Zendesk har annonsert en kritisk endring i plattformens sikkerhetsarkitektur: API-tokens fjernes permanent som autentiseringsmetode for alle API-forespørsler. Alle integrasjoner, tilpassede skript og webhooks som i dag bruker API-tokens, må migreres til OAuth innen tidsfristene for å unngå fullstendig driftsstans.
| Viktig dato | Hva skjer? |
|---|---|
| 28. juli 2026 | Fase 1: Ubrukte tokens (30+ dager) deaktiveres automatisk. Nye kontoer blokkeres fra å opprette tokens. |
| 27. oktober 2026 | Fase 2: Fullstendig stopp for opprettelse av nye API-tokens (UI og API blir stengt). |
| 30. april 2027 | Fase 3: Endelig frist. ALLE eksisterende API-tokens slutter å fungere permanent. |
1. Tidslinje og de tre fasene for utfasing
Utrullingen skjer i tre trinn for å gi virksomheter tid til å identifisere og kode om integrasjonene sine:
- Fase 1 (Fra 28. juli 2026) – Automatisk deaktivering av ubrukte tokens: Zendesk kjører en engangs opprydding. Alle API-tokens som ikke har vært i bruk de siste 30 dagene blir deaktivert. Går et token over i deaktivert status og forblir ubrukt i ytterligere 60 dager, blir det permanent slettet. Nye Zendesk-kontoer opprettet etter denne datoen vil overhodet ikke ha tilgang til API-tokens.
- Fase 2 (Fra 27. oktober 2026) – Blokkerer opprettelse: Ingen kontoer vil lenger ha mulighet til å opprette nye API-tokens, verken via Admin Center-grensesnittet eller via API-et. Eksisterende, aktive tokens vil fortsette å fungere frem til den endelige fristen i 2027.
- Fase 3 (Endelig frist: 30. april 2027) – Tvungen deaktivering: Dette er sluttdatoen. Absolutt alle gjenværende API-tokens vil bli permanent deaktivert og slettet. Administrasjonssiden for API-tokens fjernes helt fra Admin Center, og alle API-kall med token-autentisering vil returnere feilmelding (401 Unauthorized).
2. Hvorfor gjør Zendesk denne endringen?
API-tokens ble opprinnelig designet for enkelhet, ikke for moderne sikkerhet. De har kritiske svakheter som utgjør en stor risiko dersom de kommer på avveie:
- Ingen granulære rettigheter (all-or-nothing): Et API-token har tilgang til alt. Det kan brukes til å utgi seg for å være hvilken som helst bruker, inkludert administratorer, og kan ikke begrenses til spesifikke operasjoner.
- Ingen innebygd utløpsdato: Tokens forblir gyldige på ubestemt tid så lenge de er i aktiv bruk. Hvis et token blir lekket (f.eks. i åpne kode-repositorier), har angripere permanent tilgang helt til det oppdages og tilbakekalles manuelt.
- Mangler rotasjonsmekanismer: Det finnes ingen enkel måte å rullere passord eller koder automatisk som en del av god sikkerhetshygiene.
Ved å kreve OAuth innfører Zendesk bransjestandarden for sikker API-tilgang. OAuth bruker kortlivede tilgangstokens (access tokens) som utløper automatisk, støtter sikker rotasjon og tillater presise tilgangsbegrensninger (scopes).
3. Hva må du gjøre nå?
For å unngå at integrasjonene dine slutter å fungere, må du kartlegge og migrere systemene dine systematisk:
- Kartlegg eksisterende tokens: Gå til Admin Center > Apps and integrations > APIs > API tokens. Sjekk "Last used"-datoen på hvert enkelt token for å se hvilke som er aktive.
- Identifiser hva som vil krasje: Finn ut hvilke systemer som bruker disse kodene. Typiske risikoområder er skreddersydde integrasjoner, eksterne scripts for datasynkronisering, integrasjoner bygget av tredjepartsutviklere, eller webhooks i Zendesk som oppdaterer egne saker.
- Generer bruksrapporter: Etter 28. juli 2026 vil Zendesk tilby en ny funksjon i grensesnittet hvor du kan laste ned en bruksrapport (Usage Report) for de siste 7 dagene. Bruk denne til å spore opp nøyaktig hvilke IP-adresser og systemer som kaller API-et med tokens.
-
Migrer til OAuth: Opprett en OAuth-klient i Zendesk Admin Center, oppdater kildekoden i dine skript/integrasjoner til å hente access tokens via enten
client_credentialsellerauthorization_code, og rull ut endringen trinnvis.
4. Ofte stilte spørsmål (FAQ)
Hvilke API-er blir berørt av denne fjerningen?
Dette gjelder spesifikt for kjerne-API-ene til Zendesk Support, herunder Ticketing API, Help Center API (Guide) og Voice API. API-tokens for Messaging, Chat eller andre frittstående Zendesk-produkter berøres ikke av denne tidslinjen.
Hva skjer med webhooks som bruker API-tokens etter oppdateringen?
Å bruke Zendesk API-tokens direkte i webhooks (for eksempel for å trigge en oppdatering tilbake inn i egen Zendesk-konto) vil ikke lenger være støttet og vil slutte å fungere. Zendesk vil publisere egne retningslinjer for sikker autentisering av webhooks i løpet av kort tid.
Et av våre skript kjører bare én gang i kvartalet. Hvordan påvirkes det av 30-dagersregelen?
Siden skriptet kjører sjeldnere enn hver 30. dag, vil tokenet automatisk deaktiveres mellom hver kjøring. Neste gang skriptet prøver å starte, vil det feile. For slike sjeldne arbeidsflyter må du enten reaktivere tokenet manuelt i Admin Center før kjøring (du har 60 dager på deg før det slettes for godt), eller migrere skriptet til OAuth umiddelbart.
Hva gjør vi med apper fra Zendesk Marketplace som krever API-token?
I henhold til Zendesks retningslinjer har ikke tredjepartsapper lov til å bruke kunders private API-tokens. Dersom du har en markedsplass-app eller en integrasjon levert av en ekstern partner som krever dette, må du kontakte utvikleren omgående og be dem oppdatere appen til å bruke OAuth. Apper som ikke oppdateres vil slutte å fungere.
Vil du lese Zendesks offisielle kunngjøring?
Du finner den fulle tekniske oversikten og utviklerdokumentasjonen her:
Zendesk: Announcing the removal of API tokens as an authentication method
Har dere komplekse integrasjoner som må skrives om til OAuth?
Dette er en omfattende teknisk endring. SoftwareOne kan bistå med å kartlegge deres API-forbruk, analysere feilsøkingsrapporter og kode om skript, integrasjoner og webhooks til sikker OAuth-autentisering.