L’autenticazione degli utenti finali è importante per molti scopi aziendali. Quando forniscono assistenza conversazionale, gli utenti potrebbero provare a portare avanti una conversazione tra dispositivi e canali. Autenticando gli utenti finali, puoi assicurarti che tutti i punti di contatto siano associati all’utente finale corretto. Ciò può migliorare la qualità dell’assistenza fornita dagli agenti e aumentare la sicurezza delle informazioni sensibili che potrebbero emergere mentre gli agenti assistono gli utenti finali.
Informazioni sull’autenticazione degli utenti finali per la messaggistica
- Crescente certezza che gli utenti finali con cui i tuoi agenti stanno parlando siano quelli che affermano di essere.
- Identificazione di un singolo utente su tutti i canali se incorpori il widget in più domini o ti colleghi a servizi esterni, come Shopify.
- Identificazione di un singolo utente su diversi dispositivi e browser.
Terminologia per l’autenticazione della messaggistica
- JWT: Zendesk usa JSON Web Token (JWT) firmati per autenticare gli utenti finali per la messaggistica. Questi token contengono dettagli che verificano l’identità degli utenti finali. Per ulteriori informazioni su JWT, consulta jwt.io.
- Chiave di firma: una chiave di firma viene creata da un amministratore Zendesk nel Centro amministrativo e condivisa con uno sviluppatore del team, che la usa per firmare il JWT, se necessario.
- ID esterno: una stringa alfanumerica, come il nome utente o l’ID di un sistema esterno, univoca per ciascun utente.
- Nome utente: (Facoltativo) il nome dell’utente finale associato all’ID esterno o all’indirizzo email. Se includi il nome dell’utente nel JWT, viene visualizzato nello spazio di lavoro agente. Queste informazioni possono aiutare gli agenti a comunicare con gli utenti finali.
- Email: (Facoltativo) l’indirizzo email univoco associato a un utente finale.
Panoramica dell’implementazione dell’autenticazione della messaggistica per gli utenti finali
- Il processo di autenticazione della messaggistica inizia con un amministratore che genera una chiave di firma e la fornisce a uno sviluppatore. Quindi lo sviluppatore usa la chiave di firma per implementare un servizio di back-end in grado di creare JWT firmati per gli utenti come richiesto.
- Quando richiesto, il servizio di back-end crea e restituisce i JWT firmati al tuo sito web o all’app per dispositivi mobili. I JWT creati da questo servizio devono includere un ID esterno univoco e, facoltativamente, un indirizzo email per identificare l’utente finale.
- Ogni volta che l’utente effettua l’accesso, il sito web o l’app deve chiamare un’API di accesso equivalente disponibile per i widget web e gli SDK per dispositivi mobili, dopodiché il JWT viene passato a Zendesk per verificare l’identità dichiarata dell’utente.
Requisiti per l’autenticazione degli utenti finali per la messaggistica
- Lo spazio di lavoro agente Zendesk è attivato.
- Stai usando il widget web o i canali dell’SDK per dispositivi mobili per la messaggistica.
- Associa le identità email agli utenti finali.
- Se vuoi che gli utenti autenticati dispongano di identità email verificate, i JWT che invii agli utenti finali devono contenere entrambi i reclami
email
eemail_verified: true
.
Agent experience durante l’autenticazione degli utenti finali di messaggistica
Gli agenti vedono un’icona con un segno di spunta verde accanto al nome del visitatore quando l’utente finale viene autenticato. Se usi ID esterni per identificare in modo univoco gli utenti finali, quel valore appare accanto al profilo dell’utente.
Inoltre, ogni risposta pubblicata da un utente finale dopo l’autenticazione è contrassegnata dall’icona del segno di spunta.
Esperienza utente finale con l’autenticazione per la messaggistica
Dopo aver implementato l’autenticazione degli utenti finali per la messaggistica, gli utenti finali non dovrebbero notare molte differenze. Dopo che sono stati autenticati e la loro identità è stata verificata con Zendesk, agli utenti finali non viene chiesto di fornire il proprio nome o indirizzo email dai bot di messaggistica come parte della risposta di messaggistica predefinita.
Le conversazioni per gli utenti finali autenticati vengono sincronizzate su tutti i dispositivi quando l’utente finale viene autenticato. Inoltre, se un utente finale si autentica a metà conversazione, la conversazione anonima creata prima dell'accesso viene unita automaticamente alla conversazione autenticata per fornire continuità conversazionale.
Creazione e condivisione di una chiave di firma
Le chiavi di firma vengono usate dagli sviluppatori per creare JWT per gli utenti finali. Per creare una chiave di firma, devi essere un amministratore. Puoi creare un massimo di 10 chiavi. Se tenti di creare una nuova chiave dopo aver raggiunto il limite di 10, ti verrà chiesto di eliminare le chiavi inutilizzate.
- Nel Centro amministrativo, fai clic su Account nella barra laterale, quindi seleziona Sicurezza > Autenticazione utenti finali.
- Fai clic sulla scheda Messaggistica, quindi su Crea chiave.
Se stai creando la tua prima chiave, nella parte inferiore della pagina viene visualizzato Crea chiave. In caso contrario, appare nell’angolo in alto a destra.
- Inserisci un nome per la chiave e fai clic su Avanti.
- Quando richiesto, fai clic su Copia per copiare il segreto condiviso, quindi fai clic su Nascondi chiave per sempre.
La chiave viene salvata e viene assegnato automaticamente un ID. Puoi trovare l’ID di una chiave nell’elenco delle chiavi nella scheda Messaggistica della pagina Autenticazione utente finale.
- Invia in modo riservato l’ID della chiave e il segreto condiviso copiato allo sviluppatore.
Autenticazione degli utenti finali con un ID esterno
- external_id: (Obbligatorio) questa è la stringa alfanumerica univoca che può essere usata per identificare ciascun utente. In genere, questi ID provengono da sistemi esterni. Un ID non può superare i 255 caratteri.
-
scope: (Obbligatorio) ambito di accesso del chiamante. L’unico valore valido è
user
. - name: (Facoltativo) il nome dell’utente. L’inclusione del nome nel payload JWT consente a Zendesk di visualizzare il nome dell’utente nello spazio di lavoro agente e consente agli agenti di fornire un’assistenza più personalizzata.
{
"external_id": "12345678",
"scope": "user",
"name": "Jane Soap"
}
Autenticazione degli utenti finali con identità email
- Gli utenti autenticati vengono autenticati tramite JWT firmati.
L’uso dei JWT offre un approccio affidabile perché il contenuto di un JWT firmato non può essere manomesso dagli utenti finali. Se gli attacchi di impersonificazione ti preoccupano, dovresti limitare le identità email agli utenti finali autenticati. Questa è l’opzione più sicura ed è l’approccio predefinito per i nuovi account Zendesk.
- Gli utenti non autenticati sono utenti finali che forniscono un indirizzo email in risposta alla richiesta di un bot Zendesk.
Tieni presente che consentire l’uso di identità email per utenti non autenticati può renderti vulnerabile alle persone che si spacciano per altri utenti fornendo un indirizzo email di cui non sono proprietari.
Configurazione delle identità email
Un amministratore deve attivare le identità email e configurare il modo in cui usarle.
- Nel Centro amministrativo, fai clic su Canali nella barra laterale, quindi seleziona Messaggistica e social > Messaggistica.
- Fai clic su Gestisci impostazioni.
- Fai clic su Identità email, quindi seleziona una delle seguenti opzioni:
-
Usa solo email verificate: le identità email vengono create solo per gli utenti autenticati che hanno un indirizzo email verificato incluso nel JWT emesso. Gli agenti possono comunque aggiungere manualmente un’identità email a un record utente.
Con questa opzione, gli agenti vedono l’indirizzo email fornito dagli utenti finali non autenticati nella cronologia chat, ma non vedranno un’identità email allegata all’utente. Se un agente deve contattare un utente non autenticato tramite email, deve aggiungere manualmente l’identità email a quel record utente. Se l’indirizzo email dell’utente non autenticato esiste già in un altro record utente, l’agente ha la possibilità di unire i due record utente.
-
Usa sia indirizzi verificati che non verificati: le identità email vengono create sia per gli utenti autenticati che hanno un indirizzo email verificato nel proprio JWT, sia per gli utenti non autenticati che forniscono indirizzi email tramite flussi di bot. Con questa opzione, è più probabile che gli agenti trovino l’indirizzo email dell’utente finale nella scheda Dati essenziali e le identità email per gli indirizzi email non verificati sono chiaramente contrassegnate come non verificate nello spazio di lavoro agente. Quando necessario, gli agenti possono chiedere agli utenti finali di autenticarsi se devono inviare email di follow-up.
In caso di conflitto, le identità email verificate sostituiscono le identità email non verificate.
-
Usa solo email verificate: le identità email vengono create solo per gli utenti autenticati che hanno un indirizzo email verificato incluso nel JWT emesso. Gli agenti possono comunque aggiungere manualmente un’identità email a un record utente.
- (Facoltativo, ma non consigliato) Se vuoi che qualsiasi utente, anche non autenticato, possa rivendicare indirizzi email verificati, seleziona Gli utenti non autenticati possono rivendicare indirizzi email verificati.
Quando selezioni questa opzione, lo stato di verifica delle identità email raccolte dai canali di messaggistica non è più affidabile perché un impostore può presentarsi dopo che un utente è stato autenticato e prendere possesso del suo stato email in una successiva interazione di messaggistica. Ciò significa che gli attacchi di impersonificazione hanno maggiori probabilità di successo e gli agenti hanno mezzi limitati per sapere se l’utente finale è chi afferma di essere.
- Fai clic su Salva impostazioni.
Emissione di JWT con indirizzi email
-
external_id: (Obbligatorio) questa è la stringa alfanumerica univoca che può essere usata per identificare ciascun utente. In genere, questi ID provengono da sistemi esterni. Un ID non può superare i 255 caratteri.
Zendesk usa
external_id
come identificatore principale per gli utenti che si autenticano tramite la messaggistica. Quando si autentica un utente con un JWT valido, Zendesk risolve prima un utente esistente conexternal_id
. Se non viene trovato alcunexternal_id
corrispondente, gli utenti vengono risolti usando l’indirizzo email fornito. -
scope: (Obbligatorio) ambito di accesso del chiamante. L’unico valore valido è
user
. -
email: (Obbligatorio) l’indirizzo email dell’utente che ha effettuato l’accesso. Deve essere univoco per l’utente.
Imposta l’indirizzo email principale dell’utente nello Spazio di lavoro agente. L’inclusione di indirizzi email secondari nei JWT non è supportata.
-
email_verified: (Facoltativo) indica se l’utente finale in questione ha dimostrato la titolarità dell’indirizzo email. Se vuoi che gli utenti finali dispongano di identità email verificate, i JWT che emetti devono contenere entrambi i reclami
email
e"email_verified": true
. - name: (Facoltativo) il nome dell’utente. L’inclusione del nome nel payload JWT consente a Zendesk di visualizzare il nome dell’utente nello spazio di lavoro agente e consente agli agenti di fornire un’assistenza più personalizzata.
{
"external_id": "12345678",
"email": "janes@soap.com",
"email_verified": true,
"name": "Jane Soap",
"scope": "user"
}