新規グローバルOAuthクライアントのデフォルトの動作に変更を加え、アクセストークンと更新トークンが自動的に期限切れになるようにしています。加えて、既存のローカル（非グローバル）OAuthクライアントがリフレッシュトークンフローを採用する現在の期限が2027年4月1日に延長されました。

このお知らせの内容は以下のとおりです。

• 変更内容
• Zendeskがこれらの変更を行う理由
• 必要となる作業

変更内容

2026年2月2日より、以前にお知らせした、グローバルOAuthクライアントで更新トークンフローの使用を必須にする変更が有効になります。したがって、以下の条件に該当するアクセストークンおよびリフレッシュトークンに対して、デフォルトのTTL（有効期限）を適用します。（1）新規に作成されたすべてのグローバルOAuthクライアント（外部OAuthクライアントとも呼ばれます）（2）使用実績がない、または過去3か月間使用実績がない既存のグローバルOAuthクライアント。より新しい使用状況を持つグローバルOAuthクライアントについては、Zendeskの拡張セキュリティガイドラインの継続的な取り組みの一環として必須有効期限が適用されます。

さらに、2026年4月30日以降、新規に作成されたすべてのローカル（非グローバル）OAuthクライアントに、自動的に同じデフォルトTTL（有効期限）が適用されます。以前に発表されていた更新トークンフローを採用するまでの期限は、2027年4月1日まで延長されました。

Zendeskがこの変更を行う理由

セキュリティ強化と現代の標準への準拠のため、2026年2月2日以降に作成されるすべてのグローバルOAuthクライアントに対し、OAuth 2.0リフレッシュトークンの使用を必須とします。これによりアクセストークンが短命で定期的に更新されるようになるため、トークンが漏洩した際のリスクを大幅に低減します。攻撃やデータ侵害の頻度と巧妙さが世界的に高まる中、認証情報の漏洩による影響を抑えるために、更新トークンの採用が業界のベストプラクティスとしてますます一般的になっています。

必要となる作業

1. 管理センターで、サイドバーの「アプリおよびインテグレーション」をクリックし、「API」>「外部OAuthクライアント」を選択します。
2. トークンを表示するクライアントをリストで見つけます。
3. クライアントの横にあるオプションメニューアイコンをクリックし、「トークンを表示」を選択して「前回使用日時」のタイムスタンプを表示します。

サードパーティのアプリ開発者の場合、OAuthトークンの有効期限切れと更新処理に対応するためにアプリを準備するには、以下の一般的なガイドラインを参照してください。具体的な実装の詳細は、アプリケーションとその構築方法によって異なります。詳細については、「OAuth更新トークンの使用」を参照してください。

1. アプリがユーザーに再認証を強制することなくアクセスを更新できるよう、更新フローを実装してください。新しいアクセストークンを取得するには、/OAuth/tokensエンドポイントとgrant_type=refresh_tokenを使用します。OAuthクライアントライブラリまたはパッケージを使用する場合は、そのドキュメントを確認し、リフレッシュトークン（およびトークンの自動更新）をサポートしていることを確認してください。必要に応じて設定またはバージョンを更新してください。OAuthクライアントの実装によっては、リフレッシュトークンの保存方法やアクセストークンの有効期限処理を更新する必要がある場合もあります。
2. ローテーションと有効期限切れを処理します。アクセストークンが期限切れになる前（またはOAuth認証済みリクエストが4xx応答を返した場合）に更新トークンを更新し、中断されないようにします。新しい更新トークンが返された場合は、古い更新トークンを置き換えてください。
3. エラーを適切に処理します。OAuthで認証されたリクエストが失敗した場合、またはアクセストークンを更新するリクエストが失敗した場合は、ユーザーに明確なメッセージを表示し、新しいアクセストークンとリフレッシュトークンを取得できるようにアプリを再認証するよう促します。
4. ロールアウトを監視し、支援します。

この発表に関連するフィードバックや質問がある場合は、コミュニティフォーラムにアクセスしてください。このフォーラムでは、お客様から寄せられた製品フィードバックを収集し管理しています。Zendesk製品に関する一般的なサポートについては、Zendeskお客様サポートにお問い合わせください。