問題点
シングルサインオンを有効化している状況下では、IdPのユーザとZendeskのユーザが常に同期されていることを前提として考えるのが自然かと思います。しかしながら、現状の仕様では、ライトエージェントのユーザは自身のメールアドレスが変更可能となっており、万が一Zendeskユーザによってメールアドレスが変更されてしまうと、次回のシングルサインオン時にはJITプロビジョニングによって新たなユーザがZendeskに作成されてしまいます。
理由
エンタープライズでのユースケースとして、1人に対して1IDを割り当てるというのは大原則となるため、ユーザが複数のアカウントを時期によって使い分けていたというのは利用者・運用者双方の利便性に影響を及ぼします。そればかりか、メールアドレスはアプリケーション間でのフェデレーション時に使われる一意の識別子であるため、メールアドレスが変更されると監査ログでの人物特定が著しく困難となるため、セキュリティ上の懸念が非常に大きくなります。
また、ライトエージェントは数が非常に多く一般ユーザにまで配布可能であるからこそ問題が顕在化していますが、エージェントについてもライトエージェントよりは少人数といえども同様の懸念があります。
要望
管理者のようなZendeskシステムへの特権を持つユーザ以外については、自身のメールアドレスの変更を不可能にするオプションの実装を要望いたします。
インパクト
本件は、エンタープライズ利用における非常に大きな問題であると同時に、解決されればライトエージェントを活用した大規模な社内ナレッジポータルの運用が可能となる価値の大きな修正と考えています。ぜひ前向きかつ早急に修正いただけると嬉しいです。
参考
もととなったチケット番号: #6272674