类型:社会帐户、企业帐户和企业帐户。
本文涵盖以下主题:
SSO的基本事实
下面是关于可用SSO选项的一些基本事实。本文将对此进行更详细的解释。
- 管理员和代理可以用他们的Google、Microsoft或Zendesk帐户登录,也可以直接登录他们的Zendesk URL并输入他们的用户亚博名和密码。最终用户可以使用所有社交和商业帐户以及他们的Zendesk帐户登录。亚博
- 如果您的Zend亚博esk帐户被关闭或限制,并且用户试图使用不同的电子邮件登录,而不是在Zendesk支持中注册的电子邮件,则他们的请求将被拒绝。
- 您最多可以定义两个活动JWT和两个活动SAML身份验证配置。
- 如果为最终用户或团队成员分配了多个SSO配置,则必须指定一个作为这些用户的主要身份验证方法。
- 无论选择哪种身份验证方法,Zendesk都将所有用户存储在同一个数据库中。亚博
- 如果你使用第三方身份提供者进行身份验证,你必须用身份提供者配置Zendesk应用。亚博
- 不可能对单个品牌应用不同的SSO选项,除非使用JWT的自定义脚本.
- 如果在阻止列表中放置通配符(*),则用户将无法再使用SSO进行身份验证或创建帐户。看到使用允许列表和阻止列表来控制对Zendesk的访问亚博.
社交和业务帐户SSO
社会帐户和企业帐户SSO是您可以为用户提供方便的附加登录选项。您可以在帮助中心登录页面上提供这些登录,这样用户就可以使用他们的Zendesk Support帐户或社交或商业帐户进行身份验证。亚博团队成员只能使用企业帐户进行身份验证,但最终用户可以同时使用这两种帐户进行身份验证。
社会账户包括Facebook和Twitter。业务客户包括谷歌和微软。
- 谷歌:谷歌登录支持Gmail和谷歌应用程序。默认情况下,Google Apps的商业和教育账户禁用了联邦登录服务。域管理员可以在控制面板上启用它http://www.google.com/a/cpanel/yourdomain/SetupIdp,在那里yourdomain被您的域名所取代。企业帐户身份验证支持由用户或Google Apps域启用的双因素身份验证(Google Authenticator)。
- 微软: iPad版本的Zendesk Support for Mobile应用程序不支持Microsoft登录。亚博
若要将社交和企业帐户SSO添加到登录页面,请参见支持社交和业务帐户单点登录.
企业SSO
您可以要求用户使用企业单点登录,也可以激活多个登录选项(例如,企业单点登录)和亚博Zendesk认证),并让用户决定他们想要如何登录。(这里的“企业”一词并不是指Zendesk企业计划。)亚博看到为团队成员和最终用户提供多个登录选项.
关于企业SSO
当您将用户引导到企业SSO时,您绕过了Zendesk并从外部对您的用户进行了身份验证。亚博当用户浏览到Zendesk登录页面或点击链接访问Zend亚博esk帐户时,他们可以通过登录企业服务器或第三方身份提供商(如OneLogin或Okta)进行身份验证。启用企业单点登录还会影响Zendesk移动应用的iOS和Android版本。亚博
- 用户导航到Zendesk页面或子域。亚博
- 如果尚未通过身份验证,则根据您选择的企业SSO选项,将用户重定向到您的企业服务器或第三方身份提供程序登录页面。
- 用户输入他们的登录凭证。
- 如果有效,用户将被重定向回原来的Zendesk页面。亚博
您的最终用户和团队成员都可以使用企业SSO登录到Zendesk。亚博您可以仅为最终用户、团队成员或两者的混合配置企业SSO。
使用企业SSO的优点是,您可以完全控制防火墙后面的用户。您根据自己的用户身份验证系统对用户进行一次身份验证,然后授予他们访问防火墙内外的许多其他资源的权限。亚博电脑端您的用户管理在Zendesk之外执行,但您的企业用户认证系统仍然与Zendesk同步。亚博当您为新员工添加用户帐户时,他们将立即访问Zendesk,或者如果您删除用户帐户,该员工将不再具有访问Zendesk的权限。亚博
默认情况下,Zendesk为每个用户存储的唯一数据是他们的姓名亚博和电子邮件地址,但是可以将更多的用户数据同步到Zendesk,比如用户的组织。
您可以选择在企业SSO身份验证中保留Zendesk身份验证。亚博如果您决定禁用Zendesk身份验证,所有Zend亚博esk用户密码将在24小时内永久删除。
如果您的SSO服务暂时不可用,您仍然可以访问Zendesk帐户。亚博看到当您的SSO服务关闭时访问您的亚博Zendesk帐户.
企业SSO选项
- JSON Web令牌(JWT):凭据和用户信息以JSON格式发送,使用Zendesk共享密钥加密。亚博有关配置JWT单点登录的信息,请参见启用JWT单点登录.
- 安全断言标记语言(SAML):许多身份提供程序服务都支持SAML,例如Okta、OneLogin、Active Directory和LDAP。有关配置SAML SSO的信息,请参见启用SAML单点登录.
您可以对所有用户使用相同的选项,也可以对不同的用户集合使用不同的选项。如果您有独立的用户集,并且存在于您不想合并的不同位置,那么这是理想的。如果使用多个企业单点登录配置,必须将其中一个配置设置为主认证方式。当登录到Zendesk时,用户将被重定亚博向到您的主要方法登录页面。用户可以通过转到辅助方法登录页面,使用其他方法登录。看到使用不同的SAML和JWT SSO(单点登录)配置.
34个评论
如果我在一些终端用户已经拥有ZenDesk帐户后部署企业单点登录,那么当他们使用新的企业单点登录选项登录时,这些帐户会被删除或同步吗?亚博
嗨,德里克,
这主要取决于IdP方面的SSO设置(配置是否启用,如果启用,哪些值在登录时被推送到Zendesk等),但一般来说,没有用户可以通过SSO或任何其他认证被删除。亚博的过程。
SSO可以执行以下一项/所有操作:降级/提升用户(通过在xml有效负载中传递角色属性)并更改其名称、组织等。
用户最多将被同步。至少0只允许按原样进入您的帮助中心,而无需更改其个人资料/角色等
你好,
我们有一个手机面板,想知道我们是否也可以用手机号码而不是电子邮件地址来设置SSO。
谢谢!
你好,埃德温。
不幸的是,这是不可能的,因为SSO集成不支持它。
很抱歉。
祝你度过愉快的一天,并注意安全!
你好,
我们刚刚购买了Zendesk,想使用亚博Guide作为我们的知识中心。
我们的产品是作为单个租户构建的,这意味着每个客户(一个企业)将在我们的云中拥有自己的实例。我们希望通过SSO将Zendesk Guide实例连接到所亚博有租户(所有租户的产品文档都是类似的)。当然,每个企业/客户都有自己的SSO。
在上面的文章中找不到解决方案。有办法做到这一点吗?
很多谢谢!
Ronen
在Zendes亚博k实例中,我们关心的是在启用企业单点登录后,未登录/匿名用户是否仍然可以看到不需要登录的文章。
我们的Z亚博endesk实例是“封闭的”,这意味着用户可以在帮助中心匿名或登录后查看文章(取决于权限)。(只有登录用户才能提交门票。)
使用Enterprise SSO,未登录的用户应该仍然能够查看设置为匿名查看的文章。对吧?
嗨Ronen,
看起来您需要使用本文中概述的自定义JWT脚本和Multibranding多品牌-使用多个JWT单点登录url.
除此之外,你可能还想检查一下为我的帐户选择最佳身份验证选项有关应根据您的帐户使用哪种身份验证的详细信息。
你好布鲁斯,
最终用户应该仍然能够看到你的文章,只要可见性设置为每个人,即使没有登录。有关可见性设置的详细信息,请参见设置具有用户段的文章的查看权限
我想知道是否有可能设置SSO,但不同的重定向链接不同的环境,如一个url为prod和另一个为dev?
嗨Kornelia,
到目前为止,在Support中还没有原生的方法来做到这一点。
你好,
几个月前我问过这个问题,但仍然没有解决方案,我们正在考虑可能会切换到另一个工具,因为我们没有解决方案。这个问题又来了:
我们在世界各地有多个客户,使用他们的内部SSO对我们的应用程序进行身份验证。
我们希望有一个指南实例,因为我们的客户帮助之间的内容没有变化。所以我们不想使用多品牌。
连接到Guide的用户应该经过身份验证,无论他们是来自我们的应用程序内部(通过身份验证)还是只是点击链接(或Guide页面的书签)。
我们找不到一个解决方案,除了多品牌,这是很多忙维护多个帮助中心,而不是一个主。此外,多品牌的数量有限。
任何帮助都是感激的。如果您知道有任何客户实施了这样的解决方案,它也会有所帮助。
非常感谢,
Ronen
我们不希望我们的客户有/管理一个单独的登录,通过Zendesk提交和查看他们的门票。亚博相反,我们希望要求客户登录并与我们一起验证他们的帐户。Zende亚博sk支持这个吗?
目前,我们鼓励客户通过转到提交请求https://help.acme.com/hc/en-us/requests/new(我把链接匿名化了)。但理想情况下,我们希望客户在提交他们的请求之前使用他们在我们这里的帐户登录到Zendesk亚博。这样,我们就知道他们是谁,他们的订阅计划是什么。
谢谢!
这确实是可能的。
本文解释了SAML的工作原理,以及如何对其进行设置,以便在您的系统上对Zendesk进行身份验证。亚博
启用SAML单点登录
请与您的IT人员共享此文档,以便他们能够遵循这些步骤。
谢谢你的问题,
你好,
我不确定Zendesk用于OAuth SSO的授权流程是什么?亚博
是授权码、隐式还是PKCE?
现在它把下面的错误扔给我。
https://{子域}.zendesk.亚博com/access/jwt ? error_description = response_type + +需要。错误= invalid_request #。
在像今天这样的事件中,微软在登录Zendesk时出现了问题,有一个解决方案。亚博如果在之前启用了外部身份验证后关闭了外部身份验证,会出现什么行为?问题解决后再打开吗?
嗨,乍得,
如果外部认证被关闭,那么Zendesk认证将在登录Zendesk时使用,并且再次打开它将再次亚博将其(SSO)设置为默认值。如果启用了SSO,则它将始终是使用的主要身份验证。
如何使用Amazon为Login启用SSO ?我无法评估登录亚马逊的机制是SAML还是JWT?有人能帮忙吗?
开发人员指南:https://developer.amazon.com/docs/login-with-amazon/web-docs.html
如果我们向他们的支持部门查询,以确定他们使用的是哪种SSO类型,那就更好了。无论它是什么,都有一个关于如何设置它的可用指南。
启用JWT (JSON Web令牌)单点登录 .
启用SAML单点登录
我们希望仅对我们自己的员工使用SSO,而不管他们是代理还是已登录的最终用户。
其他所有人(合作伙伴、客户)应通过正常的ZD登录方法登录。
这是ZD支持的吗?
暂不支持。
如果我们的一个用户使用社交单点登录,我们是否能够看到哪些用户通过电子邮件查看了特定的文章?
嗨非常摩尔!
它可能值得研究使用谷歌分析为了你的目标。目前Explore确实有跟踪页面浏览量的功能,但这仅限于用户角色,如终端用户、工作人员或未登录(匿名)用户的访问者。它将无法显示具体是谁。
这是一个很好的功能!我强烈建议你把这个贴在我们的反馈-报告和分析(探索)的话题。
我们的产品团队会定期审查这些帖子,那些参与度高的帖子最终会被标记出来,并可能在未来作为功能更新添加进去!
嗨f . Keijmes
我是负责Zendesk认证体验的产品经理,我会直接给您发送电子亚博邮件以了解更多关于您的用例。
苏米特普拉萨德
你找到要找的东西了吗?如果amazon支持基于SAML / JWT的IDP登录,您可以查看这两个链接
启用JWT (JSON Web令牌)单点登录.
启用SAML单点登录
我们希望使用Google作为我们的IdP,并为我们的代理使用SSO。
我有一个问题,Zendesk不接受谷歌提供的SSO-亚博URL (https://accounts.google.com/o/saml2/idp?idpid=xxxxxxxx)。需要使用哪些SAML sso地址?
Barkha Bhatia我们正在设计我们的社区,并希望提供链接到Jira,啊哈!以及其他几个需要身份验证的应用程序。Zend亚博esk可以容纳这个吗?还是我们需要一个第三方应用程序?我读过的大多数文章都是关于从另一个应用程序登录Zenesk,而不是从Zendesk登录另一个应用程序。亚博
谢谢
JD
嗨
我们正在使用Azure AD,无法获得自定义角色映射,这意味着我们所有的用户最终都会成为最终用户,需要手动更新。MS为此写了一个指南(https://learn.microsoft.com/en-us/azure/active-directory/saas-apps/亚博zendesk-provisioning-tutorial),但它没有说明如何映射自定义角色。还有其他人这样做过吗?
谢谢
启用企业单点登录对API请求的身份验证有什么影响?JWT令牌可以代替传递吗现有API身份验证方法?
例如:
嗨保罗,
要将Azure用户创建为代理或管理员,您需要传递“role”属性,如果您希望它们是您在帐户中创建的任何自定义角色,则需要传递custom_role_id。
在这篇文章中有一些关于可以发送的属性和命名约定的细节:
启用SAML单点登录
嗨卡尔·麦克道尔
抱歉我没有及时回复,错过了你的回复!
只是更新一下,我们得到了这个排序-这是一个问题与我们的Azure AD配置和一个误解。现在都在工作。
多谢。
你好,
我使用SSO允许用户在Zendesk中登录到他们的帐户,有时身份验证失败,并且用户注销时在URI中显示以下消息:?ki亚博nd=error&message= " Invalid user "。电子邮件:blabla@bla.com是已经使用过的。
我有这个问题有一段时间了,但我仍然不明白到底是什么触发了它。目前我认为最合理的理论是,当用户在我的应用程序中更改了他们的电子邮件时,这些更改没有反映到他们的zendesk帐户中,该帐户仍然有旧的电子邮件。亚博但我发现,在两个账户中使用相同邮箱的用户也会出现这种情况。
你能告诉我这个错误是什么时候出现的吗?你知道我的问题的根源是什么吗?或者有什么可能的解决办法吗?
谢谢你!
请登录留下评论。