您可以拥有多个活动SAML和JSON Web令牌(JWT)单点登录配置,这些配置可以分配给不同的用户集合。每个都有自己的远程登录页面。
下面的Admin Center页面显示了两个主要的SAML配置—一个用于最终用户,一个用于团队成员。
本文涵盖以下主题:
关于将用户重定向到远程登录页面
亚博Zendesk在未经身份验证的用户单击登录链接到帮助中心或直接导航到Zendesk的登录页面。亚博
如果为用户配置了多个身份验证方法,则可以为最终用户和团队成员分配单独的主SSO方法。亚博Zendesk尝试预测未经身份验证的用户是最终用户还是团队成员,并将其路由到适当的远程登录页面。
为了获得最佳的客户体验,您应该将最终用户的主要SSO方法设置为大多数最终用户使用的方法,以确保他们从重定向中获益。使用其他远程登录页面的用户必须自己导航到这些页面。确保为它们提供正确的URL。另一个解决方案是要求您的web团队在重定向登录页面上添加链接,其他用户可以使用这些链接访问他们的登录页面。
示例设置
在管理中心配置的单点登录方式如下:
- JWT-VIP:分配给VIP终端用户
- SAML-EndUsers:分配给所有其他终端用户
- JWT-TeamMembers:分配给所有团队成员
在团队成员身份验证页面上,您只分配了JWT-TeamMembers团队成员的SSO方法。因此,您不需要为团队成员选择要使用的主要SSO方法。所有团队成员将被重定向到此SSO方法的远程登录页面,这是您的公司员工登录页面。
然后你设置SAML-EndUsers作为最终用户身份验证页面上的主要SSO方法,因为大多数最终用户都会使用这种方法。此SSO方法的远程登录页面是您公司的默认客户登录页面。您的VIP终端用户也将被重定向到此页面,即使他们被配置为使用JWT-VIPSSO的方法。因为这些是你最重要的客户,你需要确保他们也能轻松登录。您可以为他们提供他们应该使用的远程登录页面的正确URL,或者让您的web团队添加一个链接,将他们定向到定制的VIP登录页面。
12个评论
我们也遇到了类似的问题,因为这里列出的建议似乎对我们也不起作用。
似乎设置为主要的任何方法都具有优先权,即使您尝试导航到不是主要的登录url,它仍然会将您重定向到当时设置为主要的方法。这真的适用于任何人吗?
嘿@……,
我们有一个案例,我们对客户使用JWT,对代理使用SAML。我们期望的是,当我们注册一个新的终端用户时,用户会得到一个验证链接。当访问这个验证url时,它不需要验证用户,而是要求用户登录到我的SAML配置的SSO页面。(另外,我的SAML是主要的SSO)。
如何避免这种情况,让我的用户正常验证并创建一个新密码来访问zendesk?亚博
嗨,弥尔顿,
我将根据您的评论创建一个票证,以便我们的团队可以更仔细地研究您的问题。
嗨Raghav,
当用户添加到Zendesk帐户时,将自动向用户发送电亚博子邮件通知。因为他们使用非Zendesk密码进行身份验证,所以创建配置文件时不需要密码,因为他亚博们不需要登录到Zendesk。由于您已经设置了外部身份验证,并且用户不使用Zendesk凭据登录,为了避免任何混淆,我们建议:亚博
—在“帐号邮件”区域框中,取消勾选“代理或管理员创建新用户时也发送欢迎邮件”
—在“允许用户修改密码”中,取消勾选该选项。
这个更新已经有半年了,那么在JWT为主的情况下,获取有效的SAMLRequest令牌的URL是什么呢?
嘿,Ymeiner,
如果我正确理解你的问题,URL是你的远程SAML服务器,我们将用户传递给。然后他们登录,您的SAML服务器用令牌响应我们。
如果这不是你所指的URL,请告诉我。
谢谢!
埃里克
嗨,eric,是的,我明白,但如果saml不是主要的登录方法-这转发到iDP将不会被创建。缺少的是一个zendesk链接,允许我们选亚博择登录方法。我不知道MS/AZURE saml可以在地址中没有有效的SAMLRequest的情况下提供带有relaystate的登录。
Yaron
顺便说一句,我所面临的问题基本上描述在这里:https://social.msdn.microsoft.com/Forums/en-US/e6f5d9ee-9ca5-4027-971d-b89735fe2a85/does-azure-support-dynamic-relaystate?forum=WindowsAzureAD
为了正确地执行relaystate,我们需要请求包含来自Zendesk的ID和IssueInstant。亚博这是任何IT人员都无法给我们的。你是SP,你负责创建一个方法的深度链接超过特定的登录方法。
嘿,Yaron,
谢谢你的澄清。当您的代理在登录时单击“我是代理”选项时,应该创建转发。然后,这将把带有所有必要参数的请求传递给SAML提供程序。如果没有发生这种情况,请随时与我们一起打开一个ticket,我很乐意查看您的配置。
Eric,我们已经有一张票了,随时给我发DM(到处都是meiner),我们可以讨论。
你好,
这个问题有什么更新或者解决办法吗?
我们也遇到了同样的问题。JWT是我们用于客户的主要SSO,而SAML用于代理。
谢谢。
我们也有类似的问题。JWT SSO设置为主,AWS SSO配置为SAML SSO的SAML提供者。如果我们的团队负责添加“我是一个代理链接到客户登录页面“我可以在哪里找到说明?”
谢谢
如果JWT单点登录是主要的,那么Zendesk只知道将所有用户重定亚博向到JWT签到URL。当然,这不是Zendesk页面,因此Zendesk的亚博基础设施在此之后无法控制重定向。我们建议您的web开发人员在JWT页面上添加一个超链接,标记为“我是代理”的效果,它将重定向到SAML登录页面。这将允许您的代理访问他们的登录页面,同时在默认情况下仍然将您的用户定向到他们的登录页面。
我们不包括此过程的说明,因为如何创建超链接取决于您的JWT登录页面,而如何获得SAML登录URL取决于您的SAML提供程序。因此,任何指示都是针对您自己的用例的,并且超出了我们的支持能力。
请登录留下评论。