Data dell’annuncio Data di inizio implementazione Data di fine implementazione
27 agosto 2024 27 agosto 2024 17 febbraio 2025

In linea con le best practice di OAuth 2.0, a partire dal 17 febbraio 2025 Zendesk cesserà di accettare concessioni implicite e password per i token di accesso, solo per Zendesk Support. Questa rimozione non si applica a Chat, Sell o Sunshine.

Si consiglia ai clienti di passare al flusso del codice di autorizzazione o ai token API il prima possibile a causa dell’insicurezza dei tipi di concessione meno recenti.

Questo annuncio include i seguenti argomenti: 

  • Cosa cambia? 
  • Perché Zendesk ha deciso di apportare questa modifica?
  • Che cosa devo fare?

Cosa cambia?

A partire dal 17 febbraio 2025, Zendesk smetterà di accettare l'uso della concessione implicita e della concessione della password come tipi di concessione validi per ottenere un token di accesso. I clienti dovranno eseguire la migrazione al tipo di concessione del flusso di codice di autorizzazione o ai token API. A partire da oggi, chiunque voglia usare OAuth 2.0 per l’autenticazione delle chiamate API può usare solo il tipo di concessione del flusso di codice di autorizzazione.

Perché Zendesk ha deciso di apportare questa modifica?

In linea con le best practice di OAuth 2.0, la concessione implicita e la concessione di credenziali password (password) del proprietario della risorsa sono ora considerate non sicure e non consentite dalle best practice di sicurezza attuali di OAuth 2.0.

La concessione implicita in passato era consigliata perché restituiva direttamente il token di accesso senza che fosse necessario un passaggio del codice di autorizzazione aggiuntivo. Era obbligatorio per i client OAuth pubblici che non potevano archiviare in modo sicuro client_secret. Questo metodo viene ora sconsigliato a causa dei rischi per la sicurezza, in quanto invia token di accesso tramite reindirizzamenti HTTP senza conferma da parte del client. È stato sostituito con il codice di autorizzazione più sicuro con chiave di prova per lo scambio di codice (PKCE). La concessione della password è un metodo obsoleto per ottenere un token di accesso usando le credenziali di un utente. Questo metodo viene ora sconsigliato, poiché richiede che l’applicazione client gestisca la password dell’utente e la invii al server di autorizzazione, il che si traduce in una estensione della superficie di attacco. Inoltre, non è compatibile con l’autenticazione a due fattori.

Che cosa devo fare?

Se stai usando il flusso di concessione implicita, dovrai:

  • Aggiornare la chiamata corrente all’/oauth/authorizations/new endpoint response_type: code invece di response_type: token e includere i parametri redirect_uri e state, se non sono già presenti. Se usi un client pubblico, assicurati di includere code_challenge e code_challenge_method anche i parametri. Consulta Generazione del valore code_challenge per maggiori informazioni su come generare un code_challenge.
  • Aggiornare o implementare un nuovo endpoint di servizio di richiamata nel client OAuth. Per maggiori informazioni, consulta i dettagli di implementazione della concessione del codice di autorizzazione in Uso dell’autenticazione OAuth con l’applicazione e Uso di PKCE per rendere più sicuri i token di accesso OAuth Zendesk . Per i client pubblici, o se si include code_challenge nella chiamata /oauth/authorizations/new, assicurati di includere il code_verifier quando chiami l’endpoint/oauth/tokens.
  • Aggiorna il client alle /admin/apps-integrations/apis/zendesk-api/oauth_clients nel Centro amministrativo per includere l’URI di reindirizzamento nuovo o aggiornato, se non è già presente.
  • Dopo il test e la convalida, ti invitiamo ad aggiornare il Tipo di client in /admin/apps-integrations/apis/zendesk-api/oauth_clients nel Centro amministrativo su pubblico o riservato in modo da poterti fornire il massimo livello di sicurezza.

Se stai usando il flusso di concessione della password, devi usare un token API .

Per lasciare un feedback o per eventuali domande in merito a questo annuncio, visita il forum della community, dove vengono raccolti e gestiti i feedback dei clienti sui prodotti. Per ricevere assistenza generica con i prodotti Zendesk, contatta l’assistenza clienti Zendesk.

Avvertenza sulla traduzione: questo articolo è stato tradotto usando un software di traduzione automatizzata per fornire una comprensione di base del contenuto. È stato fatto tutto il possibile per fornire una traduzione accurata, tuttavia Zendesk non garantisce l'accuratezza della traduzione.

Per qualsiasi dubbio sull'accuratezza delle informazioni contenute nell'articolo tradotto, fai riferimento alla versione inglese dell'articolo come versione ufficiale.

Powered by Zendesk