Su seguridad es importante para nosotros. A pesar de que Zendesk no puede ver los detalles de su configuración, hace poco tuvo conocimiento de un posible riesgo que afecta a los clientes que no verifican las direcciones de correo electrónico de los usuarios a través de su proveedor de identidad en el momento de activar el inicio de sesión único (SSO) como un método de autenticación. Por lo tanto, un usuario podía registrarse a sí mismo con un proveedor de identidad y posiblemente dejar las cuentas expuestas a un riesgo.
¿Cuál es el riesgo?
Cuando se usa SAML o JWT para SSO en Zendesk, es responsabilidad suya verificar la identidad de sus administradores, agentes y usuarios finales para asegurarse de que solo los usuarios verificados puedan tener acceso a su cuenta de Zendesk Support o su Centro de ayuda.
Si los usuarios pueden registrarse en la solución de SSO con un correo electrónico elegido por ellos, y el correo electrónico de la cuenta recién creada no es verificado por el proveedor de identidad, quiere decir que también podrían autenticarse en Zendesk con esa cuenta a través de la solución de SSO. Posteriormente, un usuario podría utilizar la cuenta no verificada para obtener acceso a los tickets de Zendesk que puedan estar asociados con la dirección de correo electrónico de la cuenta no verificada.
¿Qué me recomiendan hacer?
Recomendamos encarecidamente que se ponga de acuerdo con el proveedor de identidad externo o el desarrollador de la configuración actual de SSO para asegurarse de que se verifique el correo electrónico para el registro de las cuentas de usuarios finales, agentes y administradores.
Cuando los usuarios se registran con usted, es importante exigirles que verifiquen que ellos son los dueños del correo electrónico utilizado. Normalmente, la verificación se hace enviándoles un correo electrónico con un vínculo que pueden utilizar para confirmar la dirección de correo electrónico que utilizan para el registro.
Se puede establecer que algunos proveedores de identidad se encarguen de garantizar la verificación del correo electrónico. A continuación puede ver instrucciones sobre cómo verificar direcciones de correo electrónico con algunos proveedores de identidad conocidos y soluciones de SSO:
- Auth0
- Use la regla email verified para forzar la verificación del correo electrónico. Si desea más información, consulte: https://auth0.com/rules/email-verified
-
Okta
- Compruebe que esté activada la opción User must verify the email address to be activated a la hora de configurar el flujo de trabajo para el autoregistro. Para obtener más información, consulte: Activar y configurar una política de registro de autoservicio
-
LogMeOnce
- Cuando configure Zendesk con LogMeOnce, asegúrese de seleccionar Yes para la opción Only Verified Accounts.
Descargo de responsabilidad de la traducción: Este artículo ha sido traducido usando software de traducción automática para proporcionar una idea básica del contenido. Se han realizado esfuerzos razonables para proporcionar una traducción exacta, sin embargo, Zendesk no garantiza la exactitud de la traducción.
Si surge alguna pregunta relacionada con la exactitud de la información incluida en el artículo traducido, consulte la versión en inglés del artículo, que es la versión oficial.
0 comentarios