Vue d'ensemble : Sécuriser un chat en ligne

Modifier en ligne

Si vous activez les paramètres de sécurité, vous pouvez configurer le chat en ligne pour authentifier les utilisateurs, protéger les données personnelles et restreindre l'accès à votre assistant IA.

Remarque :

Le contenu de cette section concerne l 'assistant IA. Si vous souhaitez intégrer le chat IA à une page externe, consultez la page « Présentation de la sécurité du chat Web ».

Tous les messages échangés entre le chat en ligne et l 'assistant IA sont cryptés à l'aide du protocole Transport Layer Security ( TLS ), qui protège les données sensibles lors de leur transit sur le réseau. Cependant, il existe encore des risques potentiels contre lesquels vous devez vous protéger. En activant la fonction de sécurité du chat en ligne et en mettant à jour le code de votre site web de manière appropriée, vous pouvez ajouter les protections suivantes :

  • Vous pouvez empêcher les sites web non autorisés d'envoyer des messages à votre assistant IA, même s'ils copient le script d'intégration de votre chat en ligne. (Les identifiants uniques du script d'intégration, tels que l'ID d'intégration et l'ID d'instance de service, sont visibles par toute personne ayant accès à votre site web)

  • Vous pouvez authentifier vos clients en toute sécurité afin de contrôler l'accès aux fonctionnalités de votre assistant IA qui nécessitent une autorisation.

  • Vous pouvez crypter les données sensibles afin que les clients ne puissent pas les consulter, tout en permettant à votre assistant IA d'y accéder.

La sécurité du chat en ligne repose sur l'utilisation de jetons Web JSON (JWT), qui sont des objets de données envoyés avec chaque message de votre site Web vers le service de création d'assistants IA. Comme un JWT est signé numériquement à l'aide d'une clé de cryptage privée que vous êtes le seul à posséder, il garantit que chaque message provient de votre site web. La charge utile JWT peut également être utilisée pour authentifier les utilisateurs en toute sécurité et transporter des données privées cryptées.

Pour plus d'informations sur les jetons Web JSON ( JWT ), consultez la spécification JWT.

L'activation de la sécurité du chat en ligne implique les adaptations suivantes :

  • Mise en œuvre d'un code de serveur d'application web qui génère un JWT signé avec votre clé de chiffrement privée

  • Personnaliser la configuration du chat web pour fournir le JWT généré

  • Activation de la sécurité dans les paramètres de sécurité du chat web

Après avoir activé la sécurité du chat web, tout message reçu par l'intégration du chat web qui n'est pas accompagné d'un JWT correctement signé sera rejeté.

Pour plus d'informations sur la manière de suivre ces étapes, consultez la section « Activation de la sécurité du chat en ligne ».

Lorsque la sécurité du chat en ligne est activée, vous pouvez éventuellement mettre en place des mesures de sécurité supplémentaires :

  • Vous pouvez utiliser des JWT pour authentifier vos clients en toute sécurité à l'aide de leur identifiant utilisateur, ce qui permet à votre assistant IA de contrôler l'accès aux fonctionnalités nécessitant une autorisation.

Si la sécurité du chat en ligne n'est pas activée, chaque client qui utilise votre assistant IA est identifié uniquement par la user_id propriété figurant dans la requête de message. Cela suffit pour identifier des utilisateurs uniques à des fins de facturation, mais ce n'est pas sûr, car cela pourrait être modifié.

En codant les informations relatives à l'identité de l'utilisateur dans la charge utile du JWT, vous pouvez authentifier les utilisateurs en toute sécurité. Le JWT est signé et ne peut être modifié par l'utilisateur.

Pour plus d'informations sur l'utilisation des JWT pour une authentification sécurisée, consultez la section « Authentification des utilisateurs dans le chat en ligne ».

  • Vous pouvez empêcher l'accès non autorisé à des informations sensibles sur les clients en les chiffrant et en les incluant dans la charge utile de l'utilisateur JWT.

La charge utile utilisateur est une partie du JWT que vous pouvez utiliser pour transmettre les informations auxquelles vous souhaitez que votre assistant IA ait accès, mais que vous ne voulez pas que les clients voient. Ces informations sont stockées uniquement dans des variables privées, qui ne peuvent être vues par les clients et ne sont jamais incluses dans les journaux.

Pour plus d'informations sur l'utilisation de la charge utile utilisateur pour protéger les informations sensibles, consultez la section « Chiffrement des données sensibles dans le chat en ligne ».

icône de développement Tutoriel : pour un tutoriel destiné aux développeurs présentant un exemple d'utilisation de la sécurité du chat Web pour authentifier les utilisateurs et protéger les données sensibles, consultez le tutoriel : Authentification d'un utilisateur en cours de session.