安全断言置标语言 (SAML) 是一种用于在应用程序之间,特别是身份提供者(IdP)如OneLogin、Okta、PingIdentity和服务提供者(如Zoho Desk),来交换认证和授权数据的机制。您可以为终端用户配置基于SAML的单点登录(SSO),以便他们可以访问您的帮助中心,而不会被提示输入单独的登录凭证。
注意:
- SAML单点登录不可用于免费版。
- 只有管理员角色的用户能够管理SAML设置。
- SAML认证只会应用于终端用户账户,而非您客服人员的账户。
- 您可以设置远程认证或者SAML单点登录,但不可二者同时。
- 在启用了SAML的帮助中心,终端用户无法自行注册或者更改他们的账户密码。
SAML如何工作
SAML单点登录认证涉及服务提供商,在本例中为Zoho Desk和身份提供商。启用SAML后,终端用户管理和认证将通过您公司的身份提供商(IDP)进行处理。请求访问Zoho Desk帮助中心的终端用户将被重定向到您的身份提供商进行身份验证。身份提供者对终端用户进行身份验证,然后生成身份验证断言,该断言表示用户已经过身份验证。收到断言后,终端户将重定向回您的帮助中心,然后无缝登录。作为您的可信身份提供商进行的单点身份验证,SAML可确保您的终端用户凭据在公司的防火墙边界内是安全的。
设置SAML SSO
第三方身份提供商会提供SAML的配置详细信息。请注意,您必须使用管理员身份登录之后才能在Zoho Desk中设置SAML单点登录。
- 点击顶部栏内的设置图标 (
) 。
- 点击渠道 菜单下的帮助中心。
- 选择要在其中使用SAML对用户进行身份验证的帮助中心。
- 点击帮助中心 子菜单下的用户身份认证。
- 在帮助中心SAML 页面,提供以下详细信息:
- 远程登录URL : 输入您IDP的远程登录URL,进而,当您的终端用户登录到帮助中心时,Zoho Desk会将他们重定向到那里。
- 远程退出URL : 输入您IDP的远程退出URL,进而,当您的终端用户尝试退出帮助中心时,Zoho Desk会将他们重定向。
- 重置密码URL : 输入您IDP的重置密码URL,进而,当您的终端用户尝试更改帮助中心密码时,Zoho Desk会将他们重定向到那里。
- 公开密钥 : 以文本格式上传公开的X.509证书。我们将使用证书中包含的公开密钥来验证您的身份提供商是否已提交所有收到的SAML身份验证请求。
- 算法 : 在RSA和DSA之间选择一种算法,您的IDP将会使用其生成公开密钥和证书。
- 点击保存。
在点击保存之前,您会看见新字段(如帮助中心SAML请求URL等) 和列出的值。将那些值复制到您的身份提供商,以确保您的IDP能够与启用SAML的Zoho Desk进行通信。
禁用SAML SSO
通过禁用SAML配置,您可以返回使用Zoho Desk的内置身份验证,或切换到其他身份提供程序(IdP)。禁用SAML后,终端用户将需要Zoho Desk帐户密码才能登录帮助中心。在禁用SAML单点登录时,请记住以下含义:
- 在启用SAML单点登录之前,拥有您帮助中心账户密码的终端用户能够登录。
- 在启用SAML单点登录之后,已注册您帮助中心的终端用户在下次登录时需要重置密码。
禁用SAML单点登录:
- 点击顶部栏内的设置图标 (
) 。
- 点击渠道 菜单下的帮助中心。
- 选择要在其中禁用SAML单点登录的帮助中心。
- 点击帮助中心 子菜单下的用户身份认证。
- 在帮助中心SAML 页面,点击屏幕右上角的禁用。
- 点击继续以确认您的操作。
配置身份提供程序
查找此处列出的特定于提供程序的说明,或使用您使用的身份提供程序查找说明。
此部分介绍如何配置Zoho Vault以为您的Zoho Desk帮助中心提供单点登录(SSO)。
- 登录您的Zoho Vault账户。
- 转至应用程序 >> 管理应用程序。
- 点击添加自定义应用程序
- 在应用程序设置标签 ,提供以下详情 :
- 应用程序名称 : 提供应用程序的名称。例如,Zoho Desk。
- 声明客户服务URL - 粘贴您从Zoho Desk内帮助中心SAML屏幕所复制的SAML响应URL的值。
- 受众URI (SP Entity ID) - 输入您Zoho Desk帮助中心实例URL ( https://support.mycompany.com/ 模式)。
- 点击下一步。
- 现在您需要提供Zoho Vault (IdP)的详细信息给 Zoho Desk (SP)。
- 复制身份提供程序单点登录URL并粘贴到Zoho Desk帮助中心SAML页面内的远程登录URL字段。
- 复制身份提供程序单点退出URL并粘贴到Zoho Desk帮助中心SAML页面内的远程退出URL字段。
- 复制身份提供程序发行机构并粘贴到Zoho Desk帮助中心SAML页面内的重置密码URL字段。
- 复制身份提供程序证书并保存至.txt文件。接着,将该文件上传至Zoho Desk帮助中心SAML页面内的公开密钥字段。
- 点击下一步。
- 在管理应用程序访问标签,选择您想要给予其访问权限的用户列表,以授予其访问启用了SAML的帮助中心的权限。
- 点击保存。
此部分介绍如何配置Okta以为您的Zoho Desk帮助中心提供单点登录(SSO)。
- 以管理员身份登录您的Okta账号。
- 点击应用程序页签。
- 点击添加应用程序,接着点击创建新的应用程序。
- 在弹出窗口上,选择SAML 2.0选项,接着点击创建。
- 在常规设置页面,提供应用程序的名称。例如,Zoho Desk。
- 点击下一步以继续。
- 在配置SAML页面,做如下操作 :
- 单点登录URL - 粘贴您从Zoho Desk内帮助中心SAML屏幕所复制的SAML响应URL的值。
- 受众URI (SP Entity ID) - 将SAML响应URL的值也粘贴到此处。
- 默认中继状态 - 粘贴您从Zoho Desk内帮助中心SAML屏幕所复制的默认中继状态的值。
- 名称ID格式 - 指定为邮箱地址 。
- 点击下一步以继续。
- 在反馈页面,选择我是添加内部应用程序的Okta客户,并勾选这是我们已经创建的内部应用程序选项。
点击完成。
您新创建的应用程序的登录部分会出现。
点击登录 页签上的查看设置说明。它会打开一个新的IdP设置窗口。
在IdP设置窗口,做如下操作 :
复制身份提供程序单点登录URL并粘贴到Zoho Desk帮助中心SAML页面内的远程登录URL字段。
复制身份提供程序单点退出URL并粘贴到Zoho Desk帮助中心SAML页面内的远程退出URL字段。
复制身份提供程序发行机构并粘贴到Zoho Desk帮助中心SAML页面内的重置密码URL字段。
复制X.509证书并保存至.txt文件。接着,将该文件上传至Zoho Desk帮助中心SAML页面内的公开密钥字段。
点击保存。
现在您必须选择用户,以授予其访问启用了SAML的帮助中心的权限。要想实现:
点击完成以退出分配向导。
返回Zoho Desk,勾选帮助中心SAML页面上的启用注册选项,以允许新用户首次登录,然后点击保存。
此部分介绍如何配置OneLogin以为您的Zoho Desk帮助中心提供单点登录(SSO)。
- 登录您的OneLogin账户。
- 在OneLogin管理员仪表板内,访问应用程序 >> 添加应用程序。
- 搜索' SAML测试连接器 ',然后选择搜索结果中的首个结果。
它应该是SAML测试连接器 (IdP) 。 - 当配置 标签出现,请提供应用程序的名称。例如,Zoho Desk.
- 点击保存。
现在,其它的标签会出现,您会落在信息标签。 - 点击配置标签,然后输入以下详细信息:
- 中继状态 - 粘贴您从Zoho Desk内帮助中心SAML屏幕所复制的默认中继状态的值。
- 收件人 - 粘贴您从Zoho Desk内帮助中心SAML屏幕所复制的SAML响应URL的值。
- ACS (客户) URL验证器 - 将SAML响应URL的值也粘贴到此处。
- ACS (客户) URL - 将SAML响应URL的值也粘贴到此处。
- 一旦完成,则点击SSO标签并做如下操作 :
- 复制SAML 2.0 Endpoint (HTTP) URL并粘贴到Zoho Desk帮助中心SAML页面内的远程登录URL字段。
- 复制SAML 2.0 Endpoint (HTTP) URL并粘贴到Zoho Desk帮助中心SAML页面内的重置密码URL字段。
- 复制SLO Endpoint (HTTP) URL并粘贴到Zoho Desk帮助中心SAML页面内的远程退出URL字段。
- 在X.509 Certificate字段,点击查看详情,然后保存内容到.txt文件。接着将该文件上传至Zoho Desk帮助中心SAML页面内的公开密钥字段。
- 现在您必须选择用户,以授予其访问启用了SAML的帮助中心的权限。要想实现 :
点击用户标签,然后点击所有用户以添加应用程序到单独的用户账户。 - 点击保存。
- 返回Zoho Desk,勾选帮助中心SAML页面上的启用注册选项,以允许新用户首次登录,然后点击保存。
此部分介绍如何配置Auth0以为您的Zoho Desk帮助中心提供单点登录(SSO)。
- 登录您的Auth0账户。
- 访问仪表板 >> 应用程序。
- 点击右方的 + 创建应用程序按钮。
- 在名称 字段,输入应用程序的名称。例如,Zoho Desk。
- 选择您想要创建的应用程序类型。
- 点击保存。
- 返回到仪表板 >> 应用程序。
- 找到您刚刚在步骤4所创建的应用程序,然后点击它旁边的齿轮图标。
- 向下滚动页面,然后点击高级设置链接。
- 在展开的窗口内,点击证书 部分下的下载证书按钮。
下载的证书将会是一个.pem文件。您需要将该证书转换为.txt格式。 - 现在,倒退滚动并点击附加组件标签。然后启用SAML2网络应用程序选项。
您会看见一个屏幕,让您提供其它的一些配置信息。 - 在屏幕的设置 部分,输入以下详情 :
- 在附加组件 SAML2网络应用程序 弹窗内,点击使用方法标签并做如下操作 :
完成后,点击Zoho Desk内的保存。
现在,当您的终端用户登录帮助中心时将会被重定向到Auth0的登录页面。
Microsoft Azure AD
本节描述如何配置Microsoft Azure Active Directory来为您的Zoho Desk帮助中心提供SSO。
- 以管理员账户登录您的 Azure AD 门户。
- 在 Azure 门户,左侧导航面板,点击 Azure Active Directory。
- 选择 企业应用程序 ,接着全部应用程序。
- 点击新建应用程序按钮。
- 在搜索框内,键入 SAML SSO, 选择解锁面板内的 Confluence SAML SSO by Microsoft ,接着点击添加以添加应用程序到您的门户。
- 导航回 企业应用程序 ,接着点击Confluence SAML SSO by Microsoft 应用。
- 点击单点登录,接着选择SAML模式。
- 在 设置SAML单点登录 页面,点击编辑图标以打开 基本SAML配置对话框。
- 在 基本SAML配置 部分,做如下操作:
- 在标识符 文本框中,输入 zoho.com.cn
注意(1): 如果IdP不支持重复标识符,您可以在Zoho Desk中编辑实体ID字段,以选择替代选项并输入相同的标识符。
注意(2): 如果您是使用 .eu 域,则输入 zoho.eu。同样的, 如果您是使用.in域,则输入 zoho.in。 - 在 回复 URL 文本框内,粘贴您自Zoho Desk内的SAML屏幕所复制的SAML响应URL值。
- 在 登录URL 文本框内,再次粘贴 SAML响应URL值。
- 在中继状态 文本框内,粘贴您自Zoho Desk内的SAML屏幕所复制的默认中继状态值。
- 为输入的值勾选单选框。
- 单击页面顶部的保存。
- 在 设置SAML单点登录 页面,点击编辑按钮以打开用户属性和声明对话框。
- 在用户属性和声明 对话框的用户属性部分,做如下操作:
- 点击编辑图标以打开 管理用户声明对话框。
- 从源属性 列表中选择属性值 user.mail
- 点击 保存。
- 转至 SAML 签名证书 菜单,做如下操作:
- 在签名选项 下拉列表内,选择 签名SAML响应。
这会弃用 Azure AD 以使用应用程序的X.509证书签署SAML响应。 - 点击 保存以应用新的SAML签名证书设置。
- 通过点击证书(PEM)来下载证书。
- 转至设置Confluence SAML SSO by Microsoft 菜单,做如下操作:
- 复制登录URL并粘贴到Zoho Desk SAML页面内的远程登录URL 和重置密码URL字段。
- 复制退出URL 并粘贴到Zoho Desk SAML页面内的远程退出URL。
- 上传您在步骤12保存的证书到Zoho Desk SAML页面内的公钥字段。
- 点击 保存。
- 返回Zoho Desk, 勾选SAML页面上的启用注册 选项,以允许新用户首次登录,接着点击 保存。