シングルサインオン(SSO)は、生活を楽にするはずのものです。1つの認証情報セット、シームレスなアクセス、より優れたセキュリティ。しかし、Zendesk SSOが機能しなくなると、チーム全体がヘルプデスクから締め出される可能性があります。突然、エージェントはチケットに応答できなくなり、管理者は設定を管理できなくなり、顧客は待たされることになります。
このガイドでは、最も一般的なZendesk SSOの問題を診断して修正する方法について説明します。Azure AD(Azure Active Directory)統合の問題、証明書のエラー、または緊急ロックアウトに対処する場合でも、体系的な解決策が見つかります。
Zendesk SSOと一般的な障害点を理解する
修正に入る前に、Zendeskが認証をどのように処理するかを理解しておくと役立ちます。このプラットフォームは、3つのエンタープライズSSO方式をサポートしています。
- SAML(Security Assertion Markup Language) Azure AD、Okta、またはOneLoginを使用する企業環境で最も一般的な選択肢
- OpenID Connect(OIDC) OAuth 2.0上に構築された最新の代替手段
- JWT(JSON Web Token) 認証フローを制御するカスタム実装で使用
各方式には特定の構成要件があり、ほとんどの障害は、Zendeskとアイデンティティプロバイダーとの間の不一致が原因で発生します。良いニュースは?これらの問題は、どこを見ればよいかがわかれば、通常は修正可能です。
緊急アクセス:SSOが失敗した場合の再ログイン
最悪のシナリオから始めましょう。SSOサービスがダウンし、誰もログインできない場合です。パニックになる前に、Zendeskが緊急アクセス方法を提供していることを知っておいてください。
SSOバイパスURLの使用
Zendeskのパスワードを無効にして、完全にSSOに依存している場合は、アカウントオーナー(およびオプションですべての管理者)が1回限りのアクセスリンクをリクエストできます。
仕組みは次のとおりです。
https://your_subdomain.zendesk.com/access/sso_bypassに移動します。- Zendesk管理者プロファイルに関連付けられているメールアドレスを入力します。
- 1回限りのアクセスリンクについてメールを確認します(5分で期限切れになります)。
- リンクをクリックして、パスワードなしですぐにアクセスできます。
**1つの注意点:**一部の企業スパムフィルターは、悪意のあるコンテンツがないか確認するために、メール内のリンクを自動的にクリックします。フィルターがこれを行うと、使用する前にアクセスリンクが無効になる可能性があります。その場合は、メール管理者に一時的に連絡するか、以下の代替方法を試してください。
通常の認証によるアクセス
Zendeskのパスワードを完全に無効にしていない場合は、標準のログインページからアカウントにアクセスできます。
https://your_subdomain.zendesk.com/access/normalに移動します。- Zendeskのユーザー名とパスワードを入力します。
SSOの認証情報がZendeskの認証情報と異なる場合があることに注意してください。Zendeskのユーザー名は常にユーザープロファイルにリストされているプライマリメールアドレスであり、企業のログインと一致しない場合があります。
必要になる前にバイパスアクセスを構成する
アカウントオーナーは、問題が発生する前に、誰がバイパス権限を持つかを構成できます。管理センターで、アカウント→セキュリティ→詳細設定に移動し、認証タブをクリックします。SSOバイパスフィールドで、アカウントオーナーのみか、すべての管理者が緊急アクセスをリクエストできるかを選択します。
この設定は、Zendesk認証がチームメンバーに対してオフになっている場合にのみ表示されるため、最初のSSO設定中に構成してください。
一般的なZendesk SSOエラーメッセージと解決策
次に、SSOが誤って構成されている場合に表示される特定のエラーに対処しましょう。
「AADSTS650056:アプリケーションの構成が正しくありません」(Azure AD/Entra)
このAzure ADエラーは、他のほとんどのエラーよりも管理者をイライラさせます。エラーメッセージは「AAD Graph」の権限を確認するように示唆していますが、真の原因は通常、SAML構成の不一致です。
**実際的な原因:**SAMLリクエストのIssuer値が、Azureエンタープライズアプリケーションで構成されている識別子(エンティティID)と一致しません。わずかな違い(https://を含めるか除外するなど)でも、認証フローが中断されます。
修正方法:
- Azureポータルで、エンタープライズアプリケーション→Zendesk→シングルサインオンに移動します。
- **識別子(エンティティID)**フィールドを確認します。
- ZendeskがSAMLリクエストで送信しているものと比較します。
- プロトコルを含め、完全に一致するようにいずれかを更新します。
SAMLリクエストは通常、次のようになります。
<samlp:AuthnRequest>
<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://yourdomain.zendesk.com</Issuer>
</samlp:AuthnRequest>
Azureの識別子は、そのIssuer値と文字単位で一致する必要があります。
**証明書のフィンガープリントの問題:**もう1つの一般的なAzure ADの問題は、証明書のフィンガープリントの計算に関係しています。Azure ADアプリの設定からサムプリントを直接コピーしないでください。代わりに:
- Azure ADから
.cer形式で証明書をダウンロードします。 - PowerShellを使用してSHA256フィンガープリントを計算します:
Get-FileHash "Zendesk.cer" -Algorithm SHA256 - Zendeskの証明書のフィンガープリントフィールドに、その計算された値を入力します。
出典:Microsoft Entra IDのトラブルシューティングドキュメント
「サインインするには、以下のいずれかのオプションを使用してください」
このエラーは、SSOが正しく構成されているように見えても表示されるため、多くの管理者を混乱させます。問題は?エンドユーザーに対してSSOを有効にしましたが、エージェントと管理者に対しては有効にしていません。
修正方法は次のとおりです。
- 管理センターで、アカウント→セキュリティに移動します。
- チームメンバー認証を選択します。
- 外部認証を有効にし、SSOオプションを選択します。
- 変更を保存します。
このエラーは、管理者がチーム全体に展開する前にSSOフローを確認しようとするときに、テスト中に表示されることがよくあります。
証明書とSAMLメタデータの問題
証明書の問題は、SSO障害の大部分の原因となっています。最も一般的なシナリオを次に示します。
**期限切れの証明書:**SAML証明書は通常、毎年期限切れになります。期限切れになると、警告なしに認証が失敗します。証明書を事前にローテーションするために、有効期限の30日前にカレンダーのリマインダーを設定します。
**フィンガープリント形式のエラー:**Zendeskには、SAML証明書のSHA256フィンガープリントが必要です。正しいハッシュアルゴリズムを使用していることを確認してください。一部のアイデンティティプロバイダーはデフォルトでSHA1を使用します。
**エンティティIDの混乱:**エンティティID(識別子とも呼ばれます)は、アイデンティティプロバイダーとZendeskの間で完全に一致する必要があります。行き詰まっている場合は、次のバリエーションを試してください。
https://プレフィックス付き:https://yourdomain.zendesk.com- プレフィックスなし:
yourdomain.zendesk.com
一部の構成は一方の方法で機能し、他の構成は別の方法で機能します。Microsoftコミュニティは、AADSTS650056エラーのトラブルシューティングを行う際に、試行錯誤を通じてこれを発見しました。
ステップバイステップの診断ワークフロー
SSOの問題が発生した場合は、この体系的なアプローチに従って根本原因を特定します。
ステップ1:IdP構成の確認
まず、アイデンティティプロバイダーの設定がZendeskの要件と完全に一致していることを確認します。
Azure ADの場合は、以下を確認します。
- サインオンURL:
https://<subdomain>.zendesk.com - 識別子(エンティティID):
https://<subdomain>.zendesk.com - 応答URL:
https://<subdomain>.zendesk.com/access/saml
Google Workspaceの場合:
- Google Workspace MarketplaceからZendesk SSOアプリをインストールします。
- Googleのセキュリティインターフェースではなく、Zendeskアプリ内でSSOを構成します。
- 最初に
https://プレフィックスを付けてエンティティIDを設定し、問題が解決しない場合はプレフィックスなしで試してください。
ステップ2:SAMLアサーションの検証
ブラウザの開発者ツールはここで役立ちます。サインインを試みる前に、Chrome DevToolsまたはFirefox Developer Toolsを開きます。ネットワークタブでSAMLリクエストと応答を監視します。
以下を探します。
- SAMLリクエストのIssuer値
- SAML応答のエラーメッセージ
- HTTPステータスコード(302リダイレクト、400エラーなど)
この情報は、認証フローが中断する場所を正確に明らかにすることがよくあります。
ステップ3:認証フローのテスト
1つのユーザータイプだけでテストしないでください。SSOが次のユーザーに対して機能することを確認します。
- エンドユーザー(チケットを送信する顧客)
- エージェント(チケットに応答するスタッフ)
- 管理者(設定を管理する)
また、さまざまなアクセス方法でテストします。
- 直接Zendesk URL
- モバイルアプリ(iOSおよびAndroid)
- ホストマッピングされたドメイン(カスタムドメインを使用する場合)
ステップ4:Zendeskセキュリティ設定の確認
管理センターで、以下を確認します。
- 適切なユーザーグループに対して外部認証が有効になっている
- 正しいSSO構成がプライマリとして選択されている
- ユーザー権限とロールが正しく割り当てられている
エンドユーザーSSOを介して認証するユーザーには、Zendeskの設定で指定されたロールが割り当てられることを忘れないでください。慎重に構成しないと、チームメンバーアクセスが含まれる場合があります。
予防:安定したSSOのためのベストプラクティス
SSOの問題を修正することは重要ですが、問題を防止することでさらに時間を節約できます。
構成管理
- **すべてを文書化する:**エンティティID、証明書のフィンガープリント、およびすべてのURL構成の記録を保持します。何かが壊れた場合、参照点があります。
- **本番稼働前にテストする:**常に最初に非本番環境でSSOをテストします。Zendeskは、この目的のためにテスト機能を提供しています。
- **バックアップアクセスを維持する:**少なくとも1つの管理者アカウントにバイパス機能が構成されていることを確認します。
- **証明書の有効期限を監視する:**証明書の有効期限の30日前と7日前にカレンダーのリマインダーを設定します。
ユーザー管理
SSOを使用する場合、メールの確認は非常に重要です。アイデンティティプロバイダーからのメールアドレスは、Zendeskで構成されているものと完全に一致する必要があります。メールアドレスが一致しない場合は、「ユーザーが見つかりません」エラーの一般的な原因です。
SCIM(System for Cross-domain Identity Management)を介して自動ユーザープロビジョニングを使用している場合は、ユーザー属性がシステム間で正しくマッピングされていることを確認します。
セキュリティに関する考慮事項
エンタープライズSSOを有効にすると、ユーザーIDを確認する責任があります。Zendeskはデフォルトで名前とメールアドレスのみを保存しますが、組織のメンバーシップなどの追加データを同期できます。
Zendesk認証を完全にオフにすると、すべてのZendeskパスワードは24時間以内に完全に削除されます。この手順を実行する前に、SSOが確実であることを確認してください。
ネイティブZendesk SSOの代替手段を検討する時期
ネイティブSSOは多くの組織でうまく機能しますが、制限があります。複雑なマルチブランド設定、高度なユーザープロビジョニング要件、またはコンプライアンスのニーズによっては、異なるアプローチが必要になる場合があります。
サードパーティのアイデンティティ管理ツールは、次のような追加機能を提供できます。
- よりきめ細かいアクセス制御
- より優れた監査ログ
- 複雑な組織構造のサポート
eesel AIでは、認証に対して異なるアプローチを取ります。複雑なSAML構成と証明書管理の代わりに、カスタマーサービス向けのAIチームメイトは、既存のヘルプデスクと直接統合します。eeselは現在のZendesk環境内で動作するため、追加の認証レイヤーなしで、過去のチケットやヘルプセンターの記事から学習するため、SSOを構成する必要はありません。
お客様は、SSO構成の管理にうんざりしていたため、eeselに切り替えたとよく言います。eeselを使用すると、エージェントはこれまでどおりZendeskを使用し続けます。AIは、より優れた応答をより迅速に作成するのに役立つだけであり、追加のログインフローは必要ありません。
顧客を実際に支援するよりもSSOのトラブルシューティングに多くの時間を費やしている場合は、現在の設定がチームのニーズに合っているかどうかを検討する価値があるかもしれません。eesel AIを無料で試すか、デモを予約するして、AI Copilotがエージェントによるより優れた応答の迅速な作成をどのように支援するかを確認してください。
今すぐZendesk SSOの問題を解決する
SSOの問題はイライラしますが、永続的なものではありません。ロックアウトされている場合は緊急アクセス方法から開始し、表示されている内容に基づいてエラー固有の解決策に取り組みます。ほとんどの問題は、細部に注意を払うことで修正できる構成の不一致に帰着します。
次に問題が発生したときに備えて、このガイドをブックマークしておいてください。また、安定したら、作業中の構成を文書化することを忘れないでください。次の証明書の更新が来たときに、将来の自分が現在の自分に感謝するでしょう。
ここに記載されているすべてのことを試してもSSOが機能しない場合は、ブラウザの開発者ツールからキャプチャした特定のエラーメッセージとHARファイルを使用して、Zendeskサポートに連絡する時期かもしれません。
よくある質問
Share this article
Article by
Stevia Putri
Stevia Putri is a marketing generalist at eesel AI, where she helps turn powerful AI tools into stories that resonate. She’s driven by curiosity, clarity, and the human side of technology.
