発表日 | ロールアウト日 |
2024年7月1日 | 2024年7月31日 |
機能の変更点
2024年7月31日以降、新規アカウントおよびこの方法を使用していないアカウントで、APIコールの認証方法としてメールとパスワードを提供しなくなります。現在この方法を積極的に使用している場合、2025年12月31日まで継続することができます。APIトークンまたはOAuthへの移行方法については、今後数か月にわたって個別にお知らせいたします。管理センターおよびメール/パスワード認証方法の「API のパスワードアクセス」設定の削除の準備として、ドキュメントが更新され、サポートされる認証方法としてAPIトークンとOAuthのみが追加されました。
Zendeskの記録によると、現在「APIのパスワードアクセス」設定がオンになっているにもかかわらず、アクティビティが検出されない場合は、7月1日から3週間にわたってこの設定をオフにすることをお知らせするメールをお送りしています。この機能を引き続きご利用いただくには、7月30日までに手動で設定をオンに戻す必要があります。再度有効にすると、2025年12月31日までに別の認証方法に切り替える必要があります。
Zendeskがこれらの変更を行う理由
お客様のアカウントのセキュリティは当社の最優先事項です。ユーザー名とパスワードでAPIにアクセスするオプションは、パスワードが侵害され、再利用される可能性があり、API認証の最新のベストプラクティスと一致していないため、本質的に安全ではありません。同じユーザー名とパスワードをAPIアクセスに使用する機能を削除することで、資格情報が侵害された場合に、アカウントが不正にアクセスされて変更されるリスクが軽減されます。
代替手段はありますか?
はい、APIコールを認証するための安全な代替手段は2つあります。現在パスワードアクセスを使用しているユーザーがトークンを使用する場合、わずかな変更が必要です。OAuthは少し複雑ですが、より詳細な権限(読み取り/書き込みなど)を持つトークンを作成でき、よりセキュリティを意識した設定ができます。
メモ:各APIトークンは、アカウントの認証済みユーザーが使用でき、特定のユーザーに関連付けられていません。提供されたメールアドレスに関連付けられているユーザーロールによって、アクセス権限が制限されます。
API トークン:APIトークンの詳細については、 こちらをご覧ください。
OAuth:OAuthの詳細についてはこちらをご覧ください。
必要となる作業
現在、「APIのパスワードアクセス」設定をオンにしているが、この機能を使用していない場合、設定をオフにしても安全です。これは、管理センターの「アプリおよびインテグレーション」>「API」>「Zendesk API」>「設定」>「APIのパスワードアクセス」にあります。オフにすると、2024年7月31日以降、このページから設定は削除されます。
7月30日までに「APIのパスワードアクセス」の設定をオンに戻さなかった場合、それ以上の作業は必要なく、この設定はお客様のアカウントから完全に削除されます。この機能を引き続きご利用になりたい場合は、7月30日までに設定をオンに戻して、2025年12月31日までアクセスを継続してください。
この発表に関連するフィードバックや質問がある場合は、コミュニティフォーラムにアクセスしてください。このフォーラムでは、顧客から寄せられた製品フィードバックを収集し管理しています。Zendesk製品に関する一般的なサポートについては、Zendeskカスタマーサポートにお問い合わせください。