Identitätsprüfung stellt sicher, dass Gespräche zwischen Ihnen und Ihren users privat bleiben und dass ein Angreifer Ihre users nicht imitieren kann. Wenn Sie eine Messenger-Integration mit eingeloggten users haben, empfehlen wir dringend, Identitätsprüfung zu verwenden.
⚠️ Identitätsprüfung ist jetzt veraltet.
Identitätsprüfung ist veraltet und der geheime Schlüssel zur Identitätsprüfung wird nicht mehr offengelegt. Die Verwendung des App-Client-Geheimnisses zur Generierung eines user_hash führt zu einem ungültigen user_hash-Fehler. JWT (JSON Web Token) ist jetzt die empfohlene Methode zur Sicherung des Messengers. Siehe die JWT-Einrichtungsanleitung für aktuelle Best Practices.
Brauche ich Identitätsprüfung?
Kurz gesagt, wenn Sie eine eingeloggte Messenger-Integration haben, sollten Sie Identitätsprüfung einrichten und durchsetzen.
Wenn Sie Intercom nur für Website-Besucher verwenden, die sich nicht einloggen, benötigen Sie keine Identitätsprüfung. Sie gilt nur für users, für die Sie Identifikatoren wie E-Mail-Adresse oder user_id haben.
Weitere Informationen finden Sie unter: Wie funktionieren visitors, leads und users in Intercom?
Was ist ein Benutzer-Imitationsangriff?
In Arbeitsbereichen ohne Identitätsprüfung ist es möglich, dass ein Angreifer einen user imitiert. Das bedeutet, ein Angreifer könnte die historischen Gespräche eines users sehen, für Ihre Teammitglieder als dieser user erscheinen und sie dazu verleiten, Aktionen im Konto dieses users durchzuführen.
Zum Beispiel kann ohne Identitätsprüfung jemand mit Ihrem Intercom Messenger interagieren und die Identität eines anderen users vortäuschen, indem er einen bekannten Identifikator wie dessen E-Mail-Adresse oder user_id angibt. Dies ermöglicht einem Angreifer, sich gegenüber Ihren Teammitgliedern als echter user auszugeben, Zugriff auf vorherige Gespräche und möglicherweise sensible Daten zu erhalten.
Wie schützt die Identitätsprüfung meinen Arbeitsbereich?
Mit Identitätsprüfung generieren Sie für jeden Ihrer users einen einzigartigen user hash basierend auf deren E-Mail-Adresse oder user_id und dem Identitätsprüfungsgeheimnis Ihres Arbeitsbereichs (verfügbar in Ihren Intercom-Sicherheitseinstellungen). Ihre Integration generiert und sendet diese Hashes mit jeder Messenger-Anfrage, sodass wir sicher sein können, dass die Benutzeranfrage wirklich von Ihnen stammt.
So sind Ihre Web-Messenger-Anfragen vor Imitationen geschützt, wenn Sie die Identitätsprüfung für Ihren Arbeitsbereich richtig aktivieren.
Identitätsprüfung verhindert die Imitation von users in Ihrem Arbeitsbereich, da ohne Zugriff auf Ihr Geheimnis eine Drittpartei, die versucht, einen Benutzeridentifikator gegenüber Intercom vorzutäuschen, keinen gültigen user hash für diesen user senden kann.
Sobald die Identitätsprüfung durchgesetzt wird, lädt oder akzeptiert der Intercom Messenger keine Anfragen für Ihre eingeloggten users ohne gültigen user hash.
Beeinflusst die Identitätsprüfung die Benutzererfahrung?
Bei korrekt eingerichteter Identitätsprüfung gibt es keine Auswirkungen für Ihre Kunden. Users und Leads erleben den Messenger wie gewohnt. Es ist keine zusätzliche Aktion von ihnen erforderlich, um sich zu authentifizieren oder den Messenger zu nutzen.
Was ist der Unterschied zwischen Leads und Users?
Intercom unterscheidet klar zwischen:
Visitors - unbekannte Kunden auf Ihrer Website, die nicht eingeloggt sind und keine Gesprächshistorie mit Ihnen haben,
Leads - Kunden, die ein Gespräch mit Ihnen beginnen oder auf eine Nachricht antworten. Sie werden durch Namen wie „Charcoal Umbrella aus Paris“ identifiziert und erhalten ein Intercom-Cookie, um ihre Gesprächshistorie zu speichern,
Users - Kunden, die sich für Ihr Produkt anmelden und in ein bestehendes Konto einloggen. Sie werden normalerweise durch E-Mail-Adresse oder user ID identifiziert
Weitere Informationen finden Sie unter: Wie funktionieren visitors, leads und users in Intercom?
Wann wird aus einem Lead ein User?
Ein Lead wird zu einem User, wenn eine der folgenden Aktionen eintritt:
Der Lead meldet sich für Ihr Produkt an.
Der Lead loggt sich in ein bestehendes Konto ein. Bei diesem Übergang wird die gesamte Interaktionshistorie aus dem Lead-Profil beibehalten und in das User-Profil zusammengeführt. Aktionen wie das Hinzufügen eines Leads als Teilnehmer zu einem E-Mail-Thread führen jedoch nicht automatisch zur Umwandlung in ein User-Profil.
Warum können doppelte Lead-IDs entstehen?
Intercom verwendet Cookies, um Leads zu verfolgen. In einigen Fällen können für dieselbe Person doppelte Lead-IDs entstehen, z. B. in folgenden Situationen:
Verwendung des privaten/incognito Browsings.
Zugriff auf das System über ein Virtual Private Network (VPN).
Wenn Cookies ablaufen oder manuell gelöscht werden. Dieses Verhalten kann zu mehreren Profilen derselben Person führen, wenn deren Identifikatoren wie E-Mail nicht konsistent sind.
Muss ich Identitätsprüfung für visitors einrichten?
Wenn Intercom für Website-Besucher installiert ist, die sich nicht einloggen, benötigen Sie keine Identitätsprüfung. Sie gilt nur für users, für die Sie Identifikatoren wie E-Mail-Adresse oder user_id haben.
Mit anderen Worten, wenn Sie die Identitätsprüfung für Ihren Arbeitsbereich aktivieren, erwartet Intercom nur dann einen user_hash, wenn der Messenger für einen user geladen wird. Wenn der Messenger für einen ausgeloggten visitor/lead geladen wird, ist kein user_hash erforderlich.
Warum gibt es nicht ein Geheimnis für alle Plattformen?
Wir haben für jede Plattform ein einzigartiges Geheimnis erstellt, damit es einfacher ist, jedes einzeln zu rotieren oder die Identitätsprüfung auf jeder Plattform unabhängig zu aktivieren.
Früher war es möglich, Ihre Schlüssel in den Messenger-Sicherheitseinstellungen zu verwalten und zu rotieren. Der geheime Schlüssel zur Identitätsprüfung wird nicht mehr offengelegt. JWT ist jetzt die empfohlene Methode zur Sicherung des Messengers. Siehe die JWT-Einrichtungsanleitung zur Einrichtung.
Wie generiere ich einen einzigartigen Hash pro Plattform, wenn ich dasselbe Backend für alle users verwende?
Sie sollten den Hash nicht generieren und in Ihrer Datenbank speichern. Stattdessen sollten Sie ihn generieren und dynamisch senden, wenn Sie den user gegenüber Intercom identifizieren. So wird bei einem Geheimniswechsel oder wenn der user eine andere Plattform nutzt, der korrekte Hash gesendet.
Wenn Sie den Hash speichern und senden, müssten Sie bei Änderungen Ihres Geheimnisses eine Massen-Neugenerierung durchführen, was für Sie umständlich wäre.
Wenn Sie Intercom mit dem Rails-Gem installiert haben, müssen Sie keinen Hash auf Ihrem Server generieren und zusammen mit den user-Daten an uns zurücksenden. Das Gem übernimmt die Hash-Generierung, solange die Schritte bezüglich des Geheimnisses wie in der UI beschrieben befolgt werden.
Schützt die Identitätsprüfung sowohl user_id- als auch E-Mail-Adressenwerte?
Nein, die Identitätsprüfung erfordert, dass Sie einen einzigartigen Hash mit dem Geheimnis und entweder der user_id oder der E-Mail-Adresse des users erstellen. Wenn Sie user_ids mit Ihren Messenger-Anfragen senden, müssen Sie den Hash mit diesem Identifikator erstellen. Wenn Sie keine user_ids senden, generieren Sie ihn mit dem E-Mail-Feld.
✅ Identitätsprüfung schützt keine Attribute, aber wir haben eine verbesserte Funktion mit JWTs, die es Ihnen ermöglicht, alle Attribute zu schützen.
Mehr dazu hier:
Was sind alle domains unter „Aktive Integrationen mit eingeloggten Users“? Ich erkenne sie nicht.
Dies sind die domains, von denen wir eine User-Anfrage mit Ihrer Arbeitsbereichs-ID erhalten haben. Es können zusätzliche domains enthalten sein, wenn Sie Intercom auf anderen domains zu Testzwecken installiert haben. Wenn domains enthalten sind, die Sie nicht erkennen, empfehlen wir, eine Liste vertrauenswürdiger domains hinzuzufügen.
Es ist derzeit nicht möglich, domains aus dieser Liste zu entfernen, aber wenn Sie hier eine domain sehen, bedeutet das, dass wir irgendwann einen Ping von ihr erhalten haben. Es ist daher ratsam, Ihre Integration dort korrekt einzurichten, damit der Messenger für einige Ihrer users nicht ausfällt.
Erfahren Sie, wie Sie Identitätsprüfung für Web und Mobile einrichten und aktivieren.