발표일 배포 시작일 배포 종료일
2024년 8월 27일 2024년 8월 27일 2025년 2월 17일

OAuth 2.0 모범 사례에 따라 Zendesk는 2025년 2월 17일부터 Zendesk Support에 대해서만 액세스 토큰에 대한 암시적 및 비밀번호 권한 부여 허용을 중단합니다. 이러한 제거는 Chat, Sell 또는 Sunshine에 적용되지 않습니다.

이전 권한 부여 유형의 불안정성으로 인해 고객은 가능한 한 신속히 인증 코드 플로우 또는 API 토큰으로 전환하는 것이 좋습니다.

본 발표에서는 다음과 같은 주제를 다룹니다. 

  • 무엇이 변경되나요? 
  • Zendesk에서 이러한 변경을 하는 이유는 무엇인가요?
  • 어떻게 해야 하나요?

무엇이 변경되나요?

2025년 2월 17일에 Zendesk는 액세스 토큰을 얻기 위한 유효한 권한 부여 유형으로 암시적 권한 부여 및 비밀번호 권한 부여의 사용 허용을 중단할 예정입니다. 고객은 인증 코드 플로우 권한 부여 유형 또는 API 토큰으로 마이그레이션해야 합니다. 오늘부터 API 호출 인증에 OAuth 2.0을 사용하려는 모든 고객은 인증 코드 플로우 권한 부여 유형만 사용할 수 있습니다.

Zendesk에서 이러한 변경을 하는 이유는 무엇인가요?

OAuth 2.0 성공 사례에 따라 암시적 권한 부여 및 리소스 소유자 비밀번호 자격 증명(비밀번호) 권한 부여는 이제 안전하지 않은 것으로 간주되어 OAuth 2.0 보안 현재 성공 사례에 따라 허용하지 않습니다.

이전에는 추가 인증 코드 단계 없이 액세스 토큰을 직접 리턴했기 때문에 암시적 권한 부여가 권장되었습니다. 이 경우 client_secret을 안전하게 저장할 수 없는 공개 OAuth 클라이언트에 필요했습니다. 이 방법은 클라이언트 확인 없이 HTTP 리디렉션을 통해 액세스 토큰을 보내므로 보안 위험이 있어 이제는 권장하지 않습니다. PKCE(Proof Key for Code Exchange)가 포함된 더욱 안전한 인증 코드 권한 부여로 대체되었습니다. 비밀번호 권한 부여는 사용자의 자격 증명을 사용하여 액세스 토큰을 얻는 오래된 방법입니다. 이 방법은 클라이언트 애플리케이션이 사용자의 비밀번호를 처리하여 인증 서버로 보내야 하므로 공격에 노출될 가능성이 높아 이제는 권장하지 않습니다. 또한 2단계 인증과 호환되지 않습니다.

어떻게 해야 하나요?

현재 암시적 권한 부여를 사용 중인 경우에는 다음을 수행해야 합니다.

  • 현재 호출을 /oauth/authorizations/new 엔드포인트로 업데이트하여 response_type: token 대신 response_type: code를 사용하고, 아직 없는 경우 redirect_uri, state 매개변수를 포함하세요. 공개 클라이언트를 사용하는 경우에는 code_challenge 및 code_challenge_method 매개변수도 추가해야 합니다. code_challenge를 생성하는 방법에 대한 자세한 내용은 code_challenge 값 생성하기를 참조하세요.
  • OAuth 클라이언트에서 새 콜백 엔드포인트를 업데이트하거나 구현하세요. 자세한 내용은 애플리케이션에 OAuth 인증 사용하기 및 PKCE를 사용하여 Zendesk OAuth 액세스 토큰 보안 강화하기에서 인증 코드 권한 부여 구현 세부 정보를 참조하세요. 공개 클라이언트 또는 /oauth/authorizations/new 호출에 code_challenge가 포함된 경우, /oauth/tokens 엔드포인트를 호출할 때 code_verifier가 포함되어 있어야 합니다.
  • 아직 없는 경우 관리 센터의 /admin/apps-integrations/apis/zendesk-api/oauth_clients에서 클라이언트를 업데이트하여 새/업데이트된 리디렉션 URL을 포함해야 합니다.
  • 테스트와 검증이 완료되면 관리 센터의 /admin/apps-integrations/apis/zendesk-api/oauth_clients에서 클라이언트 종류를 공개 또는 기밀로 업데이트하여 최고 수준의 보안을 제공할 수 있도록 하는 것이 좋습니다.

현재 비밀번호 권한 부여를 사용하는 경우에는 API 토큰을 대신 사용해야 합니다.

이 발표와 관련된 피드백이나 질문이 있으시면 고객 제품 피드백을 수집 및 관리하는 커뮤니티 포럼을 방문하세요. Zendesk 제품에 대한 일반적인 지원은 Zendesk 고객 지원팀에 문의하세요.

Zendesk 제공