Date de l’annonce Début du déploiement Fin du déploiement
1 juin 2026 28 juillet 2026 30 avril 2027

Zendesk supprime les tokens API en tant que méthode d’authentification. À partir du 28 juillet 2026, les tokens inutilisés seront automatiquement désactivés. Le 30 avril 2027, tous les tokens API cesseront de fonctionner. La migration de vos intégrations vers OAuth doit être effectuée avant la date limite finale. Cette modification affecte uniquement les API qui utilisent actuellement les tokens API, notamment les API de gestion des tickets, du centre d’aide et du centre d’appels. Il ne s’applique pas aux autres produits Zendesk.

Cette annonce couvre les sujets suivants :

  • Qu’est-ce qui va changer ?
  • Pourquoi cette modification ?
  • Que dois-je faire ?
  • Questions fréquentes

 

Qu’est-ce qui va changer ?

Zendesk supprime les tokens API d’assistance en trois phases. Le déploiement comprend la désactivation automatique des tokens inutilisés, le blocage de la création de nouveaux tokens et une date de désactivation forcée définitive.

Phase 1 (à partir du 28 juillet 2026) : désactivation automatique 

Le 28 juillet 2026, les mises à jour suivantes entrent en vigueur :

  • Nettoyage unique : tout token inutilisé depuis 30 jours ou plus sera désactivé. Les tokens désactivés ne peuvent pas être utilisés pour effectuer des requêtes API. Les tokens API désactivés depuis 60 jours ou plus seront supprimés définitivement. 
  • Début de la désactivation automatique : à partir du 28 juillet, tout token inutilisé pendant 30 jours sera automatiquement désactivé. Si un token API reste désactivé pendant 60 jours supplémentaires, il sera supprimé définitivement. 
  • Nouveaux comptes bloqués : les comptes créés à partir du 28 juillet 2026 ne pourront pas créer ni utiliser de tokens API. 

Il est possible de réactiver les tokens API désactivés dans un délai de 60 jours avant leur suppression définitive. 

Phase 2 (à partir du 27 octobre 2026) : blocage de la création de nouveaux tokens 

Les comptes ne pourront plus créer de nouveaux tokens API via l’interface utilisateur ou l’API. Les tokens actifs existants resteront utilisables jusqu’au 30 avril 2027, sauf s’ils sont désactivés.

Phase 3 (en vigueur le 30 avril 2027) : désactivation forcée 

Tous les tokens API restants seront désactivés définitivement. Les administrateurs ne pourront pas réactiver les tokens, et les pages de gestion des tokens API seront supprimées du Centre d’administration.

 

Pourquoi cette modification ?

Les tokens API permanents à accès total sont remplacés par OAuth afin de vous offrir un accès plus sécurisé, de courte durée et précisément délimité pour vos workflows pilotés par API. OAuth est la norme du secteur pour les accès API sécurisés et offre des fonctionnalités de sécurité qui ne peuvent pas être intégrées rétroactivement dans l’architecture des tokens API. Les tokens API ont été conçus pour la commodité, et non pour la sécurité. Ils ne disposent pas des protections fondamentales contre la compromission des identifiants.

Limites de sécurité des tokens API

Les tokens API manquent de contrôles de sécurité fondamentaux :

  • Absence de mécanisme de rotation : il n’existe aucun moyen de renouveler les identifiants de manière proactive dans le cadre d’une bonne pratique de sécurité. La rotation d’un token API nécessite la révocation de l’ancien token et la mise à jour manuelle de chaque intégration, vous forçant à choisir entre la sécurité et la continuité opérationnelle.
  • Absence de permissions granulaires : un token API peut être utilisé pour usurper l’identité de n’importe quel utilisateur de votre compte, y compris les administrateurs. Il est impossible de limiter les tokens à des opérations spécifiques ou de restreindre les utilisateurs qu’ils peuvent représenter. Les tokens offrent un accès total au compte, sans nuance.
  • Absence d’expiration : les tokens restent valides indéfiniment tant qu’ils sont utilisés. Bien que nous introduisions la désactivation automatique des tokens inutilisés, un identifiant activement exploité n’expire jamais. Un attaquant utilisant un token volé tous les quelques jours pourrait maintenir un accès permanent.

Si un token est compromis via des dépôts de code exposés, des identifiants divulgués ou des systèmes compromis, les attaquants obtiennent un accès persistant au compte. Ces tokens compromis restent souvent valides pendant des mois avant d’être détectés.

Pourquoi OAuth plutôt qu’une amélioration des tokens API

L’authentification moderne requiert des fonctionnalités de sécurité telles que l’expiration automatique, la rotation des identifiants et le délimitage granulaire : des capacités qui dépendent d’une architecture d’authentification fondamentalement différente. Ajouter ces protections aux tokens API reviendrait essentiellement à les reconstruire pour qu’ils fonctionnent comme OAuth, sous un autre nom. De plus, toute amélioration apportée aux tokens API nécessiterait quand même une mise à jour de vos workflows pilotés par API. OAuth est le meilleur investissement : c’est le protocole d’authentification standard du secteur, activement maintenu et en constante évolution pour faire face aux menaces de sécurité émergentes, et il constitue la base appropriée sur laquelle s’appuyer.

 

Que dois-je faire ?

Vérifiez vos tokens API maintenant

  1. Dans le Centre d’administration, cliquez sur Applications et intégrations > API > Tokens API.
  2. Vérifiez la date de « Dernière utilisation » pour chaque token.
  3. Les tokens inutilisés depuis 30 jours ou plus seront désactivés le 28 juillet 2026.
  4. Vérifiez les descriptions des tokens pour identifier les workflows qui les utilisent.

 

Évaluez les risques d’interruption

Si vous ne migrez pas à temps, toute intégration utilisant des tokens API cessera de fonctionner. L’impact dépend du degré de dépendance de vos workflows pilotés par API utilisant des tokens API (et non OAuth) :

  • Les webhooks qui mettent à jour les ticket ou modifient des données dans votre compte Zendesk
  • Les scripts personnalisés pour l’automatisation ou la synchronisation des données
  • Les intégrations tierces développées par des prestataires ou des développeurs externes
  • Les workflows middleware où les agents n’accèdent jamais directement à l’interface Zendesk

Les appels API utilisant des tokens API désactivés renverront des erreurs d’authentification. Les workflows cesseront de s’exécuter, les ticket ne se synchroniseront plus et les processus automatisés pourront échouer silencieusement.

Migrez vers OAuth

OAuth est la méthode d’authentification moderne qui remplace les tokens API. Les étapes à suivre :

  1. Créez un client OAuth dans le Centre d’administration.
  2. Obtenez des tokens d’accès via le grant client_credentials ou authorization_code.
  3. Mettez à jour vos intégrations pour utiliser OAuth à la place des tokens API.

Pour en savoir plus, consultez Migration des tokens API vers les tokens d’accès OAuth dans la documentation destinée aux développeurs. 

Surveillez vos tokens API

À partir du 28 juillet, de nouveaux outils seront disponibles pour faciliter cette transition :

  • Une colonne « Date de désactivation » sur votre page de tokens API indiquant quand les tokens inutilisés seront automatiquement désactivés.
  • Un rapport d’utilisation sur votre page de tokens API affichant les 7 derniers jours de requêtes API effectuées avec des tokens API (à générer quotidiennement pour constituer un historique continu).
  • Les notifications par e-mail alerteront tous les administrateurs :
    • 5 jours avant le nettoyage du 28 juillet (23 et 27 juillet)
    • Jour 25 et jour 29 avant qu’un token atteigne 30 jours d’inactivité (avertissement de désactivation)
    • Jour 55 avant la suppression définitive d’un token désactivé

Profitez de la période de grâce

Entre le 28 juillet 2026 et le 30 avril 2027, vous avez le temps de :

  • Tester vos implémentations OAuth
  • Identifier quels tokens API sont utilisés dans quels workflows
  • Réactiver les tokens désactivés (dans les 60 jours avant la suppression définitive)
  • Migrer progressivement : vous n’avez pas besoin de tout migrer en une seule fois

 

Questions fréquentes

Que se passe-t-il à chaque date clé ?

Date Conséquences
23 juillet 2026 Premier e-mail de notification : liste des tokens qui seront désactivés/supprimés le 28 juillet
27 juillet 2026 E-mail de rappel (1 jour avant le déploiement)
28 juillet 2026

Début du déploiement :

• Nettoyage unique : tokens inutilisés depuis 30 jours ou plus → désactivés ; tokens désactivés depuis 60 jours ou plus → supprimés

• Début de la désactivation automatique : tout token inutilisé pendant 30 jours → désactivation automatique à partir de cette date

• Nouveaux comptes bloqués : les comptes créés à cette date ou après ne pourront pas créer de tokens API

• Mises à jour de l’interface : colonne « Date de désactivation » et rapport d’utilisation disponibles

En continu (à partir du 28 juillet)

E-mails de notification envoyés aux jours 25 et 29 avant qu’un token atteigne 30 jours d’inactivité (avertissement de désactivation)

E-mail de notification envoyé au jour 55 avant qu’un token atteigne 60 jours de désactivation (avertissement de suppression)

21 septembre 2026 Envoi des premiers e-mails d’avertissement de suppression (pour les tokens désactivés le 28 juillet)
26 septembre 2026 Suppression automatique des premiers tokens (tokens désactivés le 28 juillet qui n’ont jamais été réactivés)
27 octobre 2026 La création de nouveaux tokens API n’est plus possible (les tokens existants fonctionnent toujours)
30 avril 2027 Date limite finale : TOUS les tokens API cesseront définitivement de fonctionner, sans possibilité de réactivation

Puis-je empêcher la désactivation de mes tokens le 28 juillet ?

Oui, à condition d’utiliser le token entre le 28 juin et le 28 juillet. Le 28 juillet 2026, l’activité de tous les tokens est vérifiée. Tout token dont la date de « Dernière utilisation » remonte à plus de 30 jours sera désactivé.

Comment réactiver un token désactivé ?

  1. Dans le Centre d’administration, cliquez sur Applications et intégrations > API > Tokens API.
  2. Trouvez le token désactivé (le statut indique « Désactivé »).
  3. Cliquez sur l’icône du menu d’options à côté du token et sélectionnez « Réactiver ».
  4. Le token peut être utilisé à nouveau immédiatement.

Il est possible de réactiver tout token désactivé dans un délai de 60 jours à compter de sa désactivation. Passé ce délai de 60 jours, le token est supprimé définitivement et ne peut pas être récupéré. Après le 30 avril 2027, aucun token ne pourra être réactivé.


 

Comment savoir quels tokens sont sur le point d’être désactivés ?

À partir du 28 juillet, votre page de tokens API affichera une colonne « Date de désactivation ». Vous recevrez aussi les notifications par e-mail envoyées à tous les administrateurs :

  • Cinq jours avant la désactivation (par ex., le 23 juillet pour le nettoyage du 28 juillet)
  • Un jour avant la désactivation (par ex., le 27 juillet pour le nettoyage du 28 juillet)

Pour le suivi en continu après le 28 juillet, des e-mails seront envoyés aux jours 25 et 29 avant qu’un token atteigne le seuil de 30 jours d’inactivité. Tous les e-mails seront regroupés quotidiennement et un seul e-mail par jour listera tous les tokens concernés, et non un e-mail par token.

Comment consulter les informations détaillées d’utilisation de mes tokens API ?

À partir du 28 juillet, il sera possible de générer un rapport d’utilisation depuis la page des tokens API. Le rapport affiche les 7 derniers jours de demandes API effectuées avec les tokens API ou jusqu’à 500 Mo de données, selon le cas. La génération régulière de rapports permettra de constituer un historique continu sur 30 à 60 jours.

Chaque ligne du rapport correspondra à une requête API avec les informations suivantes :

  • Timestamp : date et heure de la requête
  • Identifiant du token : identifiant du token tronqué
  • Description du token : description du token API (si renseignée)
  • Adresse IP : origine de la requête
  • Agent utilisateur : le client ou l’application ayant effectué la requête
  • Méthode : méthode HTTP (GET, POST, PUT, DELETE, etc.)
  • URL : le point de terminaison API sollicité
  • Code de statut : code de réponse HTTP (200, 404, 401, etc.)
  • Identifiant de l’utilisateur et adresse e-mail : l’utilisateur dont l’adresse e-mail a été utilisée avec le token pour effectuer la requête API

Utilisation du rapport :

  • Générez le rapport tous les quelques jours pour constituer un historique continu sur 30 à 60 jours.
  • Utilisez l’adresse IP et l’agent utilisateur pour identifier les systèmes ou scripts utilisant chaque token.
  • Utilisez l’identifiant de l’utilisateur et l’adresse e-mail pour identifier les personnes effectuant les requêtes API.
  • Consultez les colonnes URL et méthode pour comprendre les opérations effectuées par le token.
  • Comparez l’identifiant du token avec votre liste de tokens pour identifier lequel doit être migré.

Quels tokens API sont supprimés ?

Seuls les tokens API d’assistance sont concernés. Les tokens API pour la messagerie, le chat et les autres produits ne sont pas affectés par ce changement.

Dois-je migrer tous mes tokens en une seule fois ?

Non, la migration des intégrations peut se faire progressivement. Les tokens existants continueront de fonctionner jusqu’à la désactivation forcée du 30 avril 2027. Priorité aux intégrations critiques pour la continuité des activités.

Que faire si j’ai une application tierce qui utilise des tokens API ?

Pour les applications du Marketplace : conformément aux politiques destinées aux développeurs, il est interdit à toute application, toute intégration ou tout bot tiers (qu’il soit répertorié sur le Marketplace Zendesk ou non) d’utiliser les identifiants API d’un client (token API ou client OAuth du client) pour authentifier les appels API. Les applications qui migrent vers OAuth continueront de fonctionner. Les applications qui ne migrent pas cesseront de fonctionner lors de la désactivation des tokens API.

Pour les applications personnalisées développées par des tiers : contactez le développeur qui a créé l’application et demandez-lui de migrer vers OAuth. Si le développeur n’est plus disponible, une reconstruction ou une solution alternative sera nécessaire.

Que faire si mon intégration s’exécute peu fréquemment (mensuel/trimestriel) ?

Si votre token n’a pas été utilisé depuis 30 jours, il sera automatiquement désactivé à partir du 28 juillet. À la prochaine exécution de votre workflow, celui-ci échouera avec une erreur d’authentification.

Solutions alternatives :

  • Consultez votre page de tokens dès aujourd’hui et identifiez les tokens qui seront désactivés le 28 juillet (tout token inutilisé depuis 30 jours ou plus).
  • Utilisez le token une fois entre le 28 juin et le 28 juillet pour éviter la désactivation initiale.
  • Après le 28 juillet, utilisez le rapport d’utilisation pour documenter les tokens actifs.
  • En cas d’échec d’un workflow, réactivez les tokens récemment désactivés et utilisez le rapport d’utilisation pour identifier celui qui était nécessaire.

Comment identifier quel token est à l’origine d’une requête API en échec ?

Actuellement, les requêtes d’authentification en échec n’indiquent pas quel token spécifique a été utilisé. Pour résoudre un problème après une désactivation :

  1. Recherchez les tokens récemment désactivés sur la page des tokens API.
  2. Réactivez tous les tokens candidats (vous disposez de 60 jours).
  3. Générez un rapport d’utilisation après l’exécution de votre workflow pour identifier le token utilisé.

Que se passe-t-il si je ne migre pas à temps ?

À partir du 30 avril 2027, tous les appels API utilisant des tokens API échoueront avec des erreurs d’authentification. L’impact dépend de votre utilisation des tokens API :

  • Les workflows cesseront de s’exécuter
  • Les ticket ne se synchroniseront plus
  • Les rapports ne s’exécuteront plus
  • Les processus automatisés échoueront

Aucune dérogation ni prolongation n’est possible au-delà du 30 avril 2027. Toutes les intégrations doivent être migrées vers OAuth.

Pourquoi ne pas simplement améliorer les tokens API plutôt que de les supprimer ?

Les améliorations de sécurité qu’OAuth apporte (expiration automatique, rotation et délimitage) nécessitent un modèle d’authentification fondamentalement différent. L’ajout de ces fonctionnalités aux tokens API reviendrait essentiellement à recréer OAuth sous un autre nom.

De plus, la prise en charge de deux méthodes d’authentification crée ses propres risques de sécurité :

  • Les clients choisissent l’option la plus simple (tokens API) plutôt que l’option la plus sécurisée (OAuth).
  • Les améliorations de sécurité et la surveillance doivent être maintenues pour les deux systèmes.
  • Les attaquants peuvent exploiter la méthode présentant la sécurité la plus faible.

En supprimant complètement les tokens API, nous garantissons que toutes les intégrations bénéficient d’une authentification moderne, plutôt que de laisser disponible l’option moins sécurisée.

Qu’en est-il des webhooks qui utilisent des tokens API ?

L’utilisation des tokens API dans les webhooks qui renvoient à votre propre instance Zendesk n’est plus prise en charge et ne fonctionnera plus dans le cadre de cette fin de vie. Dans de nombreux cas d’utilisation, la migration vers les workflows d’actions peut être plus simple que OAuth. Pour les webhooks que les workflows d’actions ne prennent pas encore en charge, vous devez créer un client OAuth et mettre votre webhook à jour pour qu’il utilise les tokens d’accès OAuth pour l’authentification. Si votre webhook doit être rappelé dans Zendesk et nécessite un comportement d’actualisation de token OAuth, vous devrez peut-être utiliser un middleware ou une autre implémentation personnalisée capable de traiter l’authentification en votre nom. D’autres chemins de migration sont en cours d’évaluation.

Qu’est-ce qu’un workflow d’actions ?

Les workflows d’actions sont des séquences d’étapes automatisées définies par l’utilisateur, qui effectuent des actions dans Zendesk et dans des systèmes externes en fonction d’un événement défini qui initie ou déclenche le workflow. La page des workflows d’actions du Centre d’administration inclut un créateur de workflow visuel (appelé créateur d’actions) qui permet de créer et de modifier ces workflows. Consultez Créateur d’actions et workflows d’actions et Création de workflows d’actions pour automatiser les processus dans Zendesk et les systèmes externes.

Avantages des workflows d’actions :

  • Les actions Zendesk ne sont pas comptabilisées pour vos limites de débit de l’API Zendesk (mais les actions personnalisées dans les workflows d’actions le sont).
  • Peut regrouper plusieurs webhooks dans un seul workflow
  • Extensible : ajoutez des appels tiers en plus des opérations internes
  • Le créateur de workflow visuel facilite la création et la gestion de workflows multisystème

Quels webhooks sont de bons candidats pour la migration des workflows d’action

  • Opérations de création ou de mise à jour des tickets
  • Opérations de création ou de mise à jour des utilisateurs
  • Opérations de création ou de mise à jour des organisations
  • Objets personnalisés, tâches, approbations, opérations ITAM
  • Webhooks utilisant des charges JSON avec des opérations CRUD standards
  • La plupart des champs standards de ticket, d’utilisateur et d’organisation sont pris en charge
  • Tous les champs personnalisés sont également pris en charge

Les actions personnalisées des workflows d’actions peuvent-elles utiliser les tokens API ?

Non. Les workflows d’actions ont deux modèles d’authentification différents :
  • Actions Zendesk. Ce sont des opérations comme les tickets, les utilisateurs et les organisations :
    • N’exigez pas l’utilisation des tokens API ou OAuth
    • Ne consommez pas vos limites de débit de l’API
    • Non affecté par la suppression des tokens API Zendesk
  • Actions personnalisées et actions externes :
    • Exigez une authentification explicite (OAuth, clé d’API ou authentification de base)
    • Les tokens API Zendesk utilisés dans les actions personnalisées arrêteront de fonctionner après la fin de vie
    • Vous devez migrer les actions personnalisées vers OAuth si vous appelez les points de terminaison Zendesk
    • Si vous passez aux workflows d’actions et utilisez des actions personnalisées qui nécessitent OAuth, les workflows d’actions traitent l’actualisation automatique du token


 

Si vous avez des commentaires ou des questions au sujet de cette annonce, consultez le forum communautaire, sur lequel nous recueillons et gérons les commentaires des clients sur nos produits. Pour obtenir de l’aide d’ordre général concernant vos produits Zendesk, contactez l’Assistance client Zendesk.

Réalisé par Zendesk