| Ankündigung am | Beginn der Einführung | Ende der Einführung |
| 27. August 2024 | 27. August 2024 | 17. Februar 2025 |
In Übereinstimmung mit den Best Practices für OAuth 2.0 akzeptiert Zendesk ab dem 17. Februar 2025 keine impliziten und kennwortspezifischen Berechtigungen für Zugriffstoken mehr. Dies gilt nur für den Zendesk Support. Chat, Sell und Sunshine sind hiervon nicht betroffen.
Aufgrund der mangelnden Sicherheit der älteren Gewährungsarten empfehlen wir den Kunden, so bald wie möglich auf den Autorisierungscode-Flow oder API-Token umzusteigen.
Diese Ankündigung enthält folgende Themen:
Was ändert sich?
Ab dem 17. Februar 2025 akzeptiert Zendesk die Verwendung von Implicit Grant und Password Grant nicht mehr als gültige Gewährungsarten zum Erhalt eines Zugriffstokens. Kunden müssen entweder auf die Gewährungsart Autorisierungscode-Flow oder API-Token migrieren. Ab heute kann jeder, der OAuth 2.0 zur Authentifizierung von API-Aufrufen verwenden möchte, nur den Gewährungstyp „Authorization Code Flow“ verwenden.
Warum nimmt Zendesk diese Änderung vor?
In Übereinstimmung mit den Best Practices für OAuth 2.0 gelten die Implicit Grant- und Resource Owner Password Credentials (Kennwort)-Grants jetzt als unsicher und sind laut den Bewährten OAuth 2.0-Sicherheitspraktikennicht zulässig.
Früher wurde der Implicit Grant empfohlen, da er das Zugriffstoken direkt und ohne zusätzlichen Autorisierungscode zurückgab. Dies war bei öffentlichen OAuth-Clients erforderlich, die das client_secretnicht sicher speichern konnten. Aus Sicherheitsgründen wird von dieser Methode jetzt abgeraten, da Zugriffstoken ohne Bestätigung des Clients über HTTP-Umleitungen gesendet werden. Sie wurde durch die sicherere Variante „Authorization Code Grant with Proof Key for Code Exchange“ (PKCE) ersetzt. Das Password Grant-Verfahren ist eine veraltete Methode, um anhand der Anmeldedaten eines Benutzers ein Zugriffstoken abzurufen. Diese Methode wird jetzt nicht empfohlen, da die Client-Anwendung das Kennwort des Benutzers verarbeiten und an den Autorisierungsserver senden muss, was zu einer größeren Angriffsfläche führt. Außerdem ist sie nicht mit der Zwei-Faktor-Authentifizierung kompatibel.
Was muss ich tun?
Wenn Sie derzeit „Implicit Grant“ verwenden, müssen Sie folgende Schritte durchführen:
- Aktualisieren Sie Ihren aktuellen Anruf an den
/oauth/authorizations/newEndpunktresponse_type: codeanstattresponse_type: tokenund fügen Sieredirect_uriundstate-Parameter hinzu, falls noch nicht vorhanden. Wenn Sie einen öffentlichen Client verwenden, fügen Sie unbedingt auchcode_challengeundcode_challenge_method-Parameter hinzu. Weitere Informationen zum Generieren einescode_challengefinden Sie unter Generating the code_challenge value. - Aktualisieren oder implementieren Sie einen neuen Rückruf-Endpunkt in Ihrem OAuth-Client. Weitere Informationen finden Sie in den Implementierungsdetails für den „Authorization Code Grant“ unter Verwenden der OAuth-Authentifizierung für Ihre Anwendung und Using PKCE to make Zendesk OAuth access tokens more secure (Englisch) . Für öffentliche Clients oder wenn Sie einen
code_challengezum/oauth/authorizations/new-Anruf hinzufügen möchten, geben Sie unbedingt dencode_verifieran, wenn Sie den/oauth/tokensEndpunkt anrufen. - Aktualisieren Sie Ihren Client unter
/admin/apps-integrations/apis/zendesk-api/oauth_clientsim Admin Center, um Ihre neue/aktualisierte Weiterleitungs-URI hinzuzufügen, falls sie noch nicht vorhanden ist. - Nach dem Testen und Validieren empfehlen wir Ihnen, die Client-Art unter
/admin/apps-integrations/apis/zendesk-api/oauth_clientsim Admin Center auf „öffentlich“ oder „vertraulich“ zu aktualisieren, damit wir Ihnen ein Höchstmaß an Sicherheit bieten können.
Wenn Sie derzeit die Kennwortberechtigung nutzen, müssen Sie stattdessen ein API-Token verwenden.
Wenn Sie Feedback oder Fragen zu dieser Ankündigung haben, besuchen Sie unser Community-Forum, in dem wir Produkt-Feedback von Kund:innen sammeln und verwalten. Wenn Sie allgemeine Hilfe zu Ihren Zendesk-Produkten benötigen, wenden Sie sich an den Zendesk-Kundensupport.