Annonce de la suppression des types d’authentification OAuth 2.0 pour Support

Date de l’annonce	Début du déploiement	Fin du déploiement
27 août 2024	27 août 2024	17 février 2025

Conformément aux meilleures pratiques OAuth 2.0, Zendesk n’acceptera plus les octrois implicites et par mot de passe pour les tokens d’accès à partir du 17 février 2025, pour Zendesk Support uniquement. Cette suppression ne s’applique pas à Chat, Sell ni Sunshine.

Nous conseillons aux clients de passer au flux avec code d’autorisation ou aux tokens API le plus rapidement possible car les anciens types d’authentification ne sont pas sécurisés.

Cette annonce couvre les sujets suivants :

Qu’est-ce qui va changer ?
Pourquoi cette modification ?
Que dois-je faire ?

Qu’est-ce qui va changer ?

Le 17 février 2025, Zendesk n’acceptera plus l’utilisation de l’octroi implicite et de l’octroi de mot de passe comme types d’octroi valides pour l’obtention d’un token d’accès. Les clients devront migrer vers le type d’octroi Flux avec code d’autorisation ou les tokens API. À partir d’aujourd’hui, toute personne souhaitant utiliser OAuth 2.0 pour l’authentification des appels API ne pourra utiliser que le type d’octroi de flux avec code d’autorisation.

Pourquoi cette modification ?

Conformément aux meilleures pratiques OAuth 2.0, l’octroi implicite et l’octroi d’identifiants de mot de passe du propriétaire de la ressource (Password) sont désormais considérés comme non sécurisés et non autorisés par la meilleure pratique de sécurité OAuth 2.0.

Auparavant, l’octroi implicite était recommandé car il renvoyait directement le token d’accès sans nécessiter d’étape de code d’autorisation supplémentaire. Cela était nécessaire pour les clients OAuth publics qui ne pouvaient pas stocker le client_secretde façon sécurisée. Cette méthode est désormais déconseillée à cause des risques de sécurité, car elle envoie les tokens d’accès via des redirections HTTP sans confirmation du client. Il a été remplacé par la version plus sûre portant sur l’octroi de code d’autorisation avec clé de preuve pour l’échange de codes (PKCE). L’octroi de mot de passe est une méthode obsolète pour obtenir un jeton d’accès en utilisant les identifiants d’un utilisateur. Cette méthode est désormais déconseillée, car elle nécessite que l’application client traite le mot de passe de l’utilisateur et l’envoie au serveur d’autorisation, ce qui accroît la zone d’attaque. Elle n’est pas non plus compatible avec l’authentification à deux facteurs.

Que dois-je faire ?

Si vous utilisez l’authentification implicite, vous devez :

Mettez à jour votre appel actuel vers le /oauth/authorizations/new point de terminaison à utiliser response_type: code au lieu de response_type: token et incluons la balise redirect_uri et state params s’ils ne sont pas déjà présents. Si vous utilisez un client public, n’oubliez pas d’inclure l’expression code_challenge et code_challenge_method . Consultez Génération de la valeur code_challengage pour en savoir plus sur la génération d’un code_challenge.
Mettez à jour ou implémentez un nouveau point de terminaison de rappel dans votre client OAuth. Consultez les détails de l’implémentation de l’octroi de code d’autorisation dans Utilisation de l’authentification OAuth avec votre application et Utilisation de PKCE pour sécuriser les tokens d’accès OAuth Zendesk pour en savoir plus. Pour les clients publics ou si vous souhaitez inclure une code_challenge dans le /oauth/authorizations/new, n’oubliez pas d’inclure code_verifier quand ils appellent le /oauth/tokenspoint de terminaison.
Mettez votre client à jour à /admin/apps-integrations/apis/zendesk-api/oauth_clients dans le Centre d’administration pour inclure votre URI de redirection nouvelle/mise à jour, si elle ne s’y trouve pas déjà.
Une fois ce test et cette validation terminés, nous vous encourageons à mettre à jour le type de client au /admin/apps-integrations/apis/zendesk-api/oauth_clients dans le Centre d’administration en mode public ou confidentiel pour que nous puissions vous offrir le niveau de sécurité le plus élevé.

Si vous utilisez l’option d’authentification par mot de passe, vous devez utiliser un token API .

Si vous avez des commentaires ou des questions au sujet de cette annonce, consultez le forum communautaire, sur lequel nous recueillons et gérons les commentaires des clients sur nos produits. Pour obtenir de l’aide d’ordre général concernant vos produits Zendesk, contactez l’Assistance client Zendesk.