Update für Entwickler: Erweiterte Sicherheitsrichtlinien für Apps, Integrationen und Bots von Drittanbietern

Ankündigung am	Einführung abgeschlossen
12. August 2025	12. August 2025

Zendesk hat die Richtlinien aktualisiert, die die Entwicklung öffentlicher Anwendungen, Integrationen und Bots in unseren APIs steuern. Dabei nutzt Zendesk moderne API-Sicherheitstechnologie und setzt vernünftige, einheitliche Muster durch. Diese neuen Richtlinien sollen Datensicherheit und Datenschutz priorisieren, dabei jedoch weiterhin die Flexibilität bieten, die Entwickler erwarten.

Diese Änderungen sollen das Vertrauen der Kunden in die auf der Zendesk-Plattform basierenden Anwendungen und Integrationen stärken. Dadurch erhalten Sie einen besseren Einblick in den Zugriff auf Ihre Daten und Zendesk kann diese Daten besser vor Missbrauch schützen.

Diese Ankündigung enthält folgende Aspekte:

Was ändert sich?
Warum nimmt Zendesk diese Änderung vor?
Was muss ich tun?
Was kommt jetzt?

Was ändert sich?

Alle Apps und Integrationen, die zur Verteilung an mehrere Zendesk-Kunden entwickelt wurden, müssen im Zendesk Marketplace zur Überprüfung und Genehmigung eingereicht werden. Weitere Infos zum Veröffentlichen von Bots, Apps und Designs im Zendesk Marketplace.
Alle Apps, Integrationen und Bots müssen den neuen Standards und Richtlinien folgen. Dies gilt nicht für private Apps, die von Kunden für den internen Gebrauch entwickelt wurden.
- Öffentliche Apps basieren auf dem Zendesk App Framework. Wenn Ihre öffentliche ZAF App serverseitige Aufrufe der Zendesk APIs durchführen muss, ist ein globaler OAuth Client erforderlich. Für Vorschau-Apps, die für mehrere Zendesk-Kunden konzipiert sind, müssen dieselben Richtlinien gelten.
- Integrations-Apps (auch „Nur-Marketing-Apps“ genannt) müssen einen globalen OAuth Client verwenden, und jeder API-Aufruf muss angepasste Header enthalten, die den Namen der Integration, die Organisations-ID und die Marketplace-App-ID angeben.
  - Zendesk stellt im Admin Center eine neue Seite bereit, auf der Kunden Integrationen anzeigen und verwalten können, die globale OAuth Zugriffstoken verwenden.
  - Ab dem 31. Januar 2026 ist für alle globalen OAuth Clients die Unterstützung des Refresh Token Flows erforderlich.
- Bots werden gemäß den Marketplace-Bot-Richtlinien erstellt.
Es ist nicht zulässig, dass Apps, Integrationen oder Bots von Drittanbietern (unabhängig davon, ob sie im Zendesk Marketplace aufgeführt sind oder nicht) API-Anmeldedaten (API-Token oder OAuth-Clients) eines Kunden zur Authentifizierung von API-Aufrufen verwenden.
Sie müssen Regeln für den Umgang mit Kundendaten einhalten, um sicherzustellen, dass diese nicht missbraucht oder unangemessenen Risiken ausgesetzt werden. Wir führen neue Einschränkungen für die Nutzung von Kundendaten ein (siehe Zendesk Developer Terms).

Warum nimmt Zendesk diese Änderung vor?

Die Sicherheit unserer APIs und der darauf basierenden Anwendungen und Integrationen ist wichtiger denn je. Da Bedrohungen wie Datenexfiltration von Jahr zu Jahr zunehmen, müssen unsere Kunden sich auf den Schutz ihrer Daten verlassen können. Um dieses Vertrauen aufrechtzuerhalten, ist es ausschlaggebend sicherzustellen, dass alle Marketplace-Anwendungen und -Integrationen bewährten Sicherheitspraktiken folgen – einschließlich starker Authentifizierung, sicherer Entwicklung und Datenschutz – und einer formellen Prüfung durch Zendesk unterzogen werden. Weitere Informationen finden Sie in unserem Blogbeitrag.

Was muss ich tun?

Sie können noch heute alle erforderlichen Änderungen an Ihrer vorhandenen App, Integration oder Ihrem Bot vornehmen. Wenn Sie bereit sind, reichen Sie Ihre App (oder Ihren Bot) zur Überprüfung und Genehmigung im Zendesk Marketplace ein. Wenn Sie gegenwärtig API-Token oder die Standardauthentifizierung mit Ihrer Integration verwenden, um sich mit Zendesk-APIs zu authentifizieren, müssen Sie Ihre Authentifizierungsmethode aktualisieren, um OAuth zu verwenden. Sobald die Änderung abgeschlossen ist, müssen Sie Ihr vorhandenes Listing im Marketplace aktualisieren.

Zendesk wird sich auch an externe App-Entwickler wenden, um Details und Zeitpläne für die Übernahme der neuen Standards und Richtlinien für Ihre vorhandenen Apps und Integrationen anzugeben.

Wenn Sie Ihre Integration nicht im Zendesk Marketplace aufgeführt haben, müssen Sie Ihr Zendesk Marketplace-Profil erstellen, Ihre Organisation registrieren und Ihre App einreichen, um sie zu überprüfen und zu genehmigen.

Um einen reibungslosen Übergang für Kunden beim Rollout der Umstellung auf OAuth zu gewährleisten, können Sie:

Führen Sie einen harten Cutover durch. Ihre Kunden sind alle gleichzeitig betroffen und müssen ihre App oder Integration erneut autorisieren. Sie möchten diese Änderung den betroffenen Kunden im Voraus mitteilen, um die Auswirkungen zu minimieren.
Führen Sie einen Soft-Cutover durch, damit Kunden ihre Anrufe weiterhin mit der vorhandenen Autorisierungsimplementierung authentifizieren können, bis sie die Integration mit OAuth erneut autorisieren.

Ab heute werden neue Einsendungen im Zendesk Marketplace anhand der neuen Standards und Richtlinien überprüft und genehmigt.

Was steht bevor?

Zendesk wird die Sicherheit unserer APIs und der zugehörigen Apps/Integrationen mit der Zeit weiter modernisieren und verbessern, um die Beobachtbarkeit und Kontrolle des Datenverkehrs zu verbessern, der von den Apps/Integrationen kommt, die Ihr Konto ermöglicht.

Hinweis zur Übersetzung: Dieser Beitrag wurde mit automatischer Übersetzungssoftware übersetzt, um dem Leser ein grundlegendes Verständnis des Inhalts zu vermitteln. Trotz angemessener Bemühungen, eine akkurate Übersetzung bereitzustellen, kann Zendesk keine Garantie für die Genauigkeit übernehmen.

Sollten in Bezug auf die Genauigkeit der Informationen im übersetzten Beitrag Fragen auftreten, beziehen Sie sich bitte auf die englische Version des Beitrags, die als offizielle Version gilt.