Gå til hovedindhold

Opsætning af SAML SSO med Microsoft Entra ID (Azure AD)

Opdateret

Denne artikel gennemgår den komplette proces til konfiguration af SAML Single Sign-On (SSO) mellem Zendesk og Microsoft Entra ID (tidligere Azure AD). Implementering af SSO kan styrke sikkerheden, forenkle brugeradministration og forbedre den daglige loginoplevelse. Ved at centralisere autentificeringen i Microsoft Entra ID anvendes ét sæt loginoplysninger, samtidig med at adgang til Zendesk kan styres centralt.
Guiden er udformet som en detaljeret, praktisk trin-for-trin-vejledning med forklaring af relevante tekniske begreber og anbefalede fremgangsmåder for en stabil implementering.

Forudsætninger: Tjekliste før opstart

Før den tekniske opsætning påbegyndes, skal de nødvendige forudsætninger være på plads for at sikre en effektiv og problemfri proces.

  • Administratorrettigheder: Der skal være global administrator- eller cloud application administrator-adgang i Microsoft Entra admin center samt administratoradgang i Zendesk Admin Center. Rettighederne er nødvendige for at oprette og konfigurere applikationer i begge systemer.
  • Zendesk-abonnement: Zendesk-abonnementet skal understøtte SAML SSO. Dette er inkluderet i alle Zendesk Suite-planer (Team, Growth, Professional, Enterprise og Enterprise Plus). Den aktuelle plan kan kontrolleres hos Zendesk ved tvivl.
  • Afklaring af brugere og grupper: Det skal være afklaret, hvilke brugere eller grupper i Microsoft Entra ID der skal have adgang til Zendesk via SSO. Det anbefales at starte med en testgruppe med et par teknisk kyndige medarbejdere for at minimere risikoen for påvirkning af hele organisationen ved eventuelle udfordringer.
  • Browserforberedelse: Anvend en moderne browser (f.eks. Chrome, Firefox eller Edge), og deaktivér midlertidigt eventuelle aggressive ad-blockere, da disse kan forstyrre omdirigeringer mellem Zendesk og Microsoft Entra ID under loginprocessen.

Del 1: Teknisk konfiguration – trin for trin

Fremgangsmåden følger en logisk rækkefølge: først forberedes Zendesk, derefter konfigureres Microsoft Entra ID, og til sidst forbindes de to systemer.

Trin 1: Forbered Zendesk – indsamling af nødvendige oplysninger

Første skridt er at indsamle de oplysninger fra Zendesk, som Microsoft Entra ID skal bruge for at kunne kommunikere sikkert med Zendesk. Oplysningerne fungerer som de nødvendige endpoints og identifikatorer for SAML-integrationen.

  1. Log ind i Zendesk Admin Center.
  2. Klik på Konto i venstre sidepanel, og vælg Security > Single sign-on.
  3. Klik på Create SSO configuration, og vælg SAML.
  4. Zendesk viser nu de oplysninger, der skal bruges. Følgende tre værdier skal være tilgængelige til næste trin:
    • Zendesk SSO URL: URL’en som brugere sendes til, når loginprocessen startes.
    • Reply URL (Assertion Consumer Service URL): Den specifikke Zendesk-URL, som Microsoft Entra ID skal sende SAML-svaret til efter vellykket login.
    • Issuer/Entity ID: En unik identifikator for Zendesk-kontoen, som Microsoft Entra ID bruger til at verificere, at svaret sendes til korrekt modtager.

Lad vinduet forblive åbent i browseren under fortsættelse til næste trin.

Trin 2: Registrer Zendesk som Enterprise Application i Microsoft Entra ID

Zendesk skal registreres i Microsoft Entra ID som en applikation, der skal håndtere login via SSO. Dette gøres ved at oprette en Enterprise Application.

  1. Log ind på Microsoft Entra admin center.
  2. Naviger til Entra ID > Enterprise apps > New application.
  3. I søgefeltet under Add from the gallery: skriv Zendesk.
  4. Vælg Zendesk fra resultatlisten, og klik Add. Vent et øjeblik mens appen tilføjes til din tenant.

Microsoft har en færdigkonfigureret Zendesk-integration i Entra-galleriet, der forudfylder standardværdier og er den officielt anbefalede fremgangsmåde for denne integration.

Trin 3: Konfigurer SAML-forbindelsen i Microsoft Entra ID

Dette trin etablerer SAML-forbindelsen og definerer, hvilke brugeroplysninger der sendes til Zendesk.

Grundlæggende SAML-konfiguration

  1. I den nyoprettede Zendesk-applikation i Entra ID: naviger til Single sign-on i venstremenuen.
  2. Vælg SAML som metode.
  3. Klik Edit i sektionen Basic SAML Configuration.

Indtast værdierne fra Trin 1:

  • Identifier (Entity ID): Indsæt Issuer/Entity ID fra Zendesk.
  • Reply URL (Assertion Consumer Service URL): Indsæt Reply URL fra Zendesk.
  • Sign on URL: Feltet er valgfrit, men det anbefales at indsætte Zendesk SSO URL for en mere sammenhængende brugeroplevelse (mulighed for at starte loginflow fra app-portaler).
  • Relay State: Feltet efterlades tomt, medmindre der er en specifik grund til at anvende det.
  • Klik Save.

Avanceret konfiguration: Attributes & Claims

Dette trin definerer brugeridentiteten ved at sende attributter fra Entra ID til Zendesk.

  1. Rul ned til Attributes & Claims, og klik Edit.
  2. Som standard findes et claim med navnet Name ID. Det skal være konfigureret til at sende en unik og uforanderlig identifikator. En almindelig og robust indstilling er user.userprincipalname, så den e-mailadresse/UPN, der sendes fra Entra ID, matcher den registrerede bruger i Zendesk. Hvis der anvendes et andet e-mailformat i Zendesk, kan user.mail være et bedre valg.
  3. Tilføj ekstra claims (anbefales): For at sikre, at navn og e-mail er synkroniseret, kan yderligere claims tilføjes. Dette er særligt nyttigt, når nye brugere oprettes via SSO.

Klik Add new claim for at tilføje følgende:

Claim name Source attribute Begrundelse
emailaddress user.mail Sikrer, at brugerens e-mailfelt i Zendesk udfyldes korrekt.
firstname user.givenname Udfylder brugerens fornavn i Zendesk-profilen.
lastname user.surname Udfylder brugerens efternavn i Zendesk-profilen.

Klik Save efter hver tilføjelse.

Trin 4: Fuldfør opsætningen i Zendesk med metadata

Når SAML-forbindelsen er konfigureret i Entra ID, skal metadata fra Entra ID overføres til Zendesk via en metadatafil med offentlige oplysninger og certifikater.

  1. Gå tilbage til oversigten for SAML-based sign-on i Entra-applikationen.
  2. Under Set up Zendesk: kopiér Login URL og Logout URL.
  3. Under SAML Signing Certificate: kopiér værdien i feltet Thumbprint.
  4. Gå til Zendesk Admin Center → Konto → Security → Single sign-on.
  5. Udfyld felterne i SAML-konfigurationen:
    • SAML SSO URL: Indsæt Login URL fra Entra.
    • Certificate fingerprint: Indsæt Thumbprint-værdien fra Entra.
    • Remote logout URL: Indsæt Logout URL fra Entra.
  6. Vigtigt: Klik Save for at gemme konfigurationen. SSO må ikke aktiveres endnu, da opsætningen først skal testes for at undgå at låse brugere ude.

Del 2: Test, udrulning og aktivering

Grundig test er afgørende for at undgå lockout og for at sikre en stabil idriftsættelse.

Trin 5: Test af SSO-forbindelsen

Konfigurationen skal nu verificeres i praksis.

  1. I Microsoft Entra admin center: naviger til Zendesk-applikationen.
  2. Gå til Users and groups, og klik Add user/group.
  3. Vælg en testbruger (eller den tidligere oprettede testgruppe) i Entra ID, og tildel adgang til applikationen.
  4. Log ud af Zendesk (alternativt anvendes en inkognito-fane for en ren session).
  5. Gå til Zendesk-login-siden (ditdomæne.zendesk.com/access/normal). Der bør nu være en knap eller et link til login via SSO-udbyderen.
  6. Klik på linket. Der viderestilles til Microsofts login-side, hvor Entra ID-brugeren kan logge ind.
  7. Efter vellykket login viderestilles der tilbage til Zendesk, og sessionen oprettes.

Hvis testen fejler, er typiske årsager forkert URL-konfiguration eller mismatch i Name ID-claimet. Se afsnittet om fejlfinding nedenfor.

Trin 6: Planlagt udrulning til organisationen

Når testen er godkendt, kan løsningen udrulles til resten af organisationen.

  1. I Microsoft Entra admin center: tildel flere brugere eller grupper til Zendesk-applikationen. Grupper anbefales for lettere administration (f.eks. “Zendesk-agenter”, “Zendesk-administratorer”).
  2. Når relevante brugere er tildelt: gå til Zendesk Admin Center → Konto → Security → Single sign-on.
  3. Aktivér SSO ved at slå kontakten til. Der kan samtidig vælges, hvordan SSO håndhæves:
    • Valgfri: Login med e-mail og adgangskode er fortsat muligt. Velegnet i en overgangsfase.
    • Påkrævet for alle brugere (undtagen administratorer): Alle (undtagen undtagne admin-brugere) skal anvende SSO. Dette er den mest sikre opsætning.
  4. Klik Gem.

Best practices, tips og fejlfinding

Følgende retningslinjer kan bidrage til en robust og sikker implementering.

⚠️ Vigtigste råd: Bevar en “nødudgang” (escape hatch)

Der bør altid være mindst én Zendesk-administrator, som ikke er omfattet af SSO-konfigurationen. Denne bruger skal kunne logge ind via almindelig e-mail/adgangskode. Ved problemer med SSO-opsætningen (f.eks. udløbet certifikat eller nedetid i Entra ID) kan administratoren stadig tilgå Zendesk og rette fejlen uden at låse organisationen ude.

Næste skridt: Automatisér brugeradministration med SCIM

Det kan overvejes at opsætte SCIM-provisioning for fuld automatisering. Dette gør det muligt for Microsoft Entra ID automatisk at oprette, opdatere og deaktivere brugere i Zendesk baseret på gruppemedlemskab i Entra ID. Når en ny medarbejder oprettes i Entra ID og tilføjes til gruppen “Zendesk-agenter”, kan brugeren oprettes automatisk i Zendesk. Når medarbejderen fratræder, kan adgangen deaktiveres automatisk. Dette er et naturligt næste skridt efter en succesfuld SSO-implementering.

Fejlfinding: Løsning af almindelige udfordringer

Ved problemer kan følgende kontrolleres først:

  • Microsoft Entra ID sign-in logs: Gå til Microsoft Entra ID > Identity > Monitoring & health > Sign-in logs for detaljerede fejlmeddelelser for loginforsøg. Filtrér på applikationsnavnet for relevante logs.
  • Zendesk SAML logs: I Zendesk Admin Center under Konto → Security kan der ofte findes logs, som viser modtagne SAML-requests.

Fejl: “Invalid response” eller “Invalid signature”

Dette indikerer et problem med den digitale signatur, der bekræfter, at svaret kommer fra Entra ID.

  • Løsning: Kontrollér, at signeringscertifikatet i Zendesk er opdateret. Download den nyeste metadatafil fra Entra ID, og upload den igen til Zendesk.

Fejl: “User not found”

Dette skyldes typisk mismatch mellem den identifikator, der sendes i Name ID-claimet (ofte UPN/e-mail), og den e-mailadresse, der er registreret på brugeren i Zendesk.

  • Løsning: Kontrollér, at brugeren i Zendesk har præcis samme e-mailadresse som i Entra ID. Dobbelttjek også konfigurationen af Name ID-claimet i Entra ID.

Fejl: “Request expired” eller tidsrelaterede fejl

Dette kan opstå ved tidsforskel på mere end få minutter mellem servere hos Zendesk og Microsoft.

  • Løsning: Kontrollér, at servere er synkroniseret med en NTP-tidsserver. Hvis problemet er vedvarende, kan “Clock skew”-indstillinger i Entra ID justeres, men dette bør gøres med forsigtighed.

Konklusion: Fremtidssikret loginoplevelse

Efter gennemførelse af trinnene er der etableret en sikker og effektiv SAML SSO-forbindelse mellem Microsoft Entra ID og Zendesk. Loginprocessen er forenklet, og sikkerhedsstyringen er styrket ved centraliseret adgang samt mulighed for betinget adgang (Conditional Access) i Entra ID.

Opsætningen kan være teknisk, men når den er på plads, kan den reducere administrativt arbejde og forbedre brugeroplevelsen. Der er samtidig skabt et solidt fundament for en sikker og skalerbar cloud-infrastruktur. Hvis der opstår udfordringer undervejs, eller hvis opsætningen ønskes optimeret yderligere (f.eks. med SCIM-provisioning), kan der indhentes relevant sparring og assistance.

Relaterede artikler

Drevet af Zendesk