Wir nehmen einige Änderungen am Standardverhalten neuer globaler OAuth-Clients vor, wobei Zugriffs- und Aktualisierungstoken automatisch ablaufen. Außerdem haben wir die aktuelle Frist für bestehende lokale (nicht-globale) OAuth-Clients zur Übernahme des Aktualisierungs-Token-Workflows bis zum 1. April 2027 verlängert.

Diese Ankündigung enthält folgende Aspekte:

• Was ändert sich?
• Warum nimmt Zendesk diese Änderung vor?
• Was muss ich tun?

Was ändert sich?

Seit dem 2. Februar 2026 ist die zuvor angekündigte Änderung wirksam, wobei globale OAuth Clients den Aktualisierungstoken-Workflow verwenden müssen. Dementsprechend setzen wir für (1) alle neu erstellten globalen OAuth-Clients (auch als externe OAuth-Clients bezeichnet) und (2) bestehende globale OAuth-Clients, die nicht genutzt werden oder in den letzten drei Monaten nicht genutzt wurden, die Standard-TTL (Time to Live) für Zugriffs- und Aktualisierungstoken durch. Bei globalen OAuth-Clients, die in jüngerer Zeit genutzt werden, werden die Gültigkeitsfristen im Rahmen unserer laufenden Bemühungen zur Umsetzung unserer erweiterten Sicherheitsrichtlinien angewendet.

Ab dem 30. April 2026 gelten außerdem für alle neu erstellten lokalen (nicht-globalen) OAuth-Clients automatisch dieselben Standard-TTLs. Die zuvor angekündigte Frist zur Übernahme des Aktualisierungstoken-Workflows wurde bis zum 1. April 2027 verlängert.

Warum nimmt Zendesk diese Änderung vor?

Um die Sicherheit zu verbessern und moderne Standards einzuhalten, benötigen wir OAuth 2.0-Aktualisierungstoken für alle globalen OAuth-Clients, die nach dem 2. Februar 2026 erstellt wurden. Auf diese Weise wird sichergestellt, dass Zugriffstoken nur kurzlebig sind und rotieren, was das Zeitfenster für mögliche Angriffe im Falle der Offenlegung eines Tokens stark verkürzt. Angesichts der weltweit steigenden Häufigkeit und Komplexität von Angriffen und Datenschutzverletzungen ist die Einführung von Aktualisierungstoken eine immer häufiger eingesetzte Best Practice in der Branche, um die Folgen einer Offenlegung von Anmeldedaten zu begrenzen.

Was muss ich tun?

1. Klicken Sie in der Seitenleiste des Admin Centers auf Apps und Integrationen und dann auf APIs > External OAuth Clients.
2. Machen Sie den Client in der Liste ausfindig, dessen Token Sie anzeigen möchten.
3. Klicken Sie auf das Optionsmenü neben dem Client und dann auf Token anzeigen, um den Zeitstempel „Zuletzt verwendet um“ anzuzeigen.

Wenn Sie ein externer App-Entwickler sind, können Sie die folgenden allgemeinen Richtlinien anwenden, um Ihre App auf den Ablauf und die Aktualisierung von OAuth-Tokens vorzubereiten. Die genauen Implementierungsdetails hängen von Ihrer Anwendung und ihrem Aufbau ab. Weitere Informationen finden Sie unter Arbeiten mit OAuth-Aktualisierungstoken.

1. Implementieren Sie den Aktualisierungsfluss, damit Ihre App den Zugriff verlängern kann, ohne dass Benutzer zur erneuten Autorisierung gezwungen werden. Verwenden Sie den Endpunkt /oauth/tokens mit grant_type=refresh_token, um ein neues Zugriffstoken anzufordern. Wenn Sie eine OAuth-Client-Bibliothek oder ein OAuth-Paket verwenden, überprüfen Sie in der zugehörigen Dokumentation, ob Aktualisierungstoken (und die automatische Tokenaktualisierung) unterstützt werden, und aktualisieren Sie nötigenfalls Ihre Konfiguration oder Version. Je nach der Implementierung Ihres OAuth-Clients müssen Sie möglicherweise auch die Art und Weise aktualisieren, in der Aktualisierungstoken gespeichert und der Ablauf von Zugriffstokens gehandhabt werden sollen.
2. Bearbeiten Sie Rotation und Ablauf. Aktualisieren Sie die Zugriffstoken, bevor sie ablaufen (oder wenn eine durch OAuth authentifizierte Anfrage eine 4xx-Antwort zurückgibt), um Unterbrechungen zu vermeiden, und ersetzen Sie alte Aktualisierungstoken, wenn ein neues zurückgegeben wird.
3. Gehen Sie bei Misserfolgen konstruktiv vor. Wenn eine mit OAuth authentifizierte Anfrage fehlschlägt oder eine Anforderung zum Aktualisieren des Zugriffstokens fehlschlägt, zeigen Sie den Benutzern eine klare Nachricht an und fordern Sie sie auf, die App erneut zu autorisieren, damit sie ein neues Zugriffs- und Aktualisierungstoken abrufen kann.
4. Überwachen und unterstützen Sie die Einführung.

Falls Sie Feedback oder Fragen zu dieser Ankündigung haben, dann besuchen Sie unser Community-Forum, in dem wir das Produkt-Feedback der Kund:innen sammeln und verwalten. Wenn Sie allgemeine Hilfe zu Ihren Zendesk-Produkten benötigen, wenden Sie sich an den Zendesk-Kundensupport.