| Suite | Toutes les éditions |
Si vous fournissez une assistance conversationnelle, il est possible que les utilisateurs veuillent avoir une conversation sur plusieurs appareils et plusieurs canaux. En authentifiant les utilisateurs finaux, vous pouvez vous assurer que tous les points de contact sont associés au bon utilisateur final. Cela peut améliorer la qualité de l’assistance que fournissent vos agents et renforcer la sécurité des informations sensibles qui peuvent être révélées lors des interactions d’assistance.
- Terminologie de l’authentification dans la messagerie
- Aperçu de l’implémentation de l’authentification dans la messagerie pour les utilisateurs finaux
- Création et partage d’une clé de connexion
- Authentification des utilisateurs finaux avec un ID externe uniquement
- Incorporation des identités d’adresses e-mail à l’authentification de vos utilisateurs
- Résolution des conflits entre les ID externes et les e-mails dans les JWT
Article connexe : Authentification des utilisateurs dans la messagerie
Terminologie de l’authentification dans la messagerie
- JWT : Zendesk utilise des tokens Web JSON (JWT) signés pour l’authentification des utilisateurs finaux dans la messagerie. Ces tokens contiennent des détails qui vérifient l’identité des utilisateurs finaux. Pour en savoir plus sur JWT, consultez jwt.io.
- Clé de connexion : une clé de connexion est créée par un administrateur Zendesk dans le Centre d’administration et partagée avec un développeur dans votre équipe qui l’utilise alors pour signer le token Web JSON (JWT) en fonction des besoins.
- ID externe : une chaîne alphanumérique, comme un ID provenant d’un système externe, qui est unique à chaque utilisateur. C’est l’identifiant principal pour l’authentification dans la messagerie, même quand une adresse e-mail est incluse au JWT.
- Nom d’utilisateur : (facultatif) le nom de l’utilisateur final associé à l’ID externe ou l’adresse e-mail. Si vous incluez le nom d’utilisateur au JWT, il s’affiche dans l’espace de travail d’agent. Ces informations peuvent aider les agents à communiquer avec les utilisateurs finaux.
- E-mail : (facultatif) l’adresse e-mail unique associée à un utilisateur final.
Aperçu de l’implémentation de l’authentification dans la messagerie pour les utilisateurs finaux
Zendesk utilise les tokens Web JSON (JWT) pour authentifier les utilisateurs de la messagerie, ce qui fournit un moyen souple de vérifier l’identité des utilisateurs et de sécuriser les points de terminaison des API.
- Pour commencer le processus d’authentification dans la messagerie, un administrateur doit générer une clé de connexion et la fournir à un développeur. Ensuite, le développeur utilise cette clé de connexion pour implémenter un service de backend capable de créer des JWT pour les utilisateurs.
- Quand nécessaire, ce service de backend crée et renvoie des JWT signés à votre site Web ou votre application mobile. Les JWT créés par ce service doivent inclure un ID externe unique et, facultativement, une adresse e-mail pour permettre l’identification de l’utilisateur final.
- Chaque fois qu’un utilisateur est connecté, votre site Web ou votre application doivent appeler une API de connexion équivalente, disponible pour le Web Widget et les Mobile SDK, et à ce moment-là, le JWT est transféré à Zendesk pour que le système vérifie l’identité prétendue de l’utilisateur.
Pour plus d’informations, en particulier pour les développeurs de votre équipe, consultez Enabling authenticated visitors for messaging with Zendesk SDKs ou regardez cette vidéo :
Authentification des utilisateurs finaux dans la messagerie Web (17:22)
Création et partage d’une clé de connexion
Les clés de connexion sont utilisées par les développeurs pour créer des JWT pour les utilisateurs finaux. Vous devez être administrateur pour créer une clé de connexion. Vous pouvez créer un maximum de 10 clés. Si vous essayez de créer une nouvelle clé après avoir atteint cette limite, vous êtes invité à supprimer les clés inutilisées.
- Dans le Centre d’administration, cliquez sur Compte (
) dans la barre latérale, puis sélectionnez Sécurité > Authentification des utilisateurs finaux. - Cliquez sur l’onglet Messagerie, puis sur Créer une clé.
Si vous créez votre première clé, Créer une clé s’affiche en bas de la page et sinon, en haut à droite de la page.
- Saisissez un nom pour la clé et cliquez sur Suiv.
- À l’invite, cliquez sur Copier pour copier le secret partagé.
La clé est enregistrée et un ID est affecté automatiquement. Vous pouvez trouver l’ID d’une clé dans la liste des clés de l’onglet Messagerie à la page d’authentification des utilisateurs finaux.
- Envoyez l’ID de la clé et le secret partagé que vous avez copié à votre développeur de façon confidentielle.
- Cliquez sur Masquer la clé définitivement.
Authentification des utilisateurs finaux avec un ID externe uniquement
Pour authentifier un utilisateur final, vous devez fournir un ID externe dans les JWT que vous émettez pour les utilisateurs. Zendesk utilise l’ID externe fourni dans un JWT comme identifiant principal pour l’authentification des utilisateurs dans la messagerie. Lors de l’authentification d’un utilisateur, Zendesk commence par comparer un utilisateur existant à l’ID externe. Si une adresse e-mail est incluse dans le JWT, elle est utilisée pour vérifier l’identité de l’utilisateur uniquement lorsqu’aucun utilisateur existant ne correspond à l’ID externe.
Signature des JWT avec un ID externe uniquement
- external_id : (obligatoire) une chaîne alphanumérique unique qui peut être utilisée pour identifier chaque utilisateur. Consultez Sélection de l’ID externe à utiliser dans les JWT émis pour les utilisateurs.
-
scope : (obligatoire) la portée d’accès de l’appelant. La seule valeur valide est
user. - name : (facultatif) le nom de l’utilisateur. L’inclusion du nom à la charge utile du JWT permet à Zendesk d’afficher le nom de l’utilisateur dans l’espace de travail d’agent et aide vos agents à fournir une assistance plus personnalisée.
{
"external_id": "12345678",
"scope": "user",
"name": "Jane Soap"
}Sélection de l’ID externe à utiliser dans les JWT émis pour les utilisateurs
- Un ID externe doit être une chaîne alphanumérique.
- Un ID externe ne doit pas dépasser 255 caractères.
- L’ID externe de chaque utilisateur doit être unique au niveau du compte.
Si votre compte a plusieurs marques, les ID externes doivent être uniques dans l’ensemble des marques.
- L’ID externe d’un utilisateur ne doit jamais changer.
- Un seul ID externe peut être affecté à chaque utilisateur.
Voici quelques exemples de bons ID externes : un ID incrémental ou aléatoire affecté au moment du contact initial (exemple : usr_12345) ou, dans le cas de plusieurs marques, un ID spécifique à la marque associé à un ID incrémental ou aléatoire affecté (exemple : marque1_a8dedg).
Évitez d’utiliser l’adresse e-mail et le numéro de téléphone de l’utilisateur, car ils peuvent changer et les utilisateurs peuvent avoir plusieurs valeurs. Évitez aussi d’utiliser le nom de l’utilisateur, car il peut ne pas être unique.
Incorporation des identités d’adresses e-mail à l’authentification de vos utilisateurs
- Les utilisateurs authentifiés le sont via des JWT signés.
L’utilisation de JWT signés fournit une approche sûre et fiable, car les utilisateurs finaux ne peuvent pas falsifier leur contenu. Si les attaques d’usurpation d’identité vous préoccupent, associez les identités d’adresse e-mail aux utilisateurs finaux authentifiés uniquement. C’est l’option la plus sécurisée et la configuration par défaut pour tous les nouveaux comptes Zendesk.
- Les utilisateurs non authentifiés sont les utilisateurs finaux qui fournissent une adresse e-mail à l’invite d’un bot Zendesk.
Attention, si vous autorisez l’utilisation des identités d’adresses e-mail pour les utilisateurs non authentifiés, vous vous exposez à ce que des utilisateurs se fassent passer pour d’autres en fournissant une adresse e-mail qui ne leur appartient pas.
Le graphique suivant montre comment les identités d’adresses e-mail peuvent être utilisées dans votre processus d’authentification pour la messagerie :
Configuration des identités d’adresses e-mail
Avec le Web Widget ou les applications mobiles, l’utilisateur peut fournir son adresse e-mail en réponse à un formulaire ou un prompt de l’agent IA. Dans ce cas, rien n’empêche un utilisateur malveillant de fournir l’adresse e-mail de quelqu’un d’autre pour essayer de se faire passer pour cette personne. Cependant, l’utilisation des JWT pour authentifier les utilisateurs avec les ID externes ET les identités d’adresses e-mail est une façon plus sûre d’affecter des adresses e-mail aux utilisateurs.
En fonction de vos paramètres, les agents peuvent voir les adresses e-mail recueillies et celles fournies par les JWT dans les profils d’utilisateur. Avec les nouveaux comptes Zendesk, les identités d’adresses e-mail sont activées et configurées de façon à n’utiliser que des adresses e-mail vérifiées. C’est l’option la plus sécurisée. Les comptes plus anciens sont configurés de façon à utiliser les adresses e-mail vérifiées et non vérifiées.
- Dans le Centre d’administration, cliquez sur l’icône Canaux (
) dans la barre latérale, puis sélectionnez Messagerie et réseaux sociaux > Messagerie. - Cliquez sur Gérer les paramètres.
- Cliquez sur Identités d’adresses e-mail, puis sélectionnez l’une des options ci-dessous :
- Utiliser uniquement des adresses e-mail vérifiées : (par défaut) les identités d’adresse e-mail sont créées uniquement pour les utilisateurs qui sont authentifiés et ont une adresse e-mail vérifiée incluse dans leur JWT émis.
- Utiliser des adresses e-mail vérifiées et non vérifiées : en plus des identités d’adresses e-mail pour les utilisateurs authentifiés avec des adresses e-mail vérifiées visibles dans les profils d’utilisateur, les adresses e-mail non vérifiées fournies par les utilisateurs via les workflows d’agent IA sont également ajoutées à leurs profils d’utilisateur.
- (déconseillé) Si vous voulez que tous les utilisateurs, même les utilisateurs non authentifiés, puissent revendiquer les adresses e-mail vérifiées, sélectionnez Un utilisateur non authentifié peut revendiquer des adresses e-mail vérifiées.
- Cliquez sur Enregistrer les paramètres.
Utiliser uniquement des adresses e-mail vérifiées
Les identités d’adresse e-mail sont créées uniquement pour les utilisateurs qui sont authentifiés et ont une adresse e-mail vérifiée incluse dans leur JWT émis.
Avec cette option, l’agent voit l’adresse e-mail fournie par l’utilisateur non authentifié dans l’historique de conversations, mais il ne voit pas d’identité d’adresse e-mail associée à l’utilisateur. Si un agent a besoin d’envoyer un e-mail de suivi à un utilisateur non authentifié, il doit ajouter l’identité d’adresse e-mail à cet enregistrement d’utilisateur manuellement.
Utiliser des adresses e-mail vérifiées et non vérifiées
en plus des identités d’adresses e-mail pour les utilisateurs authentifiés avec des adresses e-mail vérifiées visibles dans les profils d’utilisateur, les adresses e-mail non vérifiées fournies par les utilisateurs via les workflows d’agent IA sont également ajoutées à leurs profils d’utilisateur.
Cette option est moins sûre, car des utilisateurs malveillants pourraient encore essayer de commettre des attaques d’usurpation d’identité. Cependant, les agents peuvent inspecter les profils d’utilisateur pour déterminer si une adresse e-mail est vérifiée. Les adresses e-mail non vérifiées sont clairement indiquées dans l’espace de travail d’agent. Quand les agents ont besoin d’envoyer des e-mails de suivi, il peut leur être demandé de vérifier l’utilisateur final à l’aide de questions de sécurité afin d’accroître la chance que l’utilisateur final soit bien qui il prétend être,
| Ordre des événements | Événement | Identité d’adresse e-mail résultante |
|---|---|---|
| 1 | Un utilisateur non authentifié fournit une adresse e-mail recueillie dans un formulaire, par exemple, alice@exemple.org. | Zendesk crée un nouvel utilisateur non authentifié (id : 12345) avec l’identité d’adresse e-mail non vérifiée (alice@exemple.org). |
| 2 | Un JWT est émis pour un utilisateur authentifié et contient les informations suivantes :
|
Zendesk crée un nouvel utilisateur authentifié (id : 22345) avec une identité d’adresse e-mail vérifiée (alice@exemple.org). L’utilisateur non authentifié (id : 12345) perd son identité d’adresse e-mail non vérifiée, car elle a été remplacée par une identité vérifiée. |
Autoriser les utilisateurs non authentifiés à revendiquer des adresses e-mail vérifiées (déconseillé)
Contrairement aux autres options d’identité d’adresse e-mail, ce paramètre permet aux utilisateurs d’adopter l’identité d’un utilisateur authentifié en fournissant simplement l’adresse e-mail de cet utilisateur quand ils y sont invités. Quand cette option est sélectionnée, les adresses e-mail vérifiées ne remplacent pas les adresses e-mail non vérifiées.
Cette option est la moins sûre et est plus vulnérable aux attaques d’usurpation d’identité. Cependant, les agents consciencieux peuvent malgré tout détecter un imposteur en cherchant la coche verte dans le profil de l’utilisateur et en regard de ses messages, qui indique si l’utilisateur est authentifié.
Quand vous sélectionnez cette option, le statut de vérification des identités d’adresses e-mail recueillies à partir des canaux de messagerie n’est plus fiable, car un imposteur peut arriver après l’authentification d’un utilisateur et prendre possession de son statut d’adresse e-mail dans une interaction de messagerie ultérieure. Cela signifie que les attaques d’usurpation d’identité ont plus de chances de réussir et les agents n’ont que de moyens limités de savoir si l’utilisateur final est vraiment qui il prétend être. Cependant, les identités d’adresses e-mail vérifiées ont toujours préséance sur les identités d’adresses e-mail non vérifiées, et l’identité d’adresse e-mail est supprimée de l’enregistrement d’utilisateur de l’imposteur.
Émission de JWT avec les adresses e-mail
- external_id : (obligatoire) une chaîne alphanumérique unique qui peut être utilisée pour identifier chaque utilisateur. Consultez Sélection de l’ID externe à utiliser dans les JWT émis pour les utilisateurs.
-
scope : (obligatoire) la portée d’accès de l’appelant. La seule valeur valide est
user. - name : (facultatif) le nom de l’utilisateur. L’inclusion du nom à la charge utile du JWT permet à Zendesk d’afficher le nom de l’utilisateur dans l’espace de travail d’agent et aide vos agents à fournir une assistance plus personnalisée.
-
email : (obligatoire) adresse e-mail de l’utilisateur en cours de connexion. Elle doit être unique à l’utilisateur.
Configurez l’adresse e-mail pour qu’elle corresponde à l’adresse e-mail principale de l’utilisateur dans l’espace de travail d’agent. L’inclusion d’adresses e-mail secondaires aux JWT n’est pas prise en charge.
-
email_verified : (facultatif) indique si l’utilisateur final en question a prouvé qu’il est propriétaire de l’adresse e-mail. Si vous voulez que les utilisateurs finaux aient des identités d’adresses e-mail vérifiées, les JWT que vous émettez doivent contenir les revendications
emailET"email_verified": true.
{
"external_id": "12345678",
"email": "janes@soap.com",
"email_verified": true,
"name": "Jane Soap",
"scope": "user"
}Résolution des conflits entre les ID externes et les e-mails dans les JWT
Zendesk utilise l’ID externe comme identifiant principal et les adresses e-mail ne sont utilisées que si aucune correspondance n’est trouvée pour l’ID externe.
Il est préférable d’implémenter l’authentification dans la messagerie en essayant d’éviter les conflits. Par exemple, choisissez vos ID externes et paramètres d’e-mail dans Zendesk pour éviter tout conflit. Mais, si l’adresse e-mail présentée dans un JWT est déjà associée à un autre ID externe, Zendesk refuse le JWT et la tentative de connexion de l’utilisateur final échoue. Dans ce cas, la conversation commence avec l’utilisateur dans un statut non authentifié.
- Mettez le JWT à jour pour qu’il utilise une autre valeur
external_idou adresseemail.OU
- Supprimez l’utilisateur avec la valeur
external_idà l’origine du conflit, ce qui la libère et permet à un autre utilisateur de s’en servir. Consultez la section sur la suppression d’un utilisateur dans l’API Sunshine Conversations.
0 commentaire