⚠️ La vérification d'identité est désormais obsolète.
La vérification d'identité est toujours prise en charge et continuera de fonctionner, mais si vous envisagez de l'installer ou d'apporter des modifications, nous vous recommandons vivement de passer à l'utilisation des JSON Web Tokens pour sécuriser votre Messenger à la place.
Configurer la vérification d'identité sur le web
Sélectionnez votre méthode d'installation
Allez d'abord dans Paramètres > Canaux > Messenger > Installer et ouvrez Sécuriser le messenger avec la vérification d'identité.
Puis choisissez comment vous avez installé votre Messenger (avec un paquet NPM ou avec une intégration).
Si vous avez installé Intercom avec WordPress ou Shopify, vous pouvez continuer et appliquer la vérification d'identité sans configuration nécessaire (disponible uniquement pour les espaces de travail hébergés aux États-Unis).
Générez un code HMAC sur votre serveur
Pour les installations Code snippet, vous devrez générer un HMAC sur votre serveur pour chaque utilisateur connecté et l'envoyer à Intercom.
Choisissez d'abord comment vous souhaitez identifier de manière unique vos users : via l'ID utilisateur ou l'email.
Note :
Si vous choisissez d'envoyer les deux à Intercom, l'ID utilisateur sera prioritaire.
Gardez votre clé secrète en sécurité ! Ne la commettez jamais directement dans votre dépôt, dans le code côté client ou n'importe où un tiers pourrait la trouver.
Puis choisissez le langage ou le framework côté serveur que vous utilisez pour obtenir votre code afin de générer un HMAC pour votre application.
Mettez à jour votre site pour envoyer le HMAC
Partout où vous chargez les données des users et avez un extrait de code window.intercomSettings, ajoutez un nouvel attribut appelé user_hash et assignez-lui le code HMAC.
Nous proposons un extrait de code mis à jour qui inclut la valeur HMAC en tant que paramètre envoyé au Messenger Intercom. Cliquez simplement sur Copier le code pour l'utiliser.
Vérifiez l'installation
Une fois que vous avez configuré la vérification d'identité et commencé à envoyer des user_hashes pour chaque user, vérifiez que l'installation fonctionne comme prévu.
Cliquez sur Vérifier l'installation. Ce bouton affichera un tableau des domaines où le Messenger a été trouvé, ainsi que leur statut de vérification d'identité. Une coche verte indique un succès, et un triangle d'avertissement indique que le Messenger n'a pas été trouvé avec les bons paramètres de vérification d'identité.
Assurez-vous d'avoir traité toutes les erreurs sur tous les domaines de la liste. Ce sont tous les domaines d'où nous avons reçu un ping.
Vous pouvez également utiliser notre vérificateur de hash pour vérifier que les valeurs de user_hash que vous envoyez à Intercom sont correctes, garantissant que la vérification d'identité fonctionnera correctement. Ici, vous pouvez vérifier quel est le user_hash attendu basé sur : user_id ou email (si vous n'utilisez pas les user_id).
Toutes vos requêtes ping doivent inclure user_hash pour que vous puissiez appliquer la vérification d'identité sur le web.
Appliquer la vérification d'identité pour Messenger
Si vous avez correctement modifié votre code Messenger et ne voyez aucune erreur, vous pouvez maintenant appliquer la vérification d'identité en activant l'option « Appliquer la vérification d'identité pour messenger » et en cliquant sur Appliquer la vérification d'identité pour messenger. Cela peut prendre 5 à 10 secondes pour s'activer.
Une fois appliquée, toutes les requêtes sans user_hash seront rejetées, empêchant l'usurpation d'identité de vos users via le Messenger.
Configurer la vérification d'identité sur votre application mobile
De la même manière que pour l'installation web, vous trouverez le bouton pour iOS, Android & React Native sous Installer pour mobile :
Puis récupérez la clé secrète de vérification d'identité et stockez-la dans un endroit sécurisé sur votre serveur.
Vous ne devez pas stocker la clé secrète dans votre application mobile ; votre serveur doit uniquement envoyer le user_hash à votre application mobile.
Suivez maintenant nos guides SDK mobiles pour la plateforme que vous utilisez :
Une fois que vous avez testé que votre Messenger fonctionne comme prévu dans votre application, désactivez la vérification d'identité et publiez la nouvelle version avec la vérification d'identité activée sur l'App Store. Lorsque vous atteignez un niveau élevé d'adoption, activez la vérification d'identité, ce qui commencera alors à l'appliquer pour toutes les versions de votre application.
L'activation de la vérification d'identité empêchera les anciennes versions de votre application de communiquer avec Intercom si elles n'envoient pas un user_hash valide.
Comment désactiver la vérification d'identité
Vous pouvez désactiver la vérification d'identité à tout moment en naviguant vers Paramètres > Canaux > Messenger > Installer et en faisant défiler jusqu'à l'étape finale de Sécuriser le messenger avec la vérification d'identité sur la configuration de la plateforme choisie pour désactiver « Appliquer la vérification d'identité pour messenger ». Cela peut être utile pendant le développement.
Votre application ne sera pas protégée tant que la vérification d'identité est désactivée. Cela signifie qu'un user de votre application pourrait tenter d'usurper un autre, voir ses conversations ou modifier ses données dans Intercom.
Comment faire pivoter votre secret de vérification d'identité
Vous pouvez faire pivoter vos secrets de vérification d'identité depuis votre espace de travail. Pour effectuer cette rotation, procédez comme suit :
Créez un nouveau secret pour le canal nécessaire (Web, Android ou iOS ou une clé pour toutes les plateformes).
2. Ensuite, implémentez le nouveau secret dans votre code pour générer les user_hashes appropriés.
3. Désactivez l'ancien secret et activez le nouveau.
4. Actualisez la page pour voir le nouveau secret.
5. Vous devrez peut-être désactiver puis réactiver la vérification d'identité pour que le nouveau secret soit initialisé en cas de dysfonctionnement.
6. Une fois que vous êtes sûr que tout fonctionne comme prévu, supprimez l'ancien secret.
Il n'y aura aucune interruption pendant ce processus.
Nous pouvons également faire pivoter vos secrets de vérification d'identité pour vous de notre côté.
Pour effectuer cette rotation, vous devrez nous contacter directement et faire ce qui suit :
Désactivez la vérification d'identité depuis Intercom (individuellement pour le web, iOS ou Android)
Nous ferons ensuite pivoter le secret spécifique.
Vous actualiserez la page pour voir le nouveau secret.
Vous implémenterez ensuite le nouveau secret dans votre code pour générer les user_hashes appropriés.
Enfin, vous réactiverez la vérification d'identité.
Il n'y aura aucune interruption pendant ce processus, cependant, pendant l'exécution des étapes 2 à 5, vos utilisateurs finaux pourront utiliser le Messenger sans que la vérification d'identité soit activée.
En savoir plus sur la vérification d'identité ou essayez nos conseils de dépannage si vous rencontrez des problèmes lors de la configuration.
Note : La vérification d'identité a été dépréciée au profit d'une fonctionnalité améliorée utilisant les JSON web tokens (JWT).
Voir plus ici :