Data dell’annuncio | Data di inizio implementazione | Data di fine implementazione |
27 agosto 2024 | 27 agosto 2024 | 17 febbraio 2025 |
In linea con le best practice di OAuth 2.0, a partire dal 17 febbraio 2025 Zendesk non accetterà più l’uso delle concessioni Implicita e Password per i token di accesso, solo per Zendesk Support. Questa rimozione non si applica a Chat, Sell o Sunshine.
Si consiglia ai clienti di passare al flusso di codice di autorizzazione o ai token API il prima possibile, poiché i tipi di concessione meno recenti non sono più sicuri.
Questo annuncio include i seguenti argomenti:
Cosa cambia?
A partire dal 17 febbraio 2025, Zendesk cesserà di accettare l'uso di Concessione implicita e Concessione password come tipi di concessione validi per ottenere un token di accesso. I clienti dovranno eseguire la migrazione al tipo di concessione Flusso di codice di autorizzazione o ai token API. A partire da oggi, chiunque voglia usare OAuth 2.0 per l’autenticazione delle chiamate API può usare solo il tipo di concessione Flusso di codice di autorizzazione.
Perché Zendesk ha deciso di apportare questa modifica?
In linea con le prassi ottimali di OAuth 2.0, la Concessione implicita e la Concessione di credenziali password (password) del proprietario della risorsa sono ora considerate non sicure e non sono consentite dalle prassi ottimali attuali per la sicurezza di OAuth 2.0.
In passato, la Concessione implicita era consigliata perché restituiva direttamente il token di accesso senza che fosse necessario il passaggio aggiuntivo del codice di autorizzazione. Era obbligatorio per i client OAuth pubblici che non potevano memorizzare in modo sicuro il client_secret. Questo metodo viene ora sconsigliato a causa dei rischi per la sicurezza, in quanto invia token di accesso tramite reindirizzamenti HTTP senza conferma da parte del client. È stato sostituito con il più sicuro Authorization Code Grant with Proof Key for Code Exchange (PKCE). La Concessione password è un metodo obsoleto per ottenere un token di accesso attraverso le credenziali di un utente. Questo metodo viene ora sconsigliato, poiché richiede che l’applicazione client gestisca la password dell’utente e la invii al server di autorizzazione, il che si traduce in una estensione della superficie di attacco. Inoltre, non è compatibile con l’autenticazione a due fattori.
Che cosa devo fare?
Se stai usando Concessione implicita, dovrai:
- Aggiornare la chiamata corrente all’
/oauth/authorizations/new
endpointresponse_type: code
invece diresponse_type: token
e includere i parametriredirect_uri
estate
, se non sono già presenti. Se usi un client pubblico, assicurati inoltre di includere i parametricode_challenge
ecode_challenge_method
. Consulta Generazione del valore code_challenge per maggiori informazioni su come generare uncode_challenge
. - Aggiornare o implementare un nuovo endpoint di servizio di richiamata nel client OAuth. Per maggiori informazioni, consulta Dettagli di implementazione della concessione del codice di autorizzazione in Uso dell’autenticazione OAuth con l’applicazione e Uso di PKCE per rendere più sicuri i token di accesso OAuth Zendesk. Per i client pubblici, o se si include
code_challenge
nella chiamata/oauth/authorizations/new
, assicurati di includere ilcode_verifier
quando chiami l’endpoint/oauth/tokens
. - Aggiornare il client in
/admin/apps-integrations/apis/zendesk-api/oauth_clients
nel Centro amministrativo per includere il tuo URL di reindirizzamento nuovo/aggiornato, se non è già presente. - Dopo il test e la convalida, ti invitiamo ad aggiornare il Tipo di client in
/admin/apps-integrations/apis/zendesk-api/oauth_clients
nel Centro amministrativo su pubblico o riservato in modo da poterti fornire il massimo livello di sicurezza.
Se stai usando Concessione della password, devi usare un token API.
Per lasciare un feedback o per eventuali domande in merito a questo annuncio, visita il forum della community, dove vengono raccolti e gestiti i feedback dei clienti sui prodotti. Per ricevere assistenza generica con i prodotti Zendesk, contatta l’assistenza clienti Zendesk.