La autenticación de los usuarios finales es importante para numerosos fines comerciales. Si se proporciona soporte de conversación, es posible que los usuarios intenten tener una conversación en distintos dispositivos y canales. Al autenticar a los usuarios finales, podrá asegurarse de que todos los puntos de contacto estén asociados con el usuario final correcto. Esto puede aumentar la calidad del soporte que ofrecen los agentes y proteger mejor la información confidencial que a veces surge mientras los agentes atienden a los usuarios finales.
Acerca de la autenticación de los usuarios finales para la mensajería
- Aumentar la confianza de que los usuarios finales con los que hablan los agentes son quienes dicen ser.
- Poder identificar a un solo usuario en distintos canales si se incrusta el widget en varios dominios o se vincula a servicios externos, como Shopify.
- Poder identificar a un solo usuario en distintos dispositivos y navegadores.
Terminología para la autenticación de mensajería
- JWT: Zendesk utiliza Tokens Web JSON (JWT) firmados para autenticar a los usuarios finales para la mensajería. Estos tokens contienen detalles que verifican la identidad de los usuarios finales. Si desea más información sobre JWT, consulte jwt.io.
- Clave de firma: la clave de firma es creada por un administrador de Zendesk en el Centro de administración y compartida con un desarrollador del equipo, que la usa para firmar el JWT según sea necesario.
- ID externa: una cadena alfanumérica, como un nombre de usuario o una ID de un sistema externo, que es única para cada usuario. Esta es la identificación principal para la autenticación de mensajería, incluso cuando se incluye una dirección de correo electrónico en el JWT.
- Nombre de usuario: (opcional) el nombre del usuario final asociado con la ID externa o la dirección de correo electrónico. Si se incluye el nombre del usuario en el JWT, aparecerá en el espacio de trabajo de agente. Esta información puede ayudar a los agentes a comunicarse con los usuarios finales.
- Correo electrónico: (opcional) la dirección de correo electrónico única asociada con un usuario final.
Información general sobre la implementación de la autenticación de mensajería para los usuarios finales
- El proceso de autenticación de mensajería comienza con un administrador que genera una clave de firma y se la proporciona a un desarrollador. A continuación, el desarrollador utiliza la clave de firma para implementar un servicio central que puede crear JWT firmados para los usuarios si lo solicitan.
- Cuando se solicita, el servicio central crea los JWT firmados y los devuelve al sitio web o la aplicación móvil. Los JWT creados por el servicio deben incluir una ID externa única y, opcionalmente, una dirección de correo electrónico para identificar al usuario final.
- Cada vez que el usuario inicia sesión, el sitio web o la aplicación tiene que llamar a una API de inicio de sesión equivalente para el Web Widget y los SDK para móviles. En ese momento, el JWT se envía a Zendesk para verificar la supuesta identidad del usuario.
Requisitos para la autenticación de los usuarios finales para la mensajería
- El espacio de trabajo de agente de Zendesk debe estar activado.
- Se deben estar usando los canales del Web Widget o de los SDK para móviles para la mensajería.
- Las identidades de correo electrónico se asocian con usuarios finales.
- Si desea que las identidades de correo electrónico de los usuarios autenticados sean verificadas, los JWT que emita a los usuarios finales deben contener la declaración
email
y la declaraciónemail_verified: true
.
Experiencia del agente al autenticar a los usuarios finales de mensajería
Cuando el usuario final ha sido autenticado, los agentes ven un icono de marca de verificación verde junto al nombre del visitante y la ID externa del usuario es visible junto al perfil del usuario.
Además, cada respuesta publicada por un usuario final después de ser autenticado tendrá el icono de marca de verificación.
Un usuario final autenticado puede participar de manera sincrónica en una conversación en todos los dispositivos. En el caso de los usuarios finales no autenticados, se crearán conversaciones y registros de usuario separados para cada dispositivo que usen. Si un usuario final se autentica durante una conversación, las conversaciones que tienen lugar antes y después de la autenticación se fusionan automáticamente para proporcionar continuidad para el agente y el usuario final.
Si está usando identidades de correo electrónico, el mapeo de los usuarios finales con los registros de usuario varía en función de la configuración de la identidad de correo electrónico. Con la mayoría de las configuraciones, los impostores aparecen como registros de usuario separados y no tendrán la marca de verificación verde junto a su nombre porque no pueden ser autenticados correctamente. Si se permite que los usuarios no autenticados hagan uso de direcciones de correo electrónico verificadas, las identidades de correo electrónico se asocian con el primer usuario que utilice la dirección. Si dos usuarios finales hacen uso de la misma dirección, la identidad de correo electrónico se adjunta al registro de usuario del usuario final que pueda autenticar y verificar la dirección de correo electrónico.
En caso de que surja un conflicto, las identidades de correo electrónico verificadas prevalecen sobre las identidades de correo electrónico no verificadas. Por ejemplo, si un usuario no autenticado proporciona una dirección de correo electrónico que ya está asociada con una identidad verificada, Zendesk crea una nueva sesión y registro de usuario no autenticados sin una identidad de correo electrónico para el usuario no autenticado que está intentando hacerse pasar por un usuario verificado. De manera similar, si un usuario no autenticado proporciona una dirección de correo electrónico pero no la puede verificar, y después otro usuario proporciona la misma dirección y puede verificarla e iniciar sesión con su JWT, la identidad de correo electrónico se adjuntará al usuario autenticado y se eliminará del registro del usuario no autenticado.
Los agentes pueden fusionar los registros de usuario duplicados y agregar manualmente una identidad de correo electrónico a los registros de los usuarios. Recomendamos capacitar a los agentes para que puedan verificar la identidad de los usuarios finales antes de realizar estas acciones.
Experiencia del usuario final con la autenticación para la mensajería
Tras implementarse la autenticación de usuarios finales para la mensajería, los usuarios finales no deberían notar ninguna diferencia. Una vez que los usuarios finales han sido autenticados y su identidad ha sido verificada con Zendesk, los bots de mensajería ya no les solicitan que proporcionen su nombre o dirección de correo electrónico como parte de la respuesta predeterminada de mensajería.
Las conversaciones para los usuarios finales autenticados se sincronizan en todos los dispositivos cuando se autentica al usuario final. Se crean conversaciones y registros de usuario separados para los usuarios finales no autenticados. Si un usuario final se autentica durante una conversación, la conversación anónima que se creó antes de que iniciara sesión se fusiona automáticamente con la conversación autenticada para que no se pierda la continuidad.
Crear y compartir una clave de firma
Los desarrolladores utilizan las claves de firma para crear JWT para los usuarios finales. Es necesario ser un administrador para crear una clave de firma. Se puede crear un máximo de 10 claves. Si intenta crear una nueva clave después de alcanzar el límite de 10, se le pedirá que borre las claves no utilizadas.
- En el Centro de administración, haga clic en Cuenta en la barra lateral y luego seleccione Seguridad > Autenticación de usuarios finales.
- Haga clic en la pestaña Mensajería y luego en Crear clave.
Si está creando su primera clave, Crear clave aparece en la parte inferior de la página. De lo contrario, aparece en la esquina superior derecha.
- Ingrese un Nombre para la clave y luego haga clic en Siguiente.
- Cuando se le indique, haga clic en Copiar para copiar el secreto compartido y luego haga clic en Ocultar clave para siempre.
La clave se guarda y se asigna una ID automáticamente. Las ID de las claves se encuentran en la lista de claves en la pestaña Mensajería de la página Autenticación de usuarios finales.
- Envíe la ID de la clave y el secreto compartido que copió al desarrollador de manera confidencial.
Autenticar a los usuarios finales con una ID externa únicamente
-
external_id: (requerido) esta es la cadena alfanumérica única que se puede usar para identificar a cada usuario. Normalmente, estas ID se obtienen de sistemas externos. Una ID no puede tener más de 255 caracteres.
Zendesk usa
external_id
como el identificador principal para los usuarios que se autentican a través de la mensajería. Cuando se autentica a un usuario con un JWT válido, Zendesk resuelve primero un usuario existente con laexternal_id
. Si no se encuentra una coincidencia conexternal_id
, los usuarios se resuelven con la dirección de correo electrónico proporcionada. Consulte Emitir JWT con direcciones de correo electrónico. -
scope: (requerido) el alcance de acceso de la persona que llama. El único valor válido es
user
. - name: (opcional) el nombre del usuario. Si se incluye el nombre en la carga de JWT, Zendesk podrá mostrar el nombre del usuario en el espacio de trabajo de agente para ayudar a los agentes a proporcionar un soporte más personalizado.
{
"external_id": "12345678",
"scope": "user",
"name": "Jane Soap"
}
Incorporar las identidades de correo electrónico en la autenticación de los usuarios finales
- Los usuarios autenticados son usuarios que se autentican a través de JWT firmados.
El uso de JWT es un método fiable porque los usuarios finales no pueden adulterar el contenido de un JWT firmado. Si le preocupan los ataques de suplantación de identidad, debe restringir las identidades de correo electrónico a los usuarios finales autenticados. Esta es la opción más segura y es el método predeterminado para todas las cuentas nuevas de Zendesk.
- Los usuarios no autenticados son usuarios finales que proporcionan una dirección de correo electrónico cuando el indicador de bot de Zendesk la solicita.
Tenga en cuenta que permitir el uso de identidades de correo electrónico con usuarios no autenticados puede dejarlo expuesto a personas que se hacen pasar por otros usuarios a través de un correo electrónico que no les pertenece.
Configuración de identidades de correo electrónico
En las cuentas nuevas de Zendesk, las identidades de correo electrónico están activadas y configuradas para usar direcciones de correo electrónico verificadas únicamente, ya que es la opción más segura. Las cuentas más antiguas están configuradas para usar direcciones de correo electrónico verificadas y no verificadas. Antes de agregar direcciones de correo electrónico en sus JWT, debe revisar las opciones y actualizar la configuración si es necesario.
- En el Centro de administración, haga clic en Canales en la barra lateral y luego seleccione Mensajería y redes sociales > Mensajería.
- Haga clic en Administrar configuración.
- Haga clic en Identidades de correo electrónico y luego seleccione una de las siguientes opciones:
-
Usar solo correos electrónicos verificados: se crean identidades de correo electrónico solo para los usuarios que están autenticados y que cuentan con una dirección de correo electrónico verificada incluida en su JWT emitido. Los agentes siguen teniendo la posibilidad de agregar manualmente una identidad de correo electrónico a un registro de usuario.
Con esta opción, los agentes pueden ver la dirección de correo electrónico proporcionada por los usuarios finales no autenticados en el historial de chats, pero no verán una identidad de correo electrónico asociada con el usuario en la tarjeta de información básica. Si un agente necesita hacer seguimiento de un usuario no autenticado a través de correo electrónico, tendrá que agregar manualmente la identidad del usuario de correo electrónico a ese registro de usuario. Si la dirección de correo electrónico del usuario no autenticado ya existe en otro registro de usuario, el agente tiene la opción de fusionar los dos registros de usuario.
Antes de agregar manualmente una identidad de correo electrónico o fusionar dos registros de usuario, recomendamos que los agentes hagan una verificación de la identidad para evitar ataques de ingeniería social.
-
Usar correos electrónicos verificados y no verificados: se crean identidades de correo electrónico tanto para los usuarios que están autenticados y tienen una dirección de correo electrónico verificada en su JWT como para los usuarios no autenticados que proporcionan direcciones de correo electrónico a través de los flujos de bot. Con esta opción, es más probable que los agentes encuentren la dirección de correo electrónico del usuario en la tarjeta de información básica, y las identidades de correo electrónico para las direcciones de correo electrónico no verificadas están claramente marcadas como no verificadas en el espacio de trabajo de agente. De ser necesario, los agentes pueden solicitar a los usuarios finales que se autentiquen si tienen que enviar mensajes de seguimiento por correo electrónico.
En caso de que surja un conflicto, las identidades de correo electrónico verificadas prevalecen sobre las identidades de correo electrónico no verificadas.
-
Usar solo correos electrónicos verificados: se crean identidades de correo electrónico solo para los usuarios que están autenticados y que cuentan con una dirección de correo electrónico verificada incluida en su JWT emitido. Los agentes siguen teniendo la posibilidad de agregar manualmente una identidad de correo electrónico a un registro de usuario.
- (Opcional, pero no recomendado) Si desea que cualquier usuario (incluso los usuarios no autenticados) pueda usar direcciones de correo electrónico verificadas, seleccione El usuario no autenticado puede reclamar correos electrónicos verificados.
Si selecciona esta opción, el estado de verificación de las identidades de correo electrónico recopiladas de los canales de mensajería deja de ser fiable porque un impostor puede perfectamente aparecer después de que un usuario es autenticado y adueñarse de su estado de correo electrónico en una interacción de mensajería posterior. Eso quiere decir que los ataques de suplantación de identidad tienen mayores probabilidades de tener éxito y los agentes tienen escasa oportunidad de saber si el usuario final es realmente quien alega ser. Sin embargo, las identidades de correo electrónico verificadas siguen prevaleciendo sobre las identidades de correo electrónico no verificadas y la identidad de correo electrónico se elimina del registro de usuario del impostor.
- Haga clic en Guardar configuración.
Emitir JWT con direcciones de correo electrónico
-
external_id: (requerido) esta es la cadena alfanumérica única que se puede usar para identificar a cada usuario. Normalmente, estas ID se obtienen de sistemas externos. Una ID no puede tener más de 255 caracteres.
Zendesk usa
external_id
como el identificador principal para los usuarios que se autentican a través de la mensajería. Cuando se autentica a un usuario con un JWT válido, Zendesk resuelve primero un usuario existente con laexternal_id
. Si no se encuentra una coincidencia conexternal_id
, los usuarios se resuelven con la dirección de correo electrónico proporcionada. Consulte Emitir JWT con direcciones de correo electrónico. -
scope: (requerido) el alcance de acceso de la persona que llama. El único valor válido es
user
. - name: (opcional) el nombre del usuario. Si se incluye el nombre en la carga de JWT, Zendesk podrá mostrar el nombre del usuario en el espacio de trabajo de agente para ayudar a los agentes a proporcionar un soporte más personalizado.
-
email: (requerido) la dirección de correo electrónico del usuario que está iniciando sesión. Debe ser única para el usuario.
Hágala coincidir con la dirección de correo electrónico principal del usuario en el espacio de trabajo de agente. No se permite incluir una dirección de correo electrónico secundaria en los JWT.
-
email_verified: (opcional) dato que indica si el usuario final en cuestión ha probado que es dueño de la dirección de correo electrónico. Si desea que los usuarios finales tengan identidades de correo electrónico verificadas, los JWT que emita deberán contener la declaración
email
y la declaración"email_verified": true
.
{
"external_id": "12345678",
"email": "janes@soap.com",
"email_verified": true,
"name": "Jane Soap",
"scope": "user"
}
Resolver los conflictos entre las ID externas y los correos electrónicos en los JWT
Zendesk utiliza la ID externa como el identificador principal, y las direcciones de correo electrónico se usan solo si no se encuentra ninguna coincidencia para la ID externa. Sin embargo, si una dirección de correo electrónico presentada en un JWT ya está asociada con una ID externa distinta, Zendesk rechaza el JWT y el intento de inicio de sesión del usuario final falla. Cuando esto sucede, la conversación comienza con el usuario en un estado no autenticado.
- Actualice el JWT para que use un valor
external_id
o una direcciónemail
diferente.O BIEN
- Borre al usuario que tiene la
external_id
problemática para que esta quede libre y pueda usarla otro usuario final. Consulte Delete User in the Sunshine Conversations API.