除了Zendesk提供的用户身份验证之外,您还可以使用单点登录(SSO)对Zendesk之外的用户进行亚博身份验证。SSO有三种类型:社会帐户、业务帐户和企业帐户。
本文涵盖以下主题:
SSO的基本事实
下面是关于可用SSO选项的一些基本事实。本文将更详细地解释这些内容。
- 管理员和代理可以用他们的谷歌、微软或Zendesk帐户登录,也可以直接登录他们的Zendesk URL并输入用户名和密码。亚博最终用户可以使用所有社交和商业账户以及他们的Zendesk账户登录。亚博
- 如果您的Zend亚博esk帐户被关闭或限制,而用户试图使用与Zendesk Support中注册的电子邮件不同的电子邮件登录,则他们的请求将被拒绝。
- 您最多可以定义两个活动的JWT和两个活动的SAML身份验证配置。
- 如果为最终用户或团队成员分配了多个SSO配置,则必须为这些用户指定一个作为主要身份验证方法。
- 无论您选择何种身份验证方法,Zendesk都会将所有用户存储在同一个数据库中。亚博
- 如果您使用第三方身份验证提供商进行身份验证,则必须使用身份验证提供商配置Zendesk应用程序。亚博
- 不可能对单个品牌应用不同的SSO选项,除非您使用JWT的自定义脚本.
- 如果在阻塞列表中放置通配符(*),用户将不再能够通过SSO进行身份验证或创建帐户。看到使用allowlist和blocklist来控制访问Zendesk亚博.
社会和商业帐户SSO
社交和商业帐户SSO是您可以为用户提供的方便的附加登录选项。您可以在帮助中心登录页面上提供这些登录,以便用户可以使用他们的Zendesk支持帐户或社交或商业帐户进行身份验证。亚博团队成员只能使用业务帐户进行身份验证,但最终用户可以使用两者进行身份验证。
社会包括脸书和推特。业务账户包括谷歌和微软。
- 谷歌:谷歌登录同时支持Gmail和谷歌两种app。对于谷歌应用程序业务和教育帐户,联邦登录服务默认是禁用的。域管理员可以在控制面板中启用它http://www.google.com/a/cpanel/yourdomain/SetupIdp,在那里yourdomain替换为您的域。业务帐户身份验证支持由用户或谷歌Apps域(谷歌Authenticator)启用的双因素身份验证。
- 微软: Zendesk Support for Mobile app的iPad版本不支持微软登录。亚博
若要向登录页面添加社交和业务帐户SSO,请参见支持社交和商业帐户单点登录.
企业SSO
您可以要求用户使用企业SSO登录,也可以激活多个登录选项(例如,企业SSO而且亚博Zendesk认证),让用户自己决定如何登录。(本文中的“企业”一词并不指Zendesk企业计划。)亚博看到为团队成员和最终用户提供多种登录选项.
关于企业SSO
当您将用户引导到企业SSO时,您将绕过Zendesk并从外部对用户进行身份验证。亚博当用户导航到Zendesk登录页面或单击链接访问Zend亚博esk帐户时,他们可以通过登录到企业服务器或第三方身份提供商(如OneLogin或Okta)进行身份验证。启用企业SSO还会影响Zendesk移动应用程序的iOS和Android版本。亚博
- 用户导航到Zendesk页面或子域。亚博
- 如果尚未进行身份验证,用户将被重定向到您的企业服务器或第三方身份提供者登录页面,具体取决于您选择的企业SSO选项。
- 用户输入他们的登录凭证。
- 如果有效,用户将被重定向回原始Zendesk页面。亚博
您的最终用户和团队成员都可以使用企业SSO登录到Zendesk。亚博您可以仅为最终用户、团队成员或两者的混合配置企业SSO。
使用企业SSO的优点是您可以在防火墙后完全控制用户。您根据自己的用户身份验证系统对用户进行一次身份验证,然后授予他们对防火墙内外许多其他资源的访问权。亚博电脑端您的用户管理在Zendesk之外执行,但您的企业用户身份验证系统仍然与Zendesk同步。亚博当您为新员工添加用户帐户时,他们将立即访问Zendesk,或者如果您删除用户帐户,该员工将不再访问Zendesk。亚博
默认情况下,Zendesk为每个用户存储的数据只有他们的姓名和亚博电子邮件地址,但可以将更多用户数据同步到Zendesk,比如用户的组织。
您可以选择将Zendesk身份验证与您的企业SSO身份验证保持亚博一致。如果您决定禁用Zendesk身份验证,所有Zend亚博esk用户密码将在24小时内被永久删除。
如果您的单点登录服务暂时不可用,您仍然可以访问Zendesk帐户。亚博看到在您的SSO服务关闭时访问Ze亚博ndesk帐户.
企业SSO选项
- JSON Web Token (JWT):凭据和用户信息以JSON格式发送,使用Zendesk共享秘密加密。亚博有关配置JWT SSO的信息,请参见启用JWT单点登录.
- 安全断言标记语言(SAML): SAML被许多身份提供者服务支持,如Okta、OneLogin、Active Directory和LDAP。有关配置SAML单点登录的信息,请参见启用SAML单点登录.
您可以为所有用户使用相同的选项,也可以为不同的用户集合使用不同的选项。如果您有独立的用户集,存在于不同的位置,而您不想合并,那么这是理想的。如果使用多个企业SSO配置,则必须将其中一个配置设置为主认证方式。当登录到Zendesk时,用户将被重定亚博向到您的主要方法登录页面。用户可以通过转到次要方法登录页面,使用其他方法登录。看到使用不同的SAML和JWT SSO(单点登录)配置.
34个评论
如果我部署企业单点登录时,我的一些终端用户已经拥有ZenDesk帐户,当他们使用新的企业单点登录选项登录时,这些帐户是否会被删除或同步亚博?
嗨,德里克,
这主要取决于IdP方面的SSO设置(是否启用供应,如果启用——登录时哪些值被推送到Zendesk等),但一般来说,SSO或任何其他身份验证都不能删除用户。亚博的过程。
SSO可以执行以下一项/全部操作:降级/提升用户(通过在xml有效负载中传递角色属性)和更改他们的名称、组织等等。
最多只能同步用户。至少0人可以直接进入您的帮助中心,而不需要对他们的配置文件/角色等进行任何更改
你好,
我们有一个移动面板,想知道我们是否也可以用手机号码来设置SSO,而不是电子邮件地址。
谢谢!
你好,埃德温。
不幸的是,这是不可能的,因为在SSO集成中不支持它。
很抱歉。
祝你有愉快的一天,注意安全!
你好,
我们刚刚购买了Zendesk,想使用亚博Guide作为我们的知识中心。
我们的产品是作为单个租户构建的,这意味着每个客户(一家企业)在我们的云中都有自己的实例。我们想要将我们的Zendesk指南实例与SSO连接到我们所亚博有的租户(产品文档都是类似的)。当然,每个企业/客户都有自己的SSO。
在上面的文章中找不到该设置的解决方案。有办法做到这一点吗?
很多谢谢!
Ronen
在我们的Zen亚博desk实例中,我们关心的是在启用Enterprise SSO之后,未登录/匿名用户是否仍然会看到不需要登录的文章。
我们的Z亚博endesk实例是“关闭的”,这意味着用户可以匿名或登录后在帮助中心查看文章(取决于权限)。(只有登录用户才能提交门票。)
使用Enterprise SSO,未登录的用户应该仍然能够查看设置为匿名查看的文章。对吧?
嗨Ronen,
看起来您需要使用本文中概述的自定义JWT脚本和Multibranding -多品牌-使用多个JWT单点登录url.
除此之外,你可能还想检查一下为我的帐户选择最佳的身份验证选项有关您应该根据您的帐户使用哪种身份验证的详细信息。
你好布鲁斯,
只要将可见性设置为对所有人可见,最终用户仍然能够查看您的文章,即使没有登录。有关可见性设置的详细信息,请参见设置具有用户段的文章的查看权限
我想知道是否有可能设置SSO,但与不同的重定向链接为不同的环境,如一个url的prod和另一个开发?
嗨Kornelia,
到目前为止,在支持中还没有本地的方法来做到这一点。
你好,
几个月前我问过这个问题,但仍然没有解决方案,我们正在考虑可能切换到另一个工具,因为我们没有解决方案。这又是一个问题:
我们在世界各地有多个客户,他们使用内部SSO对我们的应用程序进行了身份验证。
我们希望有一个Guide实例,因为我们的客户帮助之间的内容没有变化。所以我们不想使用多品牌。
连接到指南的用户应该经过身份验证,无论他们是来自我们的应用程序内部(通过身份验证)还是只是单击链接(或指南页面的书签)。
我们找不到一个解决方案来支持多品牌,这是一个非常忙碌的维护多个帮助中心,而不是一个大师。而且多品牌数量有限。
任何帮助都是感激的。如果您知道任何实现了这种解决方案的客户,它也会很有帮助。
非常感谢,
Ronen
我们不希望我们的客户拥有/管理一个单独的登录,通过Zendesk提交和查看他们的门票。亚博相反,我们希望要求客户登录并验证他们在我们这里的帐户。Zende亚博sk支持这个功能吗?
目前,我们鼓励客户通过转到提交请求https://help.acme.com/hc/en-us/requests/new(我匿名化了链接)。但理想情况下,我们希望客户在提交请求之前,先用他们在我们这里的账户登录Zendesk。亚博这样,我们就知道他们是谁,他们使用的是哪种订阅计划。
谢谢!
这确实是可能的。
本文解释了SAML的工作原理,以及如何设置它,以便在您的系统上对Zendesk进行身份验证。亚博
启用SAML单点登录
请与您的IT人员共享此文档,以便他们能够遵循这些步骤。
谢谢你的问题,
你好,
我不确定Zendesk用于OAuth SSO的授权流程是什么?亚博
它是授权代码或隐式或PKCE?
现在它将下面的错误返回给我。
https://{子域}.zendesk.亚博com/access/jwt ? error_description = response_type + +需要。错误= invalid_request #。
在像今天这样的事件中,微软在登录Zendesk时出现了问题,有一个解决方案。亚博如果在之前启用外部身份验证后关闭外部身份验证,会出现什么行为?一旦问题解决了,它又会重新启动吗?
嗨,乍得,
如果外部身份验证被关闭,那么在登录Zendesk时将使用Zendesk认证,再次打开它将再次亚博将其(SSO)设置为默认值。如果启用了SSO,那么它将始终是使用的主要身份验证。
我们如何启用单点登录亚马逊?我无法评估登录亚马逊的机制是SAML还是JWT?有人来帮忙吗?
开发人员指南:https://developer.amazon.com/docs/login-with-amazon/web-docs.html
如果我们检查他们的支持,以确定他们正在使用哪种SSO类型,那将会更好。无论它是什么,都有一个关于如何设置的可用指南。
启用JWT (JSON Web令牌)单点登录 .
启用SAML单点登录
我们希望仅为自己的员工使用SSO,无论他们是代理还是已登录的最终用户。
所有其他人(合作伙伴、客户)应该通过正常的ZD登录方法登录。
这是ZD支持的吗?
目前还不支持。
如果我们的用户使用社交单点登录,我们是否能够看到哪些用户通过电子邮件浏览了特定的文章?
嗨非常摩尔!
也许值得一试谷歌分析为了你的目标。目前Explore确实有跟踪页面浏览量的功能,但这仅限于用户角色,如最终用户、工作人员或未登录(匿名)用户的访问者。它不能具体显示谁。
这是一个很好的功能!我强烈鼓励你把这贴在我们的反馈-报告和分析(探索)的话题。
我们的产品团队会定期检查这些帖子,那些高参与度的帖子最终会被标记出来,并可能在未来作为功能更新添加!
嗨f . Keijmes
我是Zendesk认证经验的产品经理,我会直接给你发电子邮件,亚博以了解更多关于你的用例。
苏米特普拉萨德
找到你要找的东西了吗?如果amazon支持基于SAML / JWT的IDP登录,您可以签出这2个链接
启用JWT (JSON Web令牌)单点登录.
启用SAML单点登录
我们想使用谷歌作为我们的IdP,为我们的代理提供SSO。
我有一个问题,Zendesk不会接受谷歌提供的SSO亚博-URL (https://accounts.google.com/o/saml2/idp?idpid=xxxxxxxx).需要使用哪些SAML SSO-adres ?
Barkha Bhatia-我们正在设计我们的社区,并希望提供与Jira的链接,啊哈!以及其他几个需要身份验证的应用程序。Zend亚博esk是否能够做到这一点,或者我们是否需要第三方应用程序?我读过的大多数文章都是关于从另一个应用程序登录Zenesk,而不是关于Zendesk的另一个应用程序。亚博
谢谢
JD
嗨
我们正在使用Azure AD,无法获得自定义角色映射,这意味着我们的所有用户最终都是最终用户,需要手动更新。MS为此写了一个指南(https://learn.microsoft.com/en-us/azure/active-directory/saas-apps/亚博zendesk-provisioning-tutorial),但它没有确切地说明如何映射自定义角色。有人这样做过吗?
谢谢
启用企业单点登录对API请求的身份验证有什么影响?JWT令牌是否可以代替现有API认证方法?
例如:
嗨保罗,
要将Azure用户创建为代理或管理员,您需要传递“角色”属性,如果您希望他们是您在帐户中创建的任何自定义角色,则需要传递custom_role_id。
本文中有一些关于可以发送的属性和命名约定的详细信息:
启用SAML单点登录
嗨卡尔·麦克道尔
抱歉我没有早点回复,我错过了你的回复!
只是更新一下,我们已经整理好了——这是我们Azure AD配置的一个问题,也是我们端的一个误解。现在都在工作。
多谢。
你好,
我正在使用SSO允许用户在Zendesk中登录他们的帐户,有时身份验证失败,用户被注销,URI: ?kind=erro亚博r&message= " Invalid user. "电子邮件:blabla@bla.com已经用过了”。
我有这个问题已经有一段时间了,但我仍然不明白到底是什么引发了它。目前我所拥有的最合理的理论是,当用户在我的应用程序中更改了他们的电子邮件,而这些更改并没有反映到他们的zendesk帐户中,因为他们仍然使用旧的电子邮件时,就会发生这种情况。亚博但我发现,在两个账户中使用相同电子邮件的用户也会出现这种情况。
你能给我更多关于这个错误是什么时候产生的上下文吗?你对我的问题的根源或可能的解决方案有什么想法吗?
谢谢你!
请登录留下评论。