PureCloud埋め込みを管理する


PureCloud埋め込みの制限は、外部WebサイトがPureCloud組織のインスタンスをiframeに埋め込むことを防ぐオプションのセキュリティ設定です。それは「クリックジャッキング、」リダイレクト悪質なテクニックの戦闘ユーザー攻撃者の管理下にウェブサイトへを。悪意のあるWebサイトは、iframe要素内に埋め込むことにより、被害者のWebサイトになりすます。

警告:この機能を有効にすると、 PureCloudがiframeにPureCloudれているPureCloud アプリケーションまたは統合が使用できなくなりますPureCloudドメインは[許可された埋め込み可能ドメイン]ボックスに表示されません。

組織が連携する正当なドメインのiframeを許可するようにPureCloudを構成します。これらのドメインを追加しないと、 PureCloud for Salesforce 、 PureCloud for Zendesk 、 PureCloud for Chrome、 PureCloud for Firefox、 PureCloud Embeddable FrameworkなどのPureCloud Embeddable Frameworkは機能しません。詳細については、 PureCloud組み込みクライアントでPureCloud埋め込みを管理する

クリックジャックは、一見巧妙に作成されたスタイルシート、iframe、およびテキストボックスを使用して、実際に攻撃者によって制御される非表示のiframeとやり取りしているときに、ユーザーが本物のweb アプリケーションとやり取りしているように見せます。

悪質なサイトによって実行されるアクションを監視ユーザー 、とだまして、透明または不透明な層を使用することができユーザー正当なように見えるボタンやリンクをクリックするように。「ハイジャック」することでユーザークリックすると、攻撃者はルートできユーザー別のページに、 アプリケーション 、またはドメイン。キーストロークは、同様の手法を使用してハイジャックできます。クリックジャックの被害者は、資格情報またはその他の情報を不注意で攻撃者に渡す可能性があります。

PureCloud埋め込みを制限するには:

デフォルト 、制限PureCloud埋め込みは、あなたの中で有効になっていないPureCloud組織。PureCloud埋め込みの制限設定を有効にする前に、 PureCloud組織を正当にiframeする可能性のあるドメインを 許可された埋め込み可能ドメイン ボックス。これらのドメインを追加しない場合、統合および組み込みクライアントは機能しません。

  1. クリック 管理者
  2. アカウント設定クリック 組織設定
  3. クリック 設定 タブ 。
  4. スクロールして セキュリティとコンプライアンス セクション。

  5. の中に 許可された埋め込み可能ドメイン ボックスに、 PureCloud組織を正当にiframeするドメインの名前を追加します。以下の表に、各PureCloud組み込みクライアントがアクセスできる必要があるドメインをリストします。ワイルドカードを使用してサブドメインを含めます。各ドメインエントリを独自の回線に入力します。このリストには、最大10個のドメインエントリを追加できます。

    PureCloud組み込みクライアント ドメイン
    PureCloud埋め込み可能フレームワーク 親ドメイン。
    PureCloud for Chrome chrome-extension:// onbcflemjnkemjpjcpkkpcnephnpjkcb
    PureCloud for Firefox moz-extension://*
    PureCloud for Salesforce *。 Salesforce.com、*。force.com
    PureCloud for Zendesk *.zendesk.com,*.zdusercontent.com
  6. 有効にする PureCloud埋め込みを制限する ドメインの設定と追加。この機能を有効にすると、許可されたドメインのリストが空または無効の場合、統合およびアプリが使用できなくなる可能性があることを機能警告が表示されます。

    警告:これを有効にすると、 機能引き起こす可能性がありPureCloud統合、 PureCloudアプリ、その他のアプリケーションにロードするためにはiframeを使用するか、統合PureCloud使用できなくするために、そのドメイン可埋め込みドメイン(複数可)にリストされていないが、。

  7. クリック 保存する

    重要: PureCloud埋め込みの制限を有効または無効にすると、ユーザーはログアウトしてから組み込みクライアントに再度ログインする必要があります。

テクニカルノート

PureCloud埋め込みの制限がオンの場合、 PureCloudは コンテンツセキュリティポリシー(CSP) フレーム祖先 を使用してPureCloudインスタンスを埋め込むことができるドメインを制限するディレクティブ <frame>、 <iframe>、 <object>、 <embed>、 または <applet> 要素。互換性のあるブラウザのリストについては、 CSP:frame-ancestors Mozilla Developer NetworkのWebドキュメントで。

この機能を有効にすると、ユーザーはログアウトしてログインし、HTMLリクエストにセキュリティヘッダーを適用する新しいCookieを取得する必要があります。機能がオフになると、Auth APIは次回のログイン時にCookieを削除します。