Fecha de anuncio | Inicio de implementación | Fin de implementación |
27 de agosto de 2024 | 27 de agosto de 2024 | 17 de febrero de 2025 |
De acuerdo con las mejores prácticas de OAuth 2.0, Zendesk dejará de aceptar concesiones implícitas y de contraseña para tokens de acceso a partir del 17 de febrero de 2025, solo para Zendesk Support. Esta eliminación no se aplica a Chat, Sell ni Sunshine.
Se recomienda a los clientes que cambien a flujo de código de autorización o tokens de API lo antes posible debido a la inseguridad de los tipos de concesión más antiguos.
Este anuncio incluye los siguientes temas:
¿Qué va a cambiar?
El 17 de febrero de 2025, Zendesk dejará de aceptar el uso de concesión implícita y concesión de contraseña como tipos de concesión válidos para obtener un token de acceso. Los clientes tendrán que migrar al tipo de concesión de flujo de código de autorización o tokens de API. A partir de hoy, cualquier persona que desee usar OAuth 2.0 para autenticar las llamadas de API solo puede usar el tipo de concesión Flujo de código de autorización.
¿Por qué Zendesk va a hacer este cambio?
De acuerdo con las mejores prácticas de OAuth 2.0, la concesión implícita y la concesión de credenciales de contraseña del propietario del recurso (contraseña) ahora se consideran inseguras y no están permitidas por las mejores prácticas actuales de seguridad de OAuth 2.0.
Se solía recomendar la concesión implícita porque devolvía directamente el token de acceso sin necesidad de un paso de código de autorización adicional. Esto era necesario para los clientes OAuth públicos que no podían almacenar el client_secret de forma segura. Este método ahora no se recomienda debido a los riesgos de seguridad, ya que envía tokens de acceso a través de redireccionamientos HTTP sin la confirmación del cliente. Ha sido reemplazada por la concesión de código de autorización con clave de prueba para intercambio de código (PKCE), que es más segura. La concesión de contraseña es un método obsoleto para obtener un token de acceso usando las credenciales de un usuario. Ahora se desaconseja este método porque requiere que la aplicación cliente maneje la contraseña del usuario y la envíe al servidor de autorización, lo que aumenta la superficie expuesta a ataques. Tampoco es compatible con la autenticación de dos factores.
¿Qué debo hacer?
Si actualmente está usando la concesión implícita, tendrá que:
- Actualizar su llamada actual al extremo
/oauth/authorizations/new
para que useresponse_type: code
en lugar deresponse_type: token
e incluir los parámetrosredirect_uri
ystate
si aún no están presentes. Si usa un cliente público, asegúrese de incluir también los parámetroscode_challenge
ycode_challenge_method
. Consulte Generación del valor code_challenge si desea más información sobre cómo generar uncode_challenge
. - Actualice o implemente un nuevo extremo de devolución de llamada en su cliente OAuth. Consulte Detalles de implementación de concesión de código de autorización en Uso de la autenticación OAuth con su aplicación y Uso de PKCE para hacer que los tokens de acceso OAuth de Zendesk sean más seguros si desea más información. Para los clientes públicos, o si se incluye un
code_challenge
en la llamada/oauth/authorizations/new
, asegúrese de incluir elcode_verifier
al llamar al extremo/oauth/tokens
. - Actualice su cliente en
/admin/apps-integrations/apis/zendesk-api/oauth_clients
en el Centro de administración para incluir el URI de redireccionamiento nuevo o actualizado si aún no está presente. - Una vez probado y validado, le recomendamos que actualice el tipo de cliente en
/admin/apps-integrations/apis/zendesk-api/oauth_clients
en el Centro de administración a público o confidencial para que podamos ofrecerle el más alto nivel de seguridad.
Si actualmente está usando la concesión de contraseña, tendrá que usar un token de API en su lugar.
Si tiene comentarios o preguntas relacionadas con este anuncio, visite el foro de la comunidad donde recopilamos y administramos los comentarios de los clientes sobre los productos. Si desea asistencia general con sus productos Zendesk, contacte a Atención al cliente de Zendesk.