Zendeskにとって、お客様にセキュリティ対策を行っていただくことは非常に重要です。Zendeskでは、Zendeskカスタマーの個々の設定まで把握することはできませんが、最近、シングルサインオン(SSO)の認証方法を有効にする際にIDプロバイダを使ってユーザーのメールアドレスを確認していないお客様について、潜在的なセキュリティリスクがあることが判明いたしました。 IDプロバイダの登録をユーザー自身に任せることはできますが、その場合、アカウントにリスクが発生する可能性があります。
考えられるリスク
ZendeskでSAMLまたはJWTによるSSOを行う場合、管理者、エージェント、エンドユーザーのそれぞれの身元を確認し、確認済みのユーザーのみがZendesk Supportアカウントやヘルプセンターにアクセスできるようにすることは、お客様の責任となります。
ユーザーが任意のメールアドレスで貴社のSSOソリューションに登録でき、新しく作成されたアカウントのメールアドレスがIDプロバイダによって確認されない場合、そのアカウントでSSOソリューションを介してZendeskの認証を受けることが可能です。この場合、ユーザーは、確認されていないアカウントを使用して、そのアカウントのメールアドレスに関連付けることが可能なZendeskのチケットにアクセスすることができます。
とるべき対策
お勧めする一番の方法は、サードパーティのIDプロバイダまたは現在のSSOを構成した開発者と連携し、エンドユーザー、エージェント、および管理者のアカウント登録でメールアドレスの確認が確実に行われるようにすることです。
ユーザーにアカウント登録をさせる際には、メールアドレスが自身のものであるかどうか確認を求めることが重要です。通常、ユーザー登録に使用したメールアドレスを確認するためのリンクを記載したメールを送信する方法がとられます。
IDプロバイダによっては、メールアドレスの確認を強制するように構成することができます。以下では、いくつかの有名なIDプロバイダおよびSSOソリューションでメールアドレスを確認する方法について説明します。
- Auth0
- メールアドレス確認ルールを使用して、メールアドレスの確認を強制的に行います。詳しくはhttps://auth0.com/rules/email-verifiedを参照してください。
-
Okta
- 自己登録ワークフローを構成する際に、「User must verify the email address to be activated(有効化するメールアドレスの確認をユーザーに求める)」の設定が有効になっていることを確認してください。詳細については、以下のトピックを参照してください: セルフサービス登録ポリシーを有効化、設定する
-
LogMeOnce
- ZendeskをLogMeOnceで設定する場合は、「Only Verified Accounts(確認済みアカウントのみ)」で必ず「Yes(はい)」を選択してください。
翻訳に関する免責事項:この記事は、お客様の利便性のために自動翻訳ソフ トウェアによって翻訳されたものです。Zendeskでは、翻訳の正確さを期すために相応の努力を払っておりますが、翻訳の正確性につ いては保証いたしません。
翻訳された記事の内容の正確性に関して疑問が生じた場合は、正式版である英語の記事 を参照してください。
0件のコメント