Date de l’annonce | Début du déploiement | Fin du déploiement |
27 août 2024 | 27 août 2024 | 17 février 2025 |
Conformément aux meilleures pratiques OAuth 2.0, Zendesk n’acceptera plus les octrois implicites et par mot de passe pour les tokens d’accès à partir du 17 février 2025, pour Zendesk Support uniquement. Cette suppression ne s’applique pas à Chat, Sell ni Sunshine.
Nous conseillons aux clients de passer au flux avec code d’autorisation ou aux tokens API le plus rapidement possible car les anciens types d’authentification ne sont pas sécurisés.
Cette annonce couvre les sujets suivants :
Qu’est-ce qui va changer ?
Le 17 février 2025, Zendesk n’acceptera plus l’utilisation de l’octroi implicite et de l’octroi de mot de passe comme types d’octroi valides pour l’obtention d’un token d’accès. Les clients devront migrer vers le type d’octroi Flux avec code d’autorisation ou les tokens API. À partir d’aujourd’hui, toute personne souhaitant utiliser OAuth 2.0 pour l’authentification des appels API ne pourra utiliser que le type d’octroi de flux avec code d’autorisation.
Pourquoi cette modification ?
Conformément aux meilleures pratiques OAuth 2.0, l’octroi implicite et l’octroi d’identifiants de mot de passe du propriétaire de la ressource (Password) sont désormais considérés comme non sécurisés et non autorisés par la meilleure pratique de sécurité OAuth 2.0.
Auparavant, l’octroi implicite était recommandé car il renvoyait directement le token d’accès sans nécessiter d’étape de code d’autorisation supplémentaire. Cela était nécessaire pour les clients OAuth publics qui ne pouvaient pas stocker le client_secretde façon sécurisée. Cette méthode est désormais déconseillée à cause des risques de sécurité, car elle envoie les tokens d’accès via des redirections HTTP sans confirmation du client. Il a été remplacé par la version plus sûre portant sur l’octroi de code d’autorisation avec clé de preuve pour l’échange de codes (PKCE). L’octroi de mot de passe est une méthode obsolète pour obtenir un jeton d’accès en utilisant les identifiants d’un utilisateur. Cette méthode est désormais déconseillée, car elle nécessite que l’application client traite le mot de passe de l’utilisateur et l’envoie au serveur d’autorisation, ce qui accroît la zone d’attaque. Elle n’est pas non plus compatible avec l’authentification à deux facteurs.
Que dois-je faire ?
Si vous utilisez l’authentification implicite, vous devez :
- Mettez à jour votre appel actuel vers le
/oauth/authorizations/new
point de terminaison à utiliserresponse_type: code
au lieu deresponse_type: token
et incluons la baliseredirect_uri
etstate
params s’ils ne sont pas déjà présents. Si vous utilisez un client public, n’oubliez pas d’inclure l’expressioncode_challenge
etcode_challenge_method
. Consultez Génération de la valeur code_challengage pour en savoir plus sur la génération d’uncode_challenge
. - Mettez à jour ou implémentez un nouveau point de terminaison de rappel dans votre client OAuth. Consultez les détails de l’implémentation de l’octroi de code d’autorisation dans Utilisation de l’authentification OAuth avec votre application et Utilisation de PKCE pour sécuriser les tokens d’accès OAuth Zendesk pour en savoir plus. Pour les clients publics ou si vous souhaitez inclure une
code_challenge
dans le/oauth/authorizations/new
, n’oubliez pas d’inclurecode_verifier
quand ils appellent le/oauth/tokens
point de terminaison. - Mettez votre client à jour à
/admin/apps-integrations/apis/zendesk-api/oauth_clients
dans le Centre d’administration pour inclure votre URI de redirection nouvelle/mise à jour, si elle ne s’y trouve pas déjà. - Une fois ce test et cette validation terminés, nous vous encourageons à mettre à jour le type de client au
/admin/apps-integrations/apis/zendesk-api/oauth_clients
dans le Centre d’administration en mode public ou confidentiel pour que nous puissions vous offrir le niveau de sécurité le plus élevé.
Si vous utilisez l’option d’authentification par mot de passe, vous devez utiliser un token API .
Si vous avez des commentaires ou des questions au sujet de cette annonce, consultez le forum communautaire, sur lequel nous recueillons et gérons les commentaires des clients sur nos produits. Pour obtenir de l’aide d’ordre général concernant vos produits Zendesk, contactez l’Assistance client Zendesk.