Data do anúncio Início da implementação Fim da implementação
27 de agosto de 2024 27 de agosto de 2024 17 de fevereiro de 2025

Em alinhamento com as práticas recomendadas de OAuth 2.0, a Zendesk deixará de aceitar concessões implícitas e de senha para tokens de acesso a partir de 17 de fevereiro de 2025, apenas para o Zendesk Support. Essa remoção não se aplica ao Chat, Sell ou Sunshine.

Os clientes são aconselhados a mudar para o fluxo de código de autorização ou tokens da API o mais rápido possível devido à insegurança dos tipos de concessão mais antigos.

Este anúncio inclui os seguintes tópicos: 

  • O que está mudando? 
  • Por que a Zendesk está fazendo essa alteração?
  • O que devo fazer?

O que muda?

Em 17 de fevereiro de 2025, a Zendesk deixará de aceitar o uso de concessão implícita e concessão de senha como tipos de concessão válidos para a obtenção de um token de acesso. Os clientes precisarão migrar para o tipo de concessão de fluxo de código de autorização ou tokens da API. A partir de hoje, qualquer pessoa que desejar usar o OAuth 2.0 para autenticar chamadas à API poderá usar apenas o tipo de concessão de fluxo de código de autorização.

Por que a Zendesk está fazendo essa alteração?

De acordo com as práticas recomendadas do OAuth 2.0, a concessão implícita e a concessão de credenciais de senha do responsável pelo recurso (senha) agora são consideradas inseguras e não são permitidas pela prática recomendada de segurança do OAuth 2.0.

A concessão implícita costumava ser recomendada porque retornava diretamente o token de acesso sem precisar de uma etapa extra de código de autorização. Isso era necessário para clientes OAuth públicos que não podiam armazenar com segurança o client_secret. Esse método agora é desaconselhado devido a riscos de segurança, pois envia tokens de acesso por redirecionamentos HTTP sem confirmação do cliente. Ele foi substituído pela concessão de código de autorização mais segura com Proof Key for Code Exchange (PKCE). A concessão de senha é um método desatualizado de obtenção de um token de acesso usando as credenciais de um usuário. Esse método agora é desaconselhado porque requer que o aplicativo de cliente manipule a senha do usuário e a envie para o servidor de autorização, o que resulta em uma maior superfície de ataque. Além disso, ele também não é compatível com a autenticação de dois fatores.

O que devo fazer?

Se você estiver usando o fluxo de concessão implícita, precisará:

  • Atualizar sua chamada atual para o ponto de extremidade /oauth/authorizations/new e usar response_type: code em vez de response_type: token e incluir os parâmetros redirect_uri e state se ainda não estiverem presentes. Se estiver usando um cliente público, inclua o code_challenge e code_challenge_method parâmetros. Consulte Geração do valor code_challenge para obter mais informações sobre como gerar um code_challenge.
  • Atualizar ou implementar um novo ponto de extremidade de retorno de chamada em seu cliente OAuth. Para obter mais informações, consulte os detalhes da implementação da concessão de código de autorização em Uso da autenticação OAuth com seu aplicativo e Uso de PKCE para tornar os tokens de acesso OAuth do Zendesk mais seguros . Para clientes públicos ou se estiver incluindo um code_challenge na chamada /oauth/authorizations/new, certifique-se de incluir o code_verifier ao chamar o ponto de extremidade /oauth/tokens.
  • Atualize seu cliente em /admin/apps-integrations/apis/zendesk-api/oauth_clients na Central de administração para incluir sua URI de redirecionamento nova ou atualizada, caso ela ainda não esteja presente.
  • Depois de testado e validado, aconselhamos atualizar o Tipo de cliente em /admin/apps-integrations/apis/zendesk-api/oauth_clients na Central de administração como público ou confidencial para que possamos oferecer o mais alto nível de segurança.

Se você estiver usando o fluxo de concessão de senha, precisará usar um token da API .

Em caso de dúvidas ou comentários a respeito deste anúncio, visite nosso fórum da comunidade, onde coletamos e gerenciamos o feedback dos clientes sobre os produtos. Para obter assistência geral com seus produtos Zendesk, entre em contato com o Suporte ao cliente Zendesk.

Aviso sobre a tradução: este artigo foi traduzido por um software de tradução automática para oferecer a você uma compreensão básica do conteúdo. Medidas razoáveis foram tomadas para fornecer uma tradução precisa, no entanto, a Zendesk não garante a precisão da tradução.

Em caso de dúvidas relacionadas à precisão das informações contidas no artigo traduzido, consulte a versão oficial do artigo em inglês.

Powered by Zendesk