Anuncio de la eliminación de los tipos de concesión OAuth 2.0 para Support

Fecha de anuncio	Inicio de implementación	Fin de implementación
27 de agosto de 2024	27 de agosto de 2024	17 de febrero de 2025

De acuerdo con las mejores prácticas de OAuth 2.0, Zendesk dejará de aceptar concesiones implícitas y de contraseña para tokens de acceso a partir del 17 de febrero de 2025, solo para Zendesk Support. Esta eliminación no se aplica a Chat, Sell ni Sunshine.

Se recomienda a los clientes que cambien al flujo de código de autorización o a los tokens de API lo antes posible debido a la inseguridad de los tipos de concesión más antiguos.

Este anuncio incluye los siguientes temas:

¿Qué va a cambiar?

El 17 de febrero de 2025, Zendesk dejará de aceptar el uso de concesión implícita y concesión de contraseña como tipos de concesión válidos para obtener un token de acceso. Los clientes tendrán que migrar al tipo de concesión de flujo de código de autorización o tokens de API. A partir de hoy, cualquier persona que desee usar OAuth 2.0 para autenticar las llamadas de API solo puede usar el tipo de concesión de flujo de código de autorización.

¿Por qué va a hacer este cambio Zendesk?

De acuerdo con las mejores prácticas de OAuth 2.0, la concesión implícita y la concesión de Credenciales de contraseña del propietario del recurso (contraseña) ahora se consideran inseguras y no están permitidas por las Mejores prácticas actuales de seguridad de OAuth 2.0.

La concesión implícita solía ser recomendada porque devolvía directamente el token de acceso sin necesidad de un paso de código de autorización adicional. Esto era necesario para los clientes OAuth públicos que no podían almacenar de forma segura el client_secret. Este método ahora no se recomienda debido a los riesgos de seguridad, ya que envía tokens de acceso a través de redireccionamientos HTTP sin la confirmación del cliente. Se ha reemplazado con la concesión de código de autorización más segura con Clave de prueba para intercambio de código (PKCE). La concesión de contraseña es un método obsoleto para obtener un token de acceso usando las credenciales de un usuario. Ahora se desaconseja este método porque requiere que la aplicación cliente maneje la contraseña del usuario y la envíe al servidor de autorización, lo que aumenta la superficie expuesta a ataques. Tampoco es compatible con la autenticación de dos factores.

¿Qué debo hacer?

Si está usando el flujo de concesión implícito, tendrá que:

Actualizar su llamada actual al extremo /oauth/authorizations/new para que use response_type: code en lugar de response_type: token e incluir los parámetros redirect_uri y state si aún no están presentes. Si usa un cliente público, asegúrese de incluir el code_challenge y code_challenge_method parámetros también. Consulte Generación del valor code_challenge si desea más información sobre cómo generar un code_challenge.
Actualice o implemente un nuevo extremo de devolución de llamada en su cliente OAuth. Consulte los detalles de implementación de la concesión de código de autorización en Uso de la autenticación OAuth con su aplicación y Uso de PKCE para hacer que los tokens de acceso OAuth de Zendesk sean más seguros si desea más información. Para los clientes públicos, o si se incluye un code_challenge en la llamada /oauth/authorizations/new, asegúrese de incluir el code_verifier al llamar al extremo /oauth/tokens.
Actualice su cliente en /admin/apps-integrations/apis/zendesk-api/oauth_clients en el Centro de administración para incluir el URI de redireccionamiento nuevo o actualizado si aún no está presente.
Una vez probado y validado, le recomendamos que actualice el tipo de cliente en /admin/apps-integrations/apis/zendesk-api/oauth_clients en el Centro de administración a público o confidencial para que podamos ofrecerle el más alto nivel de seguridad.

Si actualmente está usando el flujo de concesión de contraseña, tendrá que usar un token de API en su lugar.

Si tiene comentarios o preguntas relacionadas con este anuncio, visite el foro de la comunidad donde recopilamos y administramos los comentarios de los clientes sobre los productos. Si desea asistencia general con sus productos Zendesk, contacte a Atención al cliente de Zendesk.

Descargo de responsabilidad de la traducción: Este artículo ha sido traducido usando software de traducción automática para proporcionar una idea básica del contenido. Se han realizado esfuerzos razonables para proporcionar una traducción exacta, sin embargo, Zendesk no garantiza la exactitud de la traducción.

Si surge alguna pregunta relacionada con la exactitud de la información incluida en el artículo traducido, consulte la versión en inglés del artículo, que es la versión oficial.