Wir nehmen Ihre Sicherheit ernst. Wir wissen zwar nicht, wie Ihre Konfiguration im Einzelnen aussieht, aber wir haben vor Kurzem ein potenzielles Sicherheitsrisiko erkannt, das Kunden betrifft, die bei Nutzung von Single-Sign-On (SSO) als Authentifizierungsmethode die E-Mail-Adressen ihrer Benutzer nicht von ihrem Identitätsanbieter bestätigen lassen. In der Folge können Benutzer sich selbst bei einem Identitätsanbieter registrieren und so die Sicherheit des Zendesk-Kontos gefährden.
Wie sieht das Risiko aus?
Wenn Sie SAML oder JWT für SSO bei Zendesk verwenden, sind Sie dafür verantwortlich, die Identität Ihrer Administratoren, Agenten und Endbenutzer zu verifizieren, damit nur bestätigte Benutzer auf Ihr Zendesk Support-Konto oder Help Center zugreifen können.
Wenn ein Benutzer in der Lage ist, sich mit einer beliebigen E-Mail-Adresse bei der von Ihnen gewählten SSO-Lösung zu registrieren und das dadurch erstellte neue Konto nicht vom Identitätsanbieter bestätigt wird, lässt die SSO-Lösung möglicherweise den Zugriff auf Zendesk über dieses Konto zu. Dies bedeutet, dass ein Benutzer unbefugten Zugriff auf die Zendesk-Tickets erlangen könnte, die mit der E-Mail-Adresse des unbestätigten Kontos verknüpft sind.
Was soll ich tun?
Wir empfehlen die Zusammenarbeit mit einem externen Identitätsanbieter oder dem Entwickler der von Ihnen verwendeten SSO-Lösung, damit die E-Mail-Adressen der Endbenutzer, Agenten und Administratoren, die sich für ein Konto registrieren, ordnungsgemäß bestätigt werden.
Es ist wichtig, dass Benutzer, die sich für ein Konto registrieren, bestätigen, dass die von ihnen angegebene E-Mail-Adresse auch wirklich ihnen gehört. Normalerweise senden Sie dem Benutzer hierzu eine E-Mail mit einem Link, auf den er klicken muss, um die E-Mail-Adresse zu bestätigen, unter der er sich registriert hat.
Einige Identitätsanbieter können so konfiguriert werden, dass sie eine E-Mail-Bestätigung verlangen. Unten finden Sie Anweisungen, wie Sie bei gängigen Identitätsanbietern und SSO-Lösungen die Bestätigung von E-Mail-Adressen erzwingen können:
- Auth0
- Verwenden Sie die Regel email verified, um die Bestätigung von E-Mail-Adressen zu erzwingen. Weitere Informationen finden Sie unter https://auth0.com/rules/email-verified.
-
Okta
- Achten Sie darauf, dass Sie beim Konfigurieren des Workflows zur Selbstregistrierung die Einstellung User must verify the email address to be activated aktivieren. Weitere Informationen finden Sie unter Aktivieren und konfigurieren Sie eine Self-Service-Registrierungsrichtlinie
-
LogMeOnce
- Achten Sie bei der Einrichtung von Zendesk mit LogMeOnce darauf, dass Sie Yes für Only Verified Accounts auswählen.
Hinweis zur Übersetzung: Dieser Beitrag wurde mit automatischer Übersetzungssoftware übersetzt, um dem Leser ein grundlegendes Verständnis des Inhalts zu vermitteln. Trotz angemessener Bemühungen, eine akkurate Übersetzung bereitzustellen, kann Zendesk keine Garantie für die Genauigkeit übernehmen.
Sollten in Bezug auf die Genauigkeit der Informationen im übersetzten Beitrag Fragen auftreten, beziehen Sie sich bitte auf die englische Version des Beitrags, die als offizielle Version gilt.
0 Kommentare