我的服务模式是什么?

在所有 Suite 服务模式中可用在所有 Support 服务模式中可用

Zendesk 提供了一系列安全选项,您可用来确保私密信息受到保护。本文章介绍了一般的安全性最佳实践,以帮助您入门。强烈建议您对专员和管理员进行培训,使其遵循最佳实践,以确保环境安全。

有关我们建议在您的实例中实施的安全最佳实践的详细列表,请参阅 Zendesk Suite 可操作安全指南 。

本文章涵盖以下主题:
  • 提高专员的密码安全性
  • 切勿泄露用户名、电邮地址或密码
  • 限制具有管理员访问权限的专员数量
  • 通过单点登录对用户进行远程身份验证
  • 监测帐户审核日志
  • 如果使用 REST API,限制访问或遵循安全编码实践
  • 提供一个用于安全通知的电邮地址

如对 Zendesk 实例的安全性有疑问,请直接联系 Zendesk。如果发生疑似安全漏洞,请提交标题为“安全”并注明详情的工单。您也可以发送电邮到 security@zendesk.com。

提高专员的密码安全性

Zendesk 提供了四个 密码安全级别:推荐、高、中等和低。您还可以指定自定义安全级别。管理员可为终端用户设置一个密码安全级别,为专员和管理员设置另一个密码安全级别。

Zendesk 强烈建议为团队成员和终端用户设置建议密码安全级别,以保护您的帐户。此安全级别基于安全最佳实践和行业标准,配置了严格的密码要求、已知泄露密码检查。

提高专员的密码要求,以防未经授权的用户猜到专员的密码。您还应要求管理员和专员为其 Zendesk 帐户选择唯一的密码,避免在外部系统中重复使用密码。

鼓励专员监测自己的帐户。Zendesk 将在专员密码更改后向其发送电邮通知。此外,专员可通过 启用新设备登录电邮警报 ,方便地监测其帐户。如果您发现来自可疑设备的新登录信息,请移除该设备以结束用户会话,然后选择一个新密码。

需要对专员和管理员进行 双重身份验证 ,以获得另一层安全保护。建议发送带有 使用双重身份验证 文章链接的消息给您的支持团队。

考虑使用密码管理器,例如 1Password 或 LastPass。密码管理器帮助您生成可用于您所有其他网站的单一强密码。

切勿泄露用户名、电邮地址或密码

Zendesk 专员和管理员切勿泄露用户名、电邮地址或密码。

如果您使用标准 Zendesk 登录身份验证,重置密码的唯一安全方法是让用户单击 Zendesk 登录屏幕上的 忘记密码 链接。这会提示用户输入有效的电邮地址(已在您的帐户中验证为合法用户)。提交后,他们将收到一封含有重置密码链接的电邮。

如果您使用的是第三方单点登录身份验证系统,例如 Active Directory、Open Directory、LDAP 或 SAML,可通过这些服务以类似方式重置密码。

黑客有时会使用社交工程技术来迫使人们提供帐户密码。一些黑客使用欺骗电邮地址的工具来冒充来自合法电邮域名的用户。因此,用户发出的看似合法电邮请求实际可能并非如此。

如果自称用户或管理员的人联系您,请记下其 IP 地址(显示在工单的 活动日志视图 中),并单独验证其身份(例如,拨打其用户个人资料中的电话号码)。如有疑问,请勿代表他人提供敏感信息或更改帐户。合法用户可更改其自己的帐户设置。

让您的专员了解这些类型的安全风险。此外,创建一个每个人都知道的安全策略,以便在发生这些事件时可以参考。

限制具有管理员访问权限的专员数量

管理员可访问 Zendesk 帐户中普通专员无法访问的部分。您可以通过限制具有管理员访问权限的专员数量来降低安全风险。专员用户角色提供一般专员管理和解决工单所需的访问权限。

您可以选择预定义的专员用户角色,为专员授予额外权限。在 Enterprise 服务模式中,您还可以创建自己的 自定义专员用户角色 ,并决定该专员用户角色可以访问和管理 Zendesk 的哪些部分。这些权限有限。例如,只有帐户所有者和管理员有权访问安全设置。

如果您担心专员访问关于您终端用户的信息,可以创建一个角色,但不允许专员编辑终端用户个人资料或查看您所有终端用户的列表。

限制对工单中私密信息的访问

在 Enterprise 服务模式中,管理员可将组指定为私密组。这通常会限制组内专员的访问,但管理员和团队主管默认拥有访问权限,且专员可被授予 查看私密工单的权限。处理私密工单的专员无法 @提及私密组以外的团队成员,也无法与其进行 协作快捷对话 。使用私密工单组会大大降低工单内容的可见度。

如果您担心专员访问工单中的敏感信息,可以创建私有组,并将合适的专员分配到组中,以处理这些工单。

通过单点登录对用户进行远程身份验证

除 Zendesk 提供的用户身份验证外,您还可以使用单点登录,在 Zendesk 以外对您的用户进行身份验证。有两个 SSO 选项:社交媒体单点登录和企业单点登录。

社交媒体单点登录允许客户使用其 Zendesk 帐户或社交媒体帐户(例如 Google 或 Microsoft)登录。这些选项虽然很方便,但我们建议您取消激活不必要的社交登录名。

企业单点登录可绕过 Zendesk,在外部对您的用户进行身份验证。导航到您的 Zendesk 登录页面或单击您的 Zendesk 帐户访问链接后,用户可登录公司服务器或通过第三方身份提供者(例如 OneLogin 或 Okta)进行身份验证。

在提供企业或社交媒体单点登录时,建议利用这些服务提供的双重身份验证(也称为多重身份验证)。这样就要求提供额外的身份证明,从而增添了另一层保护。如果您使用的是 JWT 或 SAML,则需要为 Zendesk 帐户进行相应设置。对于社交媒体单点登录,您的用户需要自己进行设置。所有这些服务都提供了设置所需的文档。

专员和终端用户可以使用不同的方式对自己进行身份验证。您可以通过为专员创建更严格的身份验证策略,同时提供方便的客户和终端用户访问权限,来保护 Zendesk Support 的安全。

监测帐户审核日志

注意:审核日志在 Enterprise 及更高服务模式中可用。

审核日志 跟踪对您的帐户进行的重要更改。使用审核日志可以监测各种安全事件,例如用户被阻止、密码政策更改、客户数据导出、自定义用户角色定义更改等。

如果使用 REST API,限制访问或遵循安全编码实践

您可以使用 Zendesk REST API 和 Zendesk App Framework 扩展 Zendesk Support 实例的功能。

如果您想扩展 Zendesk 实例,我们强烈建议您遵循安全编码最佳实践。开放网络应用程序安全项目 (OWASP) 是一个很好的参考,详见 此处。

提供一个用于安全通知的电邮地址

如果有安全事件影响到您的服务数据,在规定的时间内通知客户是 Zendesk 的首要任务,也是法律义务。添加您组织中应收到安全事件通知的安全联系人或组的电邮地址。请参阅指定电邮地址以接收所需的安全通知。

翻译免责声明:本文章使用自动翻译软件翻译,以便您了解基本内容。 我们已采取合理措施提供准确翻译,但不保证翻译准确性

如对翻译准确性有任何疑问,请以文章的英语版本为准。

由 Zendesk 提供技术支持