Vor Kurzem aufgerufene Suchen


Keine vor kurzem aufgerufene Suchen

Caroline Kello's Avatar

Caroline Kello

Beigetreten 14. Apr. 2021

·

Letzte Aktivität 10. Feb. 2025

Zendesk Product Manager

Folge ich

0

Follower

2

Gesamtaktivitäten

243

Stimmen

32

Abonnements

96

AKTIVITÄTSÜBERSICHT

Neueste Aktivität von Caroline Kello

Caroline Kello hat einen Kommentar hinterlassen

Community-Kommentar Feedback - Ticketing system (Support)

It's covered in this FAQ: 24 hours.

Kommentar anzeigen · Gepostet 29. Jan. 2025 · Caroline Kello

0

Follower

1

Stimme

0

Kommentare


Caroline Kello hat einen Kommentar hinterlassen

Community-Kommentar Feedback - Ticketing system (Support)

Hey Murph Murphy,

 

This doesn't align with the expected behavior, and we're not able to recreate what you're seeing either. If you could please contact our Customer Support so that we can figure out what's going on here. 

 

Thanks, Caroline

Kommentar anzeigen · Gepostet 29. Jan. 2025 · Caroline Kello

0

Follower

0

Stimmen

0

Kommentare


Caroline Kello hat einen Kommentar hinterlassen

Community-Kommentar Feedback - Ticketing system (Support)
Hey Molly, thank you for taking the time to provide us with this feedback! 
 
This feature request has been accepted and is on our roadmap for the first half of this year. Per our Community Guidelines, we can provide general guidance for anticipated feature and functionality release dates, and any discussion of planning is always subject to change. To stay on top of product releases please visit our What’s New page in the Help Center. We are going to leave this post open for comment to allow others to provide their feedback and use cases.
 
Thank you again for your feedback and for being a valuable customer with Zendesk.

Kommentar anzeigen · Gepostet 23. Jan. 2025 · Caroline Kello

0

Follower

0

Stimmen

0

Kommentare


Caroline Kello hat einen Kommentar hinterlassen

Community-Kommentar Feedback - Ticketing system (Support)

Hey Sarah, 

Thanks for the detailed feedback regarding our announcement to deprecate these flows, I appreciate you taking the time to reach out.

 

After careful consideration of the security implications and industry standards, we must maintain our decision to deprecate both the Implicit grant type and Password grant type. Here are the key points for the Implicit grant flow that guided our decision:

  • Security risks: The Implicit grant flow, while historically utilized for browser-based applications, poses significant security risks. It is more susceptible to phishing attacks  and the token has a potential of being exposed. This exposure increases the risk of token interception and replay attacks, potentially compromising user data or allowing unauthorized access.
     
  • Alignment with industry standards and best practices: The OAuth 2.0 Security Best Current Practice document recommends against using the Implicit grant flow. Instead, it advocates for the Authorization code flow with Proof Key for Code Exchange (PKCE), which provides a significantly higher level of security for authorization processes in browser-based applications. This method protects the authorization process and minimizes risks associated with token exposure. Here’s our documentation on Using PKCE to make Zendesk OAuth access tokens more secure.
     
  • Enhancing our OAuth implementation: We have already implemented support for the authorization code flow with PKCE, which enhances the security of the authorization process. Additionally, we will be adding support for the client credentials flow, further aligning our offerings with modern security standards and providing a more secure environment for all customers.

While we recognize that you trust your specific environment and have built it securely, the Implicit grant flow is nevertheless considered less secure. We believe that providing an opt-in option would still expose our customers to risks which we feel are not acceptable. While the migration to the Authorization code flow does require effort, we believe that the long-term security benefits to all our customers outweigh the initial challenge in migration.


Thank you again for taking the time to share your feedback. We appreciate you being a valuable Zendesk Community member and customer. 
 

Kommentar anzeigen · Gepostet 21. Jan. 2025 · Caroline Kello

0

Follower

0

Stimmen

0

Kommentare


Caroline Kello hat einen Kommentar hinterlassen

Community-Kommentar Feedback - Ticketing system (Support)
Hey everyone, thanks for taking the time to provide us with this feedback! 
 
This is a great feature request and I have added it to the backlog for future consideration. This means that we will think about adding it as a priority later in our planning cycle. We are going to leave this post open for comment to allow others to provide their feedback and use cases, however please note as is stated in our Community Guidelines that we can not commit to prioritizing any one piece of feedback we receive in the community. 
 
Thank you again for your feedback.

Kommentar anzeigen · Gepostet 13. Jan. 2025 · Caroline Kello

0

Follower

0

Stimmen

0

Kommentare


Caroline Kello hat einen Kommentar hinterlassen

Community-Kommentar Feedback - Admin Center

Hey Vinicius - I completely agree with you and we have plans to address this setting this year. Appreciate you taking the time to leave such detailed feedback. 

Kommentar anzeigen · Gepostet 10. Jan. 2025 · Caroline Kello

0

Follower

0

Stimmen

0

Kommentare


Caroline Kello hat einen Kommentar hinterlassen

KommentarSingle sign-on

Hey James, I'm Caroline from the Product team 👋 I'm assuming you're referencing Microsoft SSO for end users in particular here? We currently don't have any plans to address this in 2025, but I've added your feedback to our internal tool to make sure that it's captured and tracked accordingly. 

Kommentar anzeigen · Gepostet 13. Dez. 2024 · Caroline Kello

0

Follower

0

Stimmen

0

Kommentare


Caroline Kello hat einen Kommentar hinterlassen

KommentarSingle sign-on

Hey Holly, we announced the release on September 30 and finished on October 4 - you should be able to see it now but let me know if for some reason it's still not showing up for you. 

Kommentar anzeigen · Gepostet 06. Nov. 2024 · Caroline Kello

0

Follower

0

Stimmen

0

Kommentare


Caroline Kello hat einen Beitrag erstellt

BeitragUpdates für Entwickler
Ankündigung am Beginn der Einführung Ende der Einführung
27. August 2024 27. August 2024 17. Februar 2025

In Übereinstimmung mit den Best Practices für OAuth 2.0 akzeptiert Zendesk ab dem 17. Februar 2025 keine impliziten und kennwortspezifischen Grants für Zugriffstoken, nur für Zendesk Support. Chat, Sell und Sunshine sind hiervon nicht betroffen.

Aufgrund der unsicheren Sicherheit der älteren Berechtigungstypen wird Kunden empfohlen, so bald wie möglich auf den Autorisierungscode oder API-Token umzusteigen.

Diese Ankündigung enthält folgende Themen: 

Was ändert sich?

Ab dem 17. Februar 2025 akzeptiert Zendesk die Verwendung von Implicit Grant und Password Grant nicht mehr als gültige Grant-Typen zum Erhalt eines Zugriffstokens. Kunden müssen entweder auf den Grant-Typ „ Authorization Code Flow “ oder auf API-Token migrieren. Ab heute kann jeder, der OAuth 2.0 zur Authentifizierung von API-Aufrufen verwenden möchte, nur den Flow Grant-Typ „Authorization Code“ verwenden.

Warum nimmt Zendesk diese Änderung vor?

In Übereinstimmung mit den Best Practices für OAuth 2.0 gelten die Implicit Grant- und Resource Owner Password Credentials (Kennwort)-Grants jetzt als unsicher und sind laut OAuth 2.0 Security Best Practicenicht zulässig.

Der implizite Grant wurde früher empfohlen, weil er das Zugriffstoken direkt zurückgibt, ohne dass ein zusätzlicher Autorisierungscode erforderlich ist. Dies war bei öffentlichen OAuth-Clients erforderlich, die das client_secretnicht sicher speichern konnten. Aus Sicherheitsgründen wird von dieser Methode jetzt abgeraten, da Zugriffstoken ohne Bestätigung des Clients über HTTP-Umleitungen gesendet werden. Sie wurde durch die sicherere Autorisierungscodegewährung mit Proof Key for Code Exchange (PKCE) ersetzt. Das Password Grant ist eine veraltete Methode zum Abrufen eines Zugriffstokens anhand der Anmeldedaten eines Benutzers. Diese Methode wird jetzt nicht empfohlen, da die Client-Anwendung das Kennwort des Benutzers verarbeiten und an den Autorisierungsserver senden muss, was zu einer größeren Angriffsfläche führt. Außerdem ist sie nicht mit der Zwei-Faktor-Authentifizierung kompatibel.

Was muss ich tun?

Wenn Sie den Flow „Implicit Grant“ verwenden, müssen Sie folgende Schritte durchführen:

  • Aktualisieren Sie Ihren aktuellen Anruf an den /oauth/authorizations/new Endpunkt response_type: code anstatt response_type: token und fügen Sie redirect_uri und state-Parameter hinzu, falls noch nicht vorhanden. Wenn Sie einen öffentlichen Client verwenden, geben Sie unbedingt auch die an code_challenge und code_challenge_method enthalten. Weitere Informationen zum Generieren eines code_challenge finden Sie unter Generating the code_challenge value.
  • Aktualisieren oder implementieren Sie einen neuen Rückruf-Endpunkt in Ihrem OAuth-Client. Weitere Informationen finden Sie unter Verwenden der OAuth-Authentifizierung für Ihre Anwendung und Aktivieren von Zendesk OAuth-Zugriffstoken mithilfe von PKCE . Für öffentliche Clients oder wenn Sie einen code_challenge zum /oauth/authorizations/new-Anruf hinzufügen möchten, geben Sie unbedingt den code_verifier an, wenn Sie den /oauth/tokens Endpunkt anrufen.
  • Client aktualisieren unter /admin/apps-integrations/apis/zendesk-api/oauth_clients im Admin Center Ihre neue oder aktualisierte Weiterleitungs-URI hinzufügen, falls sie noch nicht vorhanden ist.
  • Nach dem Testen und Validieren empfehlen wir Ihnen, die Client-Art unter /admin/apps-integrations/apis/zendesk-api/oauth_clients im Admin Center auf „öffentlich“ oder „vertraulich“ zu aktualisieren, damit wir Ihnen ein Höchstmaß an Sicherheit bieten können.

Wenn Sie derzeit den Flow Password Grant verwenden, müssen Sie stattdessen ein API-Token verwenden.

Falls Sie Feedback oder Fragen zu dieser Ankündigung haben, dann besuchen Sie unser Community-Forum, in dem wir das Produkt-Feedback der Kund:innen sammeln und verwalten. Wenn Sie allgemeine Hilfe zu Ihren Zendesk-Produkten benötigen, wenden Sie sich an den Zendesk-Kundensupport.

Hinweis zur Übersetzung: Dieser Beitrag wurde mit automatischer Übersetzungssoftware übersetzt, um dem Leser ein grundlegendes Verständnis des Inhalts zu vermitteln. Trotz angemessener Bemühungen, eine akkurate Übersetzung bereitzustellen, kann Zendesk keine Garantie für die Genauigkeit übernehmen.

Sollten in Bezug auf die Genauigkeit der Informationen im übersetzten Beitrag Fragen auftreten, beziehen Sie sich bitte auf die englische Version des Beitrags, die als offizielle Version gilt.

Bearbeitet 05. Nov. 2024 · Caroline Kello

0

Follower

1

Stimme

0

Kommentare


Caroline Kello hat einen Kommentar hinterlassen

Community-Kommentar Feedback - Ticketing system (Support)

Is it the “New device added" email that you'd like to turn off? I'd love to know more about why that email isn't valuable to you. 

Kommentar anzeigen · Gepostet 15. Okt. 2024 · Caroline Kello

0

Follower

0

Stimmen

0

Kommentare