Ankündigung am	Beginn der Einführung	Ende der Einführung
27. August 2024	27. August 2024	17. Februar 2025

In Übereinstimmung mit den Best Practices für OAuth 2.0 akzeptiert Zendesk ab dem 17. Februar 2025 keine impliziten und kennwortspezifischen Grants für Zugriffstoken, nur für Zendesk Support. Chat, Sell und Sunshine sind hiervon nicht betroffen.

Aufgrund der unsicheren Sicherheit der älteren Berechtigungstypen wird Kunden empfohlen, so bald wie möglich auf den Autorisierungscode oder API-Token umzusteigen.

Diese Ankündigung enthält folgende Themen: 

• Was ändert sich? 
• Warum nimmt Zendesk diese Änderung vor?
• Was muss ich tun?

Was ändert sich?

Ab dem 17. Februar 2025 akzeptiert Zendesk die Verwendung von Implicit Grant und Password Grant nicht mehr als gültige Grant-Typen zum Erhalt eines Zugriffstokens. Kunden müssen entweder auf den Grant-Typ „ Authorization Code Flow “ oder auf API-Token migrieren. Ab heute kann jeder, der OAuth 2.0 zur Authentifizierung von API-Aufrufen verwenden möchte, nur den Flow Grant-Typ „Authorization Code“ verwenden.

Warum nimmt Zendesk diese Änderung vor?

In Übereinstimmung mit den Best Practices für OAuth 2.0 gelten die Implicit Grant- und Resource Owner Password Credentials (Kennwort)-Grants jetzt als unsicher und sind laut OAuth 2.0 Security Best Practicenicht zulässig.

Der implizite Grant wurde früher empfohlen, weil er das Zugriffstoken direkt zurückgibt, ohne dass ein zusätzlicher Autorisierungscode erforderlich ist. Dies war bei öffentlichen OAuth-Clients erforderlich, die das client_secretnicht sicher speichern konnten. Aus Sicherheitsgründen wird von dieser Methode jetzt abgeraten, da Zugriffstoken ohne Bestätigung des Clients über HTTP-Umleitungen gesendet werden. Sie wurde durch die sicherere Autorisierungscodegewährung mit Proof Key for Code Exchange (PKCE) ersetzt. Das Password Grant ist eine veraltete Methode zum Abrufen eines Zugriffstokens anhand der Anmeldedaten eines Benutzers. Diese Methode wird jetzt nicht empfohlen, da die Client-Anwendung das Kennwort des Benutzers verarbeiten und an den Autorisierungsserver senden muss, was zu einer größeren Angriffsfläche führt. Außerdem ist sie nicht mit der Zwei-Faktor-Authentifizierung kompatibel.

Was muss ich tun?

Wenn Sie den Flow „Implicit Grant“ verwenden, müssen Sie folgende Schritte durchführen:

• Aktualisieren Sie Ihren aktuellen Anruf an den /oauth/authorizations/new Endpunkt response_type: code anstatt response_type: token und fügen Sie redirect_uri und state-Parameter hinzu, falls noch nicht vorhanden. Wenn Sie einen öffentlichen Client verwenden, geben Sie unbedingt auch die an code_challenge und code_challenge_method enthalten. Weitere Informationen zum Generieren eines code_challenge finden Sie unter Generating the code_challenge value.
• Aktualisieren oder implementieren Sie einen neuen Rückruf-Endpunkt in Ihrem OAuth-Client. Weitere Informationen finden Sie unter Verwenden der OAuth-Authentifizierung für Ihre Anwendung und Aktivieren von Zendesk OAuth-Zugriffstoken mithilfe von PKCE . Für öffentliche Clients oder wenn Sie einen code_challenge zum /oauth/authorizations/new-Anruf hinzufügen möchten, geben Sie unbedingt den code_verifier an, wenn Sie den /oauth/tokens Endpunkt anrufen.
• Client aktualisieren unter /admin/apps-integrations/apis/zendesk-api/oauth_clients im Admin Center Ihre neue oder aktualisierte Weiterleitungs-URI hinzufügen, falls sie noch nicht vorhanden ist.
• Nach dem Testen und Validieren empfehlen wir Ihnen, die Client-Art unter /admin/apps-integrations/apis/zendesk-api/oauth_clients im Admin Center auf „öffentlich“ oder „vertraulich“ zu aktualisieren, damit wir Ihnen ein Höchstmaß an Sicherheit bieten können.

Wenn Sie derzeit den Flow Password Grant verwenden, müssen Sie stattdessen ein API-Token verwenden.

Falls Sie Feedback oder Fragen zu dieser Ankündigung haben, dann besuchen Sie unser Community-Forum, in dem wir das Produkt-Feedback der Kund:innen sammeln und verwalten. Wenn Sie allgemeine Hilfe zu Ihren Zendesk-Produkten benötigen, wenden Sie sich an den Zendesk-Kundensupport.