Sua segurança é importante para nós. Ainda que a Zendesk não possa ver sua configuração específica, recentemente fomos avisados de um risco potencial envolvendo clientes que não verificam os emails de usuários por seu fornecedor de identidade ao ativarem o single sign-on (SSO) como um método de autenticação. Como consequência, um usuário pode se cadastrar com um fornecedor de identidade e possivelmente colocar contas em risco.
Qual é o risco?
Ao usar SAML ou JWT para SSO no Zendesk, é sua responsabilidade verificar a identidade de seus administradores, agentes e usuários finais para garantir que apenas usuários verificados acessem sua conta do Zendesk Support ou sua Central de Ajuda.
Se os usuários puderem se cadastrar na sua solução de SSO com um email de escolha deles e esse endereço da conta recém-criada não for verificado pelo fornecedor de identidade, é possível realizar a autenticação no Zendesk com esta conta por sua solução de SSO. Um usuário pode então usar a conta não verificada para obter acesso a tickets do Zendesk que possam estar associados ao endereço de email não verificado da conta.
O que faço?
Recomendamos que você trabalhe com seu fornecedor de identidade terceirizado ou desenvolvedor da sua configuração de SSO para implementar a verificação de email para o cadastro de contas de usuários finais, agentes e administradores.
Quando os usuários se cadastram na sua conta, é importante solicitar a verificação do endereço de email. Em geral, ela é feita enviando um email para o usuário com um link para que ele confirme o endereço de email cadastrado.
Alguns fornecedores de identidade podem ser configurados para impor a verificação do email. Listamos algumas instruções sobre a verificação de endereços de email em alguns fornecedores de identidades conhecidos e soluções de SSO:
- Auth0
- Use a regra email verified para impor a verificação de email. Para obter mais informações, acesse: https://auth0.com/rules/email-verified
-
Okta
- Ative a configuração User must verify the email address to be activated ao configurar seu fluxo de trabalho de cadastro. Para obter mais informações, consulte: Habilitar e configurar uma política de cadastro de autoatendimento
-
LogMeOnce
- Ao configurar o Zendesk com o LogMeOnce, selecione Yes em Only Verified Accounts.
Aviso sobre a tradução: este artigo foi traduzido por um software de tradução automática para oferecer a você uma compreensão básica do conteúdo. Medidas razoáveis foram tomadas para fornecer uma tradução precisa, no entanto, a Zendesk não garante a precisão da tradução.
Em caso de dúvidas relacionadas à precisão das informações contidas no artigo traduzido, consulte a versão oficial do artigo em inglês.
0 comentários