Annonce de l'abandon de l'accès par mot de passe pour les API

Date de l’annonce	Date du déploiement
1 juillet 2024	31 juillet 2024

Qu’est-ce qui va changer ?

À partir du 31 juillet 2024, nous ne proposerons plus comme méthode d’authentification l’e-mail et le mot de passe pour les appels API pour les nouveaux comptes et les comptes qui n’utilisent pas cette méthode. Si vous utilisez activement cette méthode aujourd’hui, vous pourrez continuer jusqu’au 31 décembre 2025 et nous vous contacterons séparément au cours des mois suivants pour vous expliquer comment vous pouvez passer aux tokens API ou OAuth. Dans le cadre de nos préparations à la suppression du paramètre Accès par mot de passe pour les API dans le Centre d’administration et de la méthode d’authentification par e-mail/mot de passe, notre documentation a été mise à jour pour ne présenter que les méthodes d’authentification prises en charge par token API et OAuth.

Si notre base de données indique que le paramètre d’accès par mot de passe pour les API est activé mais que nous n’avons pas détecté d’activité, nous vous avons envoyé un e-mail pour vous signaler que nous allons désactiver ce paramètre dans trois semaines à compter du 1er juillet. Si vous voulez continuer à utiliser cette fonctionnalité, vous devrez réactiver ce paramètre manuellement avant le 30 juillet. Une fois la méthode d’authentification réactivée, vous aurez jusqu’au 31 décembre 2025 pour passer à une autre méthode d’authentification.

Pourquoi cette modification ?

La sécurité de votre compte est notre priorité absolue. L’option d’accès aux API avec un nom d’utilisateur et un mot de passe n’est pas sécurisée par nature car les mots de passe peuvent être compromis ou réutilisés, et cette méthode ne correspond plus aux meilleures pratiques modernes pour l’authentification API. En supprimant la possibilité d’utiliser le même nom d’utilisateur et mot de passe pour l’accès à l’API, vous minimisez le risque d’accès non autorisé et de modifications de votre compte si vos identifiants sont compromis.

Existe-t-il d’autres solutions ?

Oui, il existe deux alternatives sécurisées pour authentifier les appels API. L’utilisation des jetons ne nécessite que très peu de modifications pour les utilisateurs utilisant actuellement l’accès par mot de passe. OAuth est un peu plus compliqué, mais vous permet de créer des tokens avec des permissions granulaires (lecture, écriture, etc.) et permet des configurations plus axées sur la sécurité.

Remarque : les tokens API ne sont pas associés à un utilisateur spécifique et peuvent être utilisés par n’importe quel utilisateur vérifié du compte. Les autorisations sont limitées par le rôle d’utilisateur associé à l’adresse e-mail fournie.

Tokens API : pour en savoir plus au sujet des tokens API, cliquez ici.

OAuth : pour en savoir plus au sujet d’OAuth, cliquez ici

Que dois-je faire ?

Si le paramètre Accès par mot de passe pour les API est activé mais que vous ne l’utilisez pas, vous pouvez le désactiver. Il est accessible depuis le Centre d’administration sous Applications et intégrations > API > API Zendesk > Paramètres > Accès par mot de passe pour les API. Une fois désactivé, ce paramètre sera supprimé de la page à partir du 31 juillet 2024.

Si vous n’avez pas activé le paramètre d’accès par mot de passe pour les API avant le 30 juillet, vous n’avez rien d’autre à faire et le paramètre sera définitivement supprimé de votre compte. Si vous voulez continuer à l’utiliser, il vous suffit de réactiver le paramètre avant le 30 juillet pour maintenir l’accès jusqu’au 31 décembre 2025.

Si vous avez des commentaires ou des questions au sujet de cette annonce, consultez le forum communautaire, sur lequel nous recueillons et gérons les commentaires des clients sur nos produits. Pour obtenir de l’aide d’ordre général concernant vos produits Zendesk, contactez l’Assistance client Zendesk.