最初に、アプリケーションはユーザーをZendeskの認可ページに送る必要があります。このページでユーザーは、アプリケーションがユーザー自身の代理としてZendeskにアクセスすることを認可するよう求められます。ユーザーが認可または不認可を選択すると、Zendeskは選択内容とその他若干の情報をアプリケーションに送り返します。

ユーザーをZendeskの認可ページに送るには

アプリケーションに、ユーザーを次のURLに送るリンクボタンを追加します。

https://{subdomain}.zendesk.com/oauth/authorizations/new

{subdomain}にはZendeskのサブドメインを入力します。POSTリクエストとGETリクエストのどちらを使用してもかまいません。以下のパラメータを含めます。

• response_type：必須。Zendeskは応答で認可コードを返すので、応答タイプとしてcodeを指定します。例：response_type=code
• redirect_uri：必須。ユーザーのアクセス許可の決定をアプリケーションに送信するためにZendeskが使用するURLです。相対URLではなく、絶対URLを指定する必要があります。また、localhostまたは127.0.0.1を使用している場合を除き、セキュア接続（https）を指定してください。
• client_id：必須。アプリケーションをZendeskに登録したときに取得した一意のIDを指定します。前のセクションを参照してください。
• scope：必須。Zendeskリソースへのアクセスを制御するスコープをスペースで区切って列挙します。すべてのリソースあるいは特定のリソースに対する読み取りアクセス、書き込みアクセス、またはなり代わりアクセスを要求できます。「スコープを設定する」を参照してください。
• state：ユーザーがアクセスを許可するか拒否するかを決定した後のZendeskからの応答に含まれる任意の文字列。このパラメータを使用して、クロスサイトリクエストフォージェリ（CSRF）攻撃を防ぐことができます。CSRF攻撃では、エンドユーザーを騙して、ログイン中のWebアプリケーション内で意図しない操作を実行するリンクをクリックさせるように誘導します。この種の攻撃から防御するには、stateパラメータにいくつか値を追加し、その戻り値を検証します。

パラメータは必ずURLエンコードするようにしてください。

GETリクエストの例

https://{subdomain}.zendesk.com/oauth/authorizations/new?response_type=code&redirect_uri={your_redirect_url}&client_id={your_unique_identifier}&scope=read%20write

エンドユーザーのブラウザにZendeskの認可ページが開きます。認可するかどうかを選択した後、選択内容が、リクエスト内に指定されたリダイレクトURLに送信されます。

アプリケーションは、ユーザーの決定を通知するZendeskからの応答を処理する必要があります。この情報は、リダイレクトURL内のURLパラメータに含まれています。

ユーザーがアプリケーションにアクセスを付与するよう決定した場合、リダイレクトURLには認可コードが含まれます。以下に例を示します。

{redirect_url}?code=7xqwtlf3rrdj8uyeb1yf

認証コードは120秒しか有効ではありません。

ユーザーがアプリケーションへのアクセスを許可しないと決めた場合、リダイレクトURLには、ユーザーがアクセスを拒否したことをアプリに通知するerrorパラメータとerror_descriptionパラメータが含まれます。

{redirect_url}?error=access_denied&error_description=The+end-user+or+authorization+server+denied+the+request

これらの値を使用してアプリケーションのフローを管理します。URLにcodeパラメータが含まれる場合、次項で説明するように、Zendeskからアクセストークンを取得します。これはZendeskへのAPIコールに含めるトークンです。

ユーザーがアプリケーションにZendeskへのアクセスを許可し、その応答としてZendeskから認可コードを受け取った場合、アプリケーションはそのコードをアクセストークンと交換することができます。アクセストークンを取得するには、以下のエンドポイントに対するPOSTリクエストを作成します。

https://{subdomain}.zendesk.com/oauth/tokens

リクエストには以下の必須パラメータを含めます。

• grant_type："authorization_code"の値を指定します。
• code：ユーザーがアクセスを付与された後でZendeskから受け取った認可コードを使用します。
• client_id： Support管理インターフェイス（「管理」>「チャネル」>「API」>「OAuthクライアント」）のOAuthクライアントで指定された一意の識別子を使用します。「アプリケーションをZendeskに登録する」を参照してください。
• client_secret： Support管理インターフェイス（「管理」>「チャネル」>「API」>「OAuthクライアント」）のOAuthクライアントで指定されたシークレットを使用します。「アプリケーションをZendeskに登録する」を参照してください。
• redirect_uri：ステップ1のリダイレクトURLと同じURLです。ID目的のみ。
• scope：「スコープを設定する」を参照してください。

リクエストはhttps経由で送信し、パラメータはJSON形式でフォーマットする必要があります。

curlの使用例

curl https://{subdomain}.zendesk.com/oauth/tokens \
  -H "Content-Type: application/json" \
  -d '{"grant_type": "authorization_code", "code": "{your_code}",
    "client_id": "{your_client_id}", "client_secret": "{your_client_secret}", 
    "redirect_uri": "{your_redirect_url}", "scope": "read" }' \
  -X POST

応答の例

Status: 200 OK

{
  "access_token": "gErypPlm4dOVgGRvA1ZzMH5MQ3nLo8bo",
  "token_type": "bearer",
  "scope":"read"
}

アプリは、アクセストークンを使用して、APIコールを実行できます。トークンをリクエストのHTTP認可ヘッダーに以下のように指定します。

Authorization: Bearer {a_valid_access_token}

たとえば、チケットをリストするcurlリクエストは以下のようになります。

curl https://{subdomain}.zendesk.com/api/v2/tickets.json \
  -H "Authorization: Bearer gErypPlm4dOVgGRvA1ZzMH5MQ3nLo8bo"