Résumé ◀▼
Vous pouvez restreindre l’accès à votre compte en autorisant uniquement des adresses IP ou des plages spécifiques, ce qui bloque les connexions, les appels API et l’accès aux pages aux autres adresses IP. Vous pouvez autoriser les clients à passer outre ces restrictions, mais pas les agents ni les administrateurs. N’oubliez pas d’inclure toutes les adresses IP externes pour les intégrations. Certains points de terminaison non documentés demeurent accessibles quelles que soient les restrictions et il est donc conseillé de bien réfléchir aux implications du point de vue de la sécurité.
Lieu : Centre d’administration > Compte > Sécurité > Avancée
Vous pouvez restreindre l’accès à Zendesk aux utilisateurs dans une plage d’adresses IP spécifiée. Vous pouvez aussi restreindre l’accès à des utilisateurs avec des adresses IP spécifiques. Cela signifie que toute tentative d’appel API, de connexion ou d’accès aux pages dans n’importe quel produit Zendesk échouera si elle ne provient pas des adresses IP que vous avez approuvées. Par exemple, pour restreindre l’accès aux utilisateurs faisant partie de votre entreprise, autorisez uniquement l’accès à partir des adresses IP de votre entreprise.
Vous pouvez aussi autoriser les clients (mais pas les agents ni les administrateurs) à passer outre les restrictions IP. Les restrictions IP que vous gérez dans le Centre d’administration s’appliquent à tous les produits Zendesk et toutes les applications Zendesk mobiles. Les restrictions peuvent aussi affecter le fonctionnement d’autres produits, comme les pièces jointes Gmail.
Remarque – L’activation des restrictions d’accès basées sur IP peut affecter les intégrations tierces. N’oubliez pas d’inclure toutes les IP externes devant accéder à votre compte par le biais de l’API Zendesk.
Pour définir une restriction IP
- Dans le Centre d’administration, cliquez sur l’icône Compte (
) dans la barre latérale, puis sélectionnez Sécurité > Avancée. - Cliquez sur l’onglet Restrictions IP.
- Sélectionnez Activer les restrictions IP, puis saisissez les plages IP autorisées, qui peuvent inclure des plages ou des adresses IP individuelles.
Quand vous spécifiez les adresses ou les plages IP, séparez-les par des espaces.
Il existe deux méthodes pour spécifier une plage :- Utilisez des caractères génériques astérisque (*). Une adresse IP se compose de quatre nombres séparés par des points, par exemple 192.168.0.1. Vous pouvez remplacer n’importe quel nombre par un seul astérisque pour indiquer à Zendesk d’accepter n’importe quelle valeur à cette place. Par exemple, 192.*.*.* autorise toutes les adresses IP commençant par 192.
- Utilisez la syntaxe de masque de sous-réseau IP. Par exemple, 192.168.1.0/25 spécifie toutes les adresses IP entre 192.168.1.0 et 192.168.1.127.
Vous ne pouvez pas spécifier de plages IP avec une valeur CIDR (Classless Inter-Domain Routing) de 0. Par exemple, si vous spécifiez 10.0.0.0/0, le /0 n’est pas valide.
- (Facultatif) Sélectionnez Autoriser les clients à contourner les restrictions IP.
Cette option permet de garantir que vos clients peuvent accéder à votre centre d’aide et aux canaux de messagerie quelle que soit leur adresse IP, même si elle ne se trouve pas dans la plage d’adresses IP autorisées.
Les agents et les administrateurs ne peuvent pas passer outre les restrictions IP.
- (facultatif) Si votre implémentation implique des services tiers (des bots externes, par exemple), n’oubliez pas d’inclure leurs adresses IP à la liste autorisée.
- Cliquez sur Enregistrer.
Points de terminaison non documentés
Certains points de terminaison non documentés échappent aux restrictions IP et il se peut qu’ils soient accessibles à partir de n’importe quel emplacement réseau, quelles que soient les restrictions IP en vigueur. Vérifiez soigneusement ces points de terminaison et réfléchissez à toutes les implications pour la sécurité avant de les utiliser.
Remarque –
Ces points de terminaison sont considérés comme non pris en charge et Zendesk ne sera pas responsable des conséquences ou pertes découlant de leur utilisation. Consultez cet article sur les API non documentées.
| Point de terminaison | Raison d’exemption |
|---|---|
| /api/v2/pcm/campaign_analytics | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /api/v2/pcm/campaign_list | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /api/v2/pcm/campaign/{campaign-id} | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable_blip | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/api/accounts/sunco_app | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/api/internal/admin/brand_config_sets.json | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/api/internal/admin/brand_config_sets/default.json | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/api/internal/admin/brands | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/api/internal/admin/brands.json | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/api/internal/admin/integrations/{integrations-id} | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/api/internal/brands.json | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/api/internal/config_sets | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/api/internal/config_sets.json | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/api/sdk_channels | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/api/sdk_channels/{sdk_channels-id} | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/api/sdk_channels/lookup/sunco/{sunco-id} | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/campaigns/{campaigns-id} | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/config | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/messaging/custom_ticket_fields | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /embeddable/preview/config | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /frontendevents/dl | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /frontendevents/pca | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /frontendevents/pv | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /mobile_sdk_api/settings/{settings-id}.json | L’accès public à ce point de terminaison d’analyses de messagerie est nécessaire pour le recueil de données et la production de rapports par des systèmes externes, |
| /chat/static/css/style_language.less | Ce point de terminaison fournit une ressource statique partagée, requise par tous les comptes. Les restrictions IP ne sont pas possibles sans un remaniement important. |
| /chat/static/css/style_simulatev2.less | Ce point de terminaison fournit une ressource statique partagée, requise par tous les comptes. Les restrictions IP ne sont pas possibles sans un remaniement important. |
| /chat/static/css/style_variables.less | Ce point de terminaison fournit une ressource statique partagée, requise par tous les comptes. Les restrictions IP ne sont pas possibles sans un remaniement important. |
| /voice/calls/ivr_keypress/{ivr_keypress-id} | L’infrastructure de Twilio doit pouvoir accéder à ce point de terminaison pour prendre en charge les workflows d’appels essentiels. L’application de restrictions IP perturberait les fonctionnalités de l’intégration. |
| /voice/calls/ivr_menu/{ivr_menu-id} | L’infrastructure de Twilio doit pouvoir accéder à ce point de terminaison pour prendre en charge les workflows d’appels essentiels. L’application de restrictions IP perturberait les fonctionnalités de l’intégration. |
| /voice/failover/v3/on_exception | L’infrastructure de Twilio doit pouvoir accéder à ce point de terminaison pour prendre en charge les workflows d’appels essentiels. L’application de restrictions IP perturberait les fonctionnalités de l’intégration. |
| /voice/verifications/status/{status-id} | L’infrastructure de Twilio doit pouvoir accéder à ce point de terminaison pour prendre en charge les workflows d’appels essentiels. L’application de restrictions IP perturberait les fonctionnalités de l’intégration. |
| /flow_composer/assets/bot-avatar/{bot-avatar-id} | Ce point de terminaison fournit des images d’avatars pour les bots. La fourniture de ressources centralisée doit rester ouvertement accessible pour assurer la compatibilité avec tous les clients et tous les produits Zendesk. |
| /ips | Ce point de terminaison fournit des informations IP d’entrée (ingress) et de sortie (egress) pour la configuration du pare-feu des clients. Il doit rester accessible de l’extérieur pour permettre les opérations et les intégrations des clients. |
| /api/v2/rapid_resolve/fetch | Ce point de terminaison assistant nécessite un token d’authentification et un identifiant d’article pour l’accès, ce qui garantit qu’une utilisation non autorisée est impossible. Une invocation ouverte est nécessaire pour prendre en charge les workflows techniques, comme les widgets de commentaires. |
| /theming/api/internal/s3_upload_tracking | Ce point de terminaison reçoit des notifications provenant d’Amazon Simple Notification Service (AWS SNS) au sujet des événements de mise à jour des thèmes et utilise l’authentification de signature SNS. L’accès public est nécessaire pour activer l’intégration avec les services AWS. |
| /integrations/outlook/finish | Ce point de terminaison est requis pour terminer le processus d’authentification Outlook avec le service cloud Microsoft. L’accès public est nécessaire pour prendre en charge la connexion unique et les fonctionnalités de redirection. |
| /api/services/talk_recordings/recordings/{recordings-id} | Ce point de terminaison prend en charge l’ancienne intégration d’enregistrement pendant la migration vers le produit Centre d’appels. Il restera ouvert pendant toute la période de transition. |
| /api/v2/zorgtest/zorgheaders | Ce point de terminaison est utilisé pour les tests d’intégration. L’application de restrictions d’accès bloquerait la validation automatisée. |
| /api/v2/zorgtest | Ce point de terminaison est exclusivement utilisé pour les tests d’intégrations et les vérifications de santé des systèmes internes. L’application de restrictions IP empêcherait l’automatisation et les équipes d’ingénierie d’accéder au point de terminaison. |
| /flow_director/smooch/v2/webhook | L’accès public au point de terminaison du webhook est nécessaire pour l’intégration avec des services de messagerie externes. L’authentification est gérée par le biais de l’utilisation de clés de webhook uniques. |
| Tous les points de terminaison de déconnexion | Les points de terminaison de déconnexion doivent rester accessibles publiquement pour permettre aux utilisateurs de mettre fin à leurs séances en toute sécurité à partir de n’importe quel emplacement réseau. |