OAuthクライアントは、以下のいずれかの値を持つ kind プロパティを持ちます。

• Confidential：OAuthのConfidentialクライアントは、資格情報を安全に保持できるセキュアなサーバー上で実行されます。Confidentialクライアントの場合は、PKCE、クライアントシークレット、またはその両方を使用することができます。
• Public：OAuthのPublicクライアントは、モバイルアプリやWebアプリなど、資格情報を安全に保存できない環境で実行されるアプリケーションです。これらのクライアントは PKCE を使用する必要があります。

Confidential クライアントの例としては、サーバーサイドWebアプリケーションが挙げられます。認証サーバーがWebアプリケーションにトークンや資格情報を提供しても、それらが外部に露出することはありません。

Public クライアントの例としては、モバイルアプリケーションや、Webブラウザなどのユーザーエージェント上で動作するJavaScriptアプリケーションが挙げられます。これらのクライアントでは、資格情報は容易に取得でき（多くの場合、目に見える形で存在し）ます。

クライアント kind は、OAuth仕様ではクライアントタイプとも呼ばれます。詳しくは、OAuth 2.0仕様の「Client Types」を参照してください。

kind プロパティは、Zendesk Supportのチケット管理システムにのみ適用されます。Chat、会話、Sellではサポートされていません。

既存のZendesk OAuthクライアントは、現在 kindプロパティが unknownに設定されています。これらの既存クライアントは、kindプロパティがpublicまたはconfidentialのいずれかに更新されるまで、影響を受けないままです。管理センターで作成される新しいOAuthクライアントは、作成時にkindプロパティを設定する必要があります。

管理センターで作成されるすべてのOAuth新しいクライアントについて、kindプロパティを必ず設定してください。api/v2/oauth/clients endpointエンドポイントで作成したOAuthクライアントではkindプロパティは必須ではありませんが、Zendeskではこのプロパティを含めることを推奨しています。

最初に、アプリケーションはユーザーをZendeskの認可ページに送る必要があります。このページでユーザーは、アプリケーションがユーザー自身の代理としてZendeskにアクセスすることを認可するよう求められます。ユーザーが認可または不認可を選択すると、Zendeskは選択内容とその他若干の情報をアプリケーションに送り返します。

ユーザーをZendeskの認可ページに送るには

アプリケーションに、ユーザーを次のURLに送るリンクボタンを追加します。

https://{subdomain}.zendesk.com/oauth/authorizations/new

{subdomain} には、ホストマッピングされたサブドメインではなく、ご使用のZendeskのコアサブドメインを指定します。

POSTリクエストとGETリクエストのどちらを使用してもかまいません。以下のパラメータを含めます。

• response_type：必須。Zendeskは応答で認可コードを返すので、応答タイプとしてcodeを指定します。例：response_type=code
• redirect_uri：必須。ユーザーのアクセス許可の決定をアプリケーションに送信するためにZendeskが使用するURLです。相対URLではなく、絶対URLを指定する必要があります。また、localhostまたは127.0.0.1を使用している場合を除き、セキュア接続（https）を指定してください。
• client_id：必須。アプリケーションをZendeskに登録したときに取得した一意のIDを指定します。前のセクションを参照してください。
• scope：必須。Zendeskリソースへのアクセスを制御するスコープをスペースで区切って列挙します。すべてのリソースあるいは特定のリソースに対する読み取りアクセス、書き込みアクセス、またはなり代わりアクセスを要求できます。「スコープを設定する」を参照してください。
• state：ユーザーがアクセスを許可するか拒否するかを決定した後のZendeskからの応答に含まれる任意の文字列。このパラメータを使用して、クロスサイトリクエストフォージェリ（CSRF）攻撃を防ぐことができます。CSRF攻撃では、エンドユーザーを騙して、ログイン中のWebアプリケーション内で意図しない操作を実行するリンクをクリックさせるように誘導します。この種の攻撃から防御するには、stateパラメータにいくつか値を追加し、その戻り値を検証します。
• code_challenge：PKCEを使用する場合は必須。コードベリファイアから得られるコードチャレンジを表す文字列。詳しくは、開発者向けドキュメントの「Generating the code_challenge value」を参照してください。
• code_challenge_method：PKCEを使用する場合は必須。コードチャレンジの取得に使用するメソッド。値として「S256」を指定します。

パラメータは必ずURLエンコードするようにしてください。

GETリクエストの例

https://{subdomain}.zendesk.com/oauth/authorizations/new?response_type=code&redirect_uri={your_redirect_url}&client_id={your_unique_identifier}&scope=read%20write

エンドユーザーのブラウザにZendeskの認可ページが開きます。認可するかどうかを選択した後、選択内容が、リクエスト内に指定されたリダイレクトURLに送信されます。

アプリケーションは、ユーザーの決定を通知するZendeskからの応答を処理する必要があります。この情報は、リダイレクトURL内のURLパラメータに含まれています。

ユーザーがアプリケーションにアクセスを付与するよう決定した場合、リダイレクトURLには認可コードが含まれます。以下に例を示します。

{redirect_url}?code=7xqwtlf3rrdj8uyeb1yf

認証コードは120秒しか有効ではありません。

ユーザーがアプリケーションへのアクセスを許可しないと決めた場合、リダイレクトURLには、ユーザーがアクセスを拒否したことをアプリに通知するerrorパラメータとerror_descriptionパラメータが含まれます。

{redirect_url}?error=access_denied&error_description=The+end-user+or+authorization+server+denied+the+request

これらの値を使用してアプリケーションのフローを管理します。URLにcodeパラメータが含まれる場合、次項で説明するように、Zendeskからアクセストークンを取得します。これはZendeskへのAPIコールに含めるトークンです。

ユーザーがアクセスを許可した結果、Zendeskから認証コードを受け取った場合、アプリケーションはその認証コードをアクセストークンとリフレッシュトークンに交換して取得できます。トークンを取得するには、Create Token Grant TypeエンドポイントにPOSTリクエストを送信します。

https://{subdomain}.zendesk.com/oauth/tokens

リクエストには以下の必須パラメータを含めます。

• grant_type："authorization_code"の値を指定します。
• code：ユーザーがアクセスを許可された後にZendeskから受け取った認証コードを使用します。
• client_id：管理センター（「アプリおよびインテグレーション」>「API」>「OAuthクライアント」）で作成したOAuthクライアントの一意のIDを指定します。詳しくは「アプリケーションをZendeskに登録する」を参照してください。
• client_secret：管理センター（「アプリおよびインテグレーション」>「API」>「OAuthクライアント」）で作成したOAuthクライアントのシークレットを指定します。詳しくは「アプリケーションをZendeskに登録する」を参照してください。

  code_challengeとcode_verifierのPKCEパラメータを使用する場合、client_secretは必要ありません。この特性を使用して、セキュリティ上の懸念から推奨されなくなったImplicit Grant Flow（インプリシットグラントフロー）から移行することができます。詳しくは、開発者向けドキュメントの「Using PKCE to migrate from the implicit grant flow」を参照してください。

• redirect_uri：ステップ1のリダイレクトURLと同じURLです。ID目的のみ。
• scope：「スコープを設定する」を参照してください。
• code_verifier：PKCEを使用する場合は必須。code_challenge の値を生成するための文字列。詳しくは、開発者向けドキュメントの「Generating the code_challenge value」を参照してください。
• expires_in：アクセストークンの有効期限（秒単位）。300秒（5分）から172,800秒（2日間）の間の値を指定してください。
• refresh_token_expires_in：リフレッシュトークンの有効期限（秒単位）。604,800秒（7日間）から7,776,000秒（90日間）の間の値を指定してください。

詳細については、APIリファレンスの「Create Token Grant Type」エンドポイントを参照してください。

リクエストはhttps経由で送信し、プロパティはJSON形式でフォーマットする必要があります。カスタムまたはサードパーティのアプリケーションを使用してAPIリクエストを行う場合、プロパティ値の適切なフォーマットについては、そのアプリケーションのドキュメントを参照してください。

Pythonのrequestsライブラリを使用する

response = requests.post(
    f'https://{subdomain}.zendesk.com/oauth/tokens',
    data={
        'grant_type': 'authorization_code',
        'code': f'{your_code}',
        'client_id': f'{your_client_id}',
        'client_secret': f'{your_client_secret}',
        'redirect_uri': f'{your_redirect_url}',
        'scope': 'read',
        'expires in': 172800,
        'refresh_token_expires_in': 800000
    }
)

応答の例

Status: 201 OK

{
  "access_token": "gErypPlm4dOVgGRvA1ZzMH5MQ3nLo8bo",
  "refresh_token": "31048ba4d7c601302f3173f243da835f",
  "token_type": "bearer",
  "scope":"read"
}

アクセストークンとリフレッシュトークンの両方を安全なデータストアに保存し、後で再利用できるようにします。

アプリは、アクセストークンを使用して、APIコールを実行できます。トークンをリクエストのHTTP認可ヘッダーに以下のように指定します。

Authorization: Bearer {a_valid_access_token}

たとえば、チケットをリストするcurlリクエストは以下のようになります。

curl https://{subdomain}.zendesk.com/api/v2/tickets.json \
  -H "Authorization: Bearer gErypPlm4dOVgGRvA1ZzMH5MQ3nLo8bo"

アクセストークンの有効期限を確認するには、トークンを使用してAPIリクエストを実行した後、401レスポンスを検出するコードを実装してください。レスポンスには以下のJSON文字列が含まれます。

{"error":"invalid_token","error_description":"The access token provided is expired, revoked, 
 malformed or invalid for other reasons."}

401レスポンスが返された場合は、アクセストークンと共に受け取ったリフレッシュトークンを使用してアクセストークンをリフレッシュするハンドラーを呼び出してください。

Pythonのrequestsライブラリを使用した例を以下に示します。

url = f'https://{your_subdomain}.zendesk.com/{endpoint}'
headers = {'Authorization': f'Bearer {access_token}'}
response = requests.get(url, headers=headers)
if response.status_code == 401:     # if token has expired or is otherwise invalid
    access_token = refresh_access_token(refresh_token)
    headers['Authorization'] = f'Bearer {access_token}'
    response = requests.get(url, headers=headers)

アクセストークンを更新するには、Create Token Grant TypeエンドポイントにPOSTリクエストを送信します。

https://{subdomain}.zendesk.com/oauth/tokens

リクエスト本文に以下のプロパティを含めてください。

• grant_type："refresh token"という文字列を値として指定します。
• refresh_token：アクセストークンと共に受け取ったリフレッシュトークンの値を指定します。
• client_id：管理センター（「アプリおよびインテグレーション」>「API」>「OAuthクライアント」）で作成したOAuthクライアントのIDを指定します。詳しくは「アプリケーションをZendeskに登録する」を参照してください。
• client_secret：管理センター（「アプリおよびインテグレーション」>「API」>「OAuthクライアント」）で作成したOAuthクライアントのシークレットを指定します。詳しくは「アプリケーションをZendeskに登録する」を参照してください。
• scope：「スコープを設定する」を参照してください。
• expires_in：アクセストークンの有効期限（秒単位）。300秒（5分）から172,800秒（2日間）の間の値を指定してください。
• refresh_token_expires_in：リフレッシュトークンの有効期限（秒単位）。604,800秒（7日間）から7,776,000秒（90日間）の間の値を指定してください。

詳細については、APIリファレンスの「Create Token Grant Type」エンドポイントを参照してください。

Pythonのrequestsライブラリを使用したリクエストの例を以下に示します。

response = requests.post(
    f'https://{your_subdomain}.zendesk.com/oauth/tokens',
    data={
        'grant_type': 'refresh_token',
        'refresh_token': refresh_token,
        'client_id': client_id,
        'client_secret': client_secret,
        'scope': 'read',
        'expires in': 172800,
        'refresh_token_expires_in': 800000
    }
)

このリクエストは新しいアクセストークンとリフレッシュトークンを作成すると同時に、以前のトークンを無効化します。以下に応答の例を示します。

Status: 201 OK

{
  "access_token": "gErypPlm4dOVgGRvA1ZzMH5MQ3nLo8bo",
  "refresh_token": "31048ba4d7c601302f3173f243da835f,
  "token_type": "bearer",
  "scope": "read"
}

両方のトークンを安全なデータストアに保存し、後で再利用できるようにします。