您最多可以拥有两个活动的SAML和两个活动的JSON Web Token (JWT) SSO配置,它们可以分配给不同的用户集合。每个都有自己的远程登录页面。
下面的Admin Center页面显示了两个主要的SAML配置——一个用于最终用户,一个用于团队成员。
本文涵盖以下主题:
关于将用户重定向到远程登录页面
亚博时,Zendesk会重定向未经身份验证的用户登录链接到帮助中心,或直接导航到Zendesk的登录页面。亚博
如果为用户配置了多个身份验证方法,则可以为最终用户和团队成员分配单独的主SSO方法。亚博Zendesk尝试预测未经身份验证的用户是最终用户还是团队成员,并将其路由到适当的远程登录页面。
为了获得最佳的客户体验,您应该将最终用户的主要SSO方法设置为大多数最终用户使用的方法,以确保他们获得重定向的好处。使用其他远程登录页面的用户必须自行导航到这些页面。确保为他们提供正确的URL。另一个解决方案是要求您的web团队在重定向登录页面上添加链接,其他用户可以使用这些链接访问他们的登录页面。
示例设置
在管理中心,配置如下单点登录方法:
- JWT-VIP:分配给VIP终端用户
- SAML-EndUsers:分配给所有其他终端用户
- JWT-TeamMembers:分配给所有团队成员
在团队成员身份验证页面上,您只分配了JWT-TeamMembers给团队成员的SSO方法。因此,您不需要为团队成员选择要使用的主要SSO方法。所有团队成员都将被重定向到此SSO方法的远程登录页面,即您的企业员工登录页面。
然后设置SAML-EndUsers作为最终用户身份验证页面上的主要SSO方法,因为这是大多数最终用户将使用的方法。此SSO方法的远程登录页面是公司的默认客户登录页面。您的VIP终端用户也将被重定向到此页,即使他们已配置为使用JWT-VIPSSO的方法。因为这些是你最重要的客户,你需要确保他们也能轻松登录。您可以为他们提供他们应该使用的远程登录页面的正确URL,或者让您的网络团队添加一个指向定制的VIP登录页面。
12个评论
我们也遇到了类似的问题,因为这里列出的建议似乎也不适合我们。
似乎无论什么方法被设置为主方法都会先行,即使您尝试导航到不是主方法的登录url,它仍然会将您重定向到当时恰好设置为主方法的登录url。这对任何人都有效吗?
嘿@……,
我们有一个案例,我们使用JWT作为客户,使用SAML作为代理。我们期待的是,当我们注册一个新的终端用户时,用户会得到一个验证链接。当访问这个验证url时,它不会让用户进行验证,而是要求用户登录到我的SAML配置的SSO页面。(而且,我的SAML是主SSO)。
我如何避免这种情况,让我的用户验证正常,并创建一个新密码访问zendesk?亚博
嗨,弥尔顿,
我将根据您的评论创建一个票证,以便我们的团队可以更仔细地研究您的问题。
嗨Raghav,
当用户被添加到Zendesk帐户时,会自动向用户发送亚博电子邮件通知。因为他们使用非Zendesk密码进行身份验证,所以创建配置文件时不需要密码,因为他亚博们不需要登录到Zendesk。由于您已经设置了外部身份验证,并且用户不使用Zendesk凭据来登录,为了避免任何混乱,我们建议:亚博
—在“帐户电子邮件”区域,取消勾选“当代理或管理员创建新用户时也发送欢迎电子邮件”
—在“允许用户修改密码”中取消勾选此项。
自从这个更新以来已经有半年了,那么当JWT是主要的时候,获得有效saml SAMLRequest令牌的URL是什么?
嘿,Ymeiner,
如果我正确理解您的问题,URL是您的远程SAML服务器,我们将用户传递给它。然后他们登录,你的SAML服务器用令牌回复我们。
如果这不是URL,你指的是让我知道。
谢谢!
埃里克
嗨,埃里克,是的,我明白,但如果saml不是主要的登录方法-这转发到iDP将不会被创建。缺少的是zendesk链接,允许我们选择登亚博录方法。我不知道MS/AZURE saml可以在地址中没有有效的SAMLRequest的情况下提供relaystate登录的任何方式。
Yaron
顺便说一下,我所面临的问题大致描述如下:https://social.msdn.microsoft.com/Forums/en-US/e6f5d9ee-9ca5-4027-971d-b89735fe2a85/does-azure-support-dynamic-relaystate?forum=WindowsAzureAD
为了正确地做relaystate,我们需要请求包括来自Zendesk的ID和IssueInstant。亚博这是任何IT人员都无法提供给我们的。你是SP,你负责在特定的登录方法上创建一个深度链接的方法。
嘿,Yaron,
谢谢你的澄清。当您的代理在登录时单击“我是代理”选项时,应该创建转发。然后,这将把请求传递给带有所有必要参数的SAML提供程序。如果这种情况没有发生,请随意与我们一起开一张票,我很乐意检查您的配置。
埃里克,我们已经有一张票了,随时给我发消息(到处都是),我们可以讨论。
你好,
关于这个问题有什么更新或解决方案吗?
我们也遇到了同样的问题。JWT是我们面向客户的主要SSO, SAML是面向代理商的SSO。
谢谢。
我们也有类似的问题。JWT SSO设置为主,AWS SSO配置为SAML SSO的SAML提供者。如果我们的团队负责添加“我是林克探员到客户登录页面“我可以在哪里找到说明?”
谢谢
如果您主要使用JWT单点登录,那么Zendesk只知道将所有用户重亚博定向到JWT登录URL。当然,这不是一个Zendesk页面,所以Zendes亚博k的基础设施没有控制在这一点上的重定向。我们的建议是,您的web开发人员添加一个超链接,标记为“我是代理”的效果,到JWT页面,它重定向到SAML登录页面。这将允许您的代理访问他们的登录页面,同时仍然在默认情况下将您的用户引导到他们的登录页面。
我们不包括这个过程的说明,因为如何创建超链接取决于您的JWT登录页面,而如何获得SAML登录URL取决于您的SAML提供程序。因此,任何指令都是针对您自己的用例的,超出了我们的支持能力。
请登录留下评论。