Date de l’annonce Début du déploiement Fin du déploiement
27 août 2024 27 août 2024 17 février 2025

Conformément aux meilleures pratiques OAuth 2.0, Zendesk n’acceptera plus les octrois implicites et de mots de passe pour les tokens d’accès à partir du 17 février 2025, pour Zendesk Support uniquement. Cette suppression ne s’applique pas à Chat, Sell ni Sunshine.

Nous conseillons aux clients de passer au flux avec code d’autorisation ou aux tokens API le plus rapidement possible car les anciens types d’authentification ne sont pas sûrs.

Cette annonce couvre les sujets suivants : 

  • Qu’est-ce qui va changer ? 
  • Pourquoi cette modification ?
  • Que dois-je faire ?

Qu’est-ce qui va changer ?

Le 17 février 2025, Zendesk n’acceptera plus l’utilisation de l’octroi implicite et de l’octroi de mot de passe comme types d’octroi valides pour l’obtention d’un token d’accès. Les clients devront migrer vers le type d’octroi de flux avec code d’autorisation ou les tokens API. À partir d’aujourd’hui, toute personne souhaitant utiliser OAuth 2.0 pour l’authentification des appels API ne pourra utiliser que le type d’octroi de flux code d’autorisation.

Pourquoi cette modification ?

Conformément aux meilleures pratiques OAuth 2.0, l’octroi implicite et l’octroi de identifiants de mot de passe du propriétaire de la ressource sont désormais considérés comme non sécurisés et non autorisés par la meilleure pratique de sécurité OAuth 2.0.

Auparavant, l’octroi implicite était recommandé car il renvoyait directement le token d’accès sans nécessiter d’étape de code d’autorisation supplémentaire. Cela était nécessaire pour les clients OAuth publics qui ne pouvaient pas stocker le client_secretde façon sécurisée. Cette méthode est désormais déconseillée à cause des risques de sécurité, car elle envoie les tokens d’accès via des redirections HTTP sans confirmation du client. Il a été remplacé par l’octroi de code d’autorisation plus sécurisé avec Proof Key for Code Exchange (PKCE). L’octroi de mot de passe est une méthode obsolète pour obtenir un token d’accès en utilisant les identifiants d’un utilisateur. Cette méthode est désormais déconseillée, car elle nécessite que l’application client traite le mot de passe de l’utilisateur et l’envoie au serveur d’autorisation, ce qui accroît la zone d’attaque. Elle n’est pas non plus compatible avec l’authentification à deux facteurs.

Que dois-je faire ?

Si vous utilisez le flux d’octroi implicite, vous devez :

  • Mettez à jour votre appel actuel vers le /oauth/authorizations/new point de terminaison à utiliser response_type: code au lieu de response_type: token et incluons la balise redirect_uri et state params s’ils ne sont pas déjà présents. Si vous utilisez un client public, n’oubliez pas d’inclure l’expression code_challenge et code_challenge_method mais aussi les paramètres de messagerie. Consultez Génération de la valeur code_challengage pour en savoir plus sur la génération d’un code_challenge.
  • Mettez à jour ou implémentez un nouveau point de terminaison de rappel dans votre client OAuth. Consultez les détails de l’implémentation de l’octroi de code d’autorisation dans Utilisation de l’authentification OAuth avec votre application et Utilisation de PKCE pour sécuriser les tokens d’accès OAuth Zendesk pour en savoir plus. Pour les clients publics ou si vous souhaitez inclure une code_challenge dans le /oauth/authorizations/new, n’oubliez pas d’inclure code_verifier quand ils appellent le /oauth/tokenspoint de terminaison.
  • Mettez votre client à jour à /admin/apps-integrations/apis/zendesk-api/oauth_clients dans le Centre d’administration pour inclure votre URI de redirection nouvelle ou mise à jour, si elle ne s’y trouve pas déjà.
  • Une fois ce test et cette validation terminés, nous vous encourageons à mettre à jour le type de client au /admin/apps-integrations/apis/zendesk-api/oauth_clients dans le Centre d’administration en mode public ou confidentiel pour que nous puissions vous offrir le niveau de sécurité le plus élevé.

Si vous utilisez le flux d’octroi de mot de passe, vous devez utiliser un token API .

Si vous avez des commentaires ou des questions au sujet de cette annonce, consultez le forum communautaire, sur lequel nous recueillons et gérons les commentaires des clients sur nos produits. Pour obtenir de l’aide d’ordre général concernant vos produits Zendesk, contactez l’Assistance client Zendesk.

Traduction - exonération : cet article a été traduit par un logiciel de traduction automatisée pour permettre une compréhension élémentaire de son contenu. Des efforts raisonnables ont été faits pour fournir une traduction correcte, mais Zendesk ne garantit pas l’exactitude de la traduction.

Si vous avez des questions quant à l’exactitude des informations contenues dans l’article traduit, consultez la version anglaise de l’article, qui représente la version officielle.

Réalisé par Zendesk