Autenticar
Administrar usuarios
Personalizar
Auth0 AI
PlataformaCrear clientes
Cree un nuevo cliente (aplicación o integración de SSO). Para obtener más información, consulte Create Applications API Endpoints for Single Sign-On.
Notas:
- Recomendamos dejar el parámetro
client_secretsin especificar para permitir que se genere un secreto seguro. - Las propiedades
client_authentication_methodsytoken_endpoint_auth_methodson mutuamente excluyentes. Useclient_authentication_methodspara configurar el cliente con el método de autenticación Private Key JWT. De lo contrario, usetoken_endpoint_auth_methodpara configurar el cliente con secreto del cliente (basic o post) o sin método de autenticación (none). - Al usar
client_authentication_methodspara configurar el cliente con el método de autenticación Private Key JWT, especifique credenciales completamente definidas. Estas credenciales se habilitarán automáticamente para la autenticación Private Key JWT en el cliente. - Para configurar
client_authentication_methods, se requiere el scopecreate:client_credentials. - Para configurar
client_authentication_methods, la propiedadjwt_configuration.algdebe establecerse en RS256.
Las integraciones de SSO creadas mediante este endpoint aceptarán solicitudes de inicio de sesión y compartirán información del perfil de usuario.
Autorizaciones
Bearer authentication header of the form Bearer <token>, where <token> is your auth token.
Cuerpo
Nombre de este cliente (longitud mínima: 1 carácter; no permite < ni >).
^[^<>]+$Complementos habilitados para este cliente y sus configuraciones asociadas.
Lista de clientes y ID de API permitidos que pueden hacer solicitudes de delegación. Si está vacía, significa que todos tus clientes están permitidos.
1Lista separada por comas de URL válidas como destino de redirección después del cierre de sesión en Auth0. Se permiten comodines para los subdominios.
Lista separada por comas de URL permitidas para hacer solicitudes desde JavaScript a la API de Auth0 (normalmente se usa con CORS). De forma predeterminada, se permitirán todas las URL de devolución de llamada. Este campo te permite introducir otros orígenes si es necesario. También puedes usar comodines en el nivel de subdominio (p. ej., https://*.contoso.com). Las cadenas de consulta y la información de hash no se tienen en cuenta al validar estas URL.
El tipo de aplicación que representa este cliente
native, spa, regular_web, non_interactive, resource_server, express_configuration, rms, box, cloudbees, concur, dropbox, mscrm, echosign, egnyte, newrelic, office365, salesforce, sentry, sharepoint, slack, springcm, zendesk, zoom, sso_integration, oag Lista de canales de notificación para contactar con el usuario cuando se requiere su aprobación. Los valores válidos son guardian-push, email.
1guardian-push, email Lista de URL separadas por comas autorizadas para que Auth0 las use como URL de devolución de llamada al cliente después de la autenticación.
Lista de audiencias/realms para el protocolo SAML. La usa el addon wsfed.
1Define los métodos de autenticación del cliente.
Metadatos asociados al cliente, en forma de objeto con valores de cadena (máx. 255 caracteres). Se permite un máximo de 10 propiedades de metadatos. Los nombres de campo (máx. 255 caracteres) son alfanuméricos y solo pueden incluir los siguientes caracteres especiales: :,-+=_*?"/\()<>@\t[Tab] [Space]
Define el nivel de cumplimiento de este cliente, que puede restringir sus capacidades.
none, fapi1_adv_pkj_par, fapi1_adv_mtls_par, fapi2_sp_pkj_mtls, fapi2_sp_mtls_mtls, null Indica si este cliente puede usarse para realizar solicitudes de autenticación entre orígenes (true) o si no tiene permitido realizar esas solicitudes (false).
URL de la ubicación en su sitio donde se realiza la verificación entre orígenes para el flujo de autenticación entre orígenes al realizar la autenticación en su propio dominio en lugar de la hosted login page de Auth0.
El contenido (HTML, CSS, JS) de la página de inicio de sesión personalizada.
1true si se debe usar la página de inicio de sesión personalizada; false en caso contrario. El valor predeterminado es true
El contenido (HTML, CSS, JS) de la página de inicio de sesión personalizada. (Se usa en las vistas previas)
1Define el ID de Organización predeterminado y los flujos.
Descripción de texto libre de este cliente (longitud máxima: 140 caracteres).
140Cifrado usado para las respuestas de WsFed con este cliente.
Configuración específica de la aplicación para usar con la función Express Configuration de OIN.
Configure la configuración de inicio de sesión de FedCM para New Universal Login
Plantilla de formulario HTML que se usará para WS-Federation.
1Lista de tipos de concesión soportados para esta aplicación. Puede incluir authorization_code, implicit, refresh_token, client_credentials, password, http://auth0.com/oauth/grant-type/password-realm, http://auth0.com/oauth/grant-type/mfa-oob, http://auth0.com/oauth/grant-type/mfa-otp, http://auth0.com/oauth/grant-type/mfa-recovery-code, urn:openid:params:grant-type:ciba, urn:ietf:params:oauth:grant-type:device_code y urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token.
1URI para iniciar sesión; debe ser https
Indica si este cliente es de primera parte o no
Si es true, confía en que la IP especificada en el encabezado auth0-forwarded-for es la IP del usuario final para la protección contra ataques de fuerza bruta en el token endpoint.
Configuración relacionada con los JWT del cliente.
URL del logotipo que se mostrará para este cliente. El tamaño recomendado es de 150x150 píxeles.
Configuración adicional para aplicaciones móviles nativas.
Configuración relacionada con My Organization Configuration para el cliente.
Configurar los ajustes de inicio de sesión social nativo
Configuración para el cierre de sesión por canal de retorno de OIDC (obsoleto, sustituido por oidc_logout)
Indica si este cliente cumple con las especificaciones estrictas de OIDC (true) o usa características legadas (false).
Configuración del logout por canal secundario de OIDC
Define los métodos disponibles para el descubrimiento de organizaciones durante pre_login_prompt. Los usuarios pueden descubrir su organización mediante email, organization_name o ambos.
1Método para detectar organizaciones durante pre_login_prompt. email permite a los usuarios encontrar su organización introduciendo su dirección de correo electrónico y realizando una coincidencia de dominio, mientras que organization_name requiere que los usuarios introduzcan directamente el nombre de la organización. Estos métodos pueden combinarse.
email, organization_name Define cómo proceder durante una transacción de autenticación cuando client.organization_usage: 'require'. Puede ser no_prompt (predeterminado), pre_login_prompt o post_login_prompt. post_login_prompt requiere oidc_conformant: true.
no_prompt, pre_login_prompt, post_login_prompt Define cómo proceder durante una transacción de autenticación con respecto a una organización. Puede ser deny (predeterminado), allow o require.
deny, allow, require Especifica cuánto tiempo, en segundos, sigue siendo válido un URI de Pushed Authorization Request
10 <= x <= 600Controla si Auth0 redirige a los usuarios a la URL de devolución de llamada de la aplicación cuando se producen errores de autenticación o en flujos de verificación de correo electrónico. open_redirect_protection muestra una página de error en lugar de redirigir y oculta el dominio de devolución de llamada en las plantillas de correo electrónico. allow_always habilita el comportamiento de redirección estándar. El valor predeterminado es open_redirect_protection para clientes de terceros. Solo se aplica cuando is_first_party es false y third_party_security_mode es strict. Para obtener más información, consulta Protección de redirección.
allow_always, open_redirect_protection Configuración del token de actualización
Hace obligatorio el uso de Proof-of-Possession para este cliente
Hace obligatorio el uso de Pushed Authorization Request para este cliente
El identificador del Resource Server al que está vinculado este cliente.
1 - 600Configuración de SSO de nativo a web
Configuración de solicitudes de autorización protegidas con JWT (JAR).
Controla si se muestra una pantalla de confirmación durante los flujos de inicio de sesión cuando el URI de redirección usa URL de devolución de llamada no verificables (por ejemplo, un esquema de URI personalizado como myapp:// o localhost).
Si se establece en true, no se mostrará una pantalla de confirmación. Recomendamos establecerlo en false para mejorar la protección contra aplicaciones maliciosas.
Consulte https://auth0.com/docs/secure/security-guidance/measures-against-app-impersonation para obtener más información.
Se aplica solo a clientes con SSO y determina si Auth0 gestionará el inicio de sesión único (true) o si lo hará el Proveedor de identidad (false).
true para deshabilitar el inicio de sesión único; false en caso contrario (valor predeterminado: false)
Modo de seguridad para clientes de terceros. strict aplica controles de seguridad mejorados: alineación con OAuth 2.1, autorización explícita de API y un conjunto seleccionado de funcionalidades compatibles. permissive conserva el comportamiento preexistente y solo está disponible para inquilinos con uso previo de clientes de terceros. Se establece al crearlo y no puede modificarse.
strict, permissive Define el método de autenticación solicitado para el endpoint de token. Puede ser none (cliente público sin secreto de cliente), client_secret_post (el cliente usa parámetros HTTP POST) o client_secret_basic (el cliente usa HTTP Basic).
none, client_secret_post, client_secret_basic Configuración para el intercambio de tokens.
Lista separada por comas de orígenes permitidos para usar con la autenticación entre orígenes, el flujo de dispositivo y el modo de respuesta web message.
Respuesta
Cliente creado correctamente.
Complementos habilitados para este cliente y sus configuraciones asociadas.
Lista de clientes permitidos e id de API autorizados para realizar solicitudes de delegación. Si está vacía, significa que todos sus clientes están permitidos.
Lista de URL separadas por comas a las que se permite redirigir después de cerrar sesión en Auth0. Se permiten comodines para los subdominios.
Lista de URL separadas por comas permitidas para realizar solicitudes desde JavaScript a la API de Auth0 (normalmente se usa con CORS). De forma predeterminada, se permitirán todas sus URL de devolución de llamada. Este campo le permite introducir otros orígenes si es necesario. También puede usar wildcards a nivel de subdominio (por ejemplo, https://*.contoso.com). La cadena de consulta y la información de hash no se tienen en cuenta al validar estas URL.
El tipo de aplicación que representa este cliente
native, spa, regular_web, non_interactive, resource_server, express_configuration, rms, box, cloudbees, concur, dropbox, mscrm, echosign, egnyte, newrelic, office365, salesforce, sentry, sharepoint, slack, springcm, zendesk, zoom, sso_integration, oag Lista de canales de notificación para contactar con el usuario cuando se requiere su aprobación. Los valores válidos son guardian-push, email.
1guardian-push, email Lista de URL separadas por comas incluidas en la lista de permitidos para que Auth0 las use como callback al cliente después de la autenticación.
Lista de audiencias/realm para el protocolo SAML. La usa el addon wsfed.
Define los métodos de autenticación del cliente.
ID de este cliente.
Metadatos asociados al cliente, en forma de objeto con valores de cadena (máx. 255 caracteres). Se permite un máximo de 10 propiedades de metadatos. Los nombres de campo (máx. 255 caracteres) son alfanuméricos y solo pueden incluir los siguientes caracteres especiales: :,-+=_*?"/\()<>@\t[Tab] [Space]
Secreto del cliente (que no debe hacerse público).
Define el nivel de cumplimiento de este cliente, que puede restringir sus capacidades.
none, fapi1_adv_pkj_par, fapi1_adv_mtls_par, fapi2_sp_pkj_mtls, fapi2_sp_mtls_mtls, null Indica si este cliente puede usarse para realizar solicitudes de autenticación entre orígenes (true) o si no tiene permitido realizar esas solicitudes (false).
URL de la ubicación en su sitio donde se realiza la verificación entre orígenes para el flujo de autenticación entre orígenes cuando la autenticación se realiza en su propio dominio en lugar de en la hosted login page de Auth0.
El contenido (HTML, CSS, JS) de la página de Login personalizada.
Indica si se debe usar una página de Login personalizada (true) o la página de Login predeterminada (false).
El contenido (HTML, CSS, JS) de la página de Login personalizada. (Se usa en las vistas previas)
Define el ID de Organización predeterminado y los flujos.
Descripción en texto libre de este cliente (longitud máxima: 140 caracteres).
Cifrado usado para las respuestas de WsFed con este cliente.
Configuración específica de la aplicación para usar con la función Express Configuration de OIN.
Un identificador de cliente alternativo que se utilizará durante los flujos de autorización. Solo admite identificadores de cliente basados en CIMD.
Indica quién creó el cliente de metadatos externos. El valor admin indica que el cliente se registró mediante la Management API. El valor client indica que el cliente se registró dinámicamente. Este campo solo está presente cuando se establece external_metadata_type.
admin, client Indica el tipo de metadatos externos usados para registrar el cliente. Este campo se omite para los clientes normales. El valor cimd identifica a los clientes registrados mediante un documento de metadatos de ID de cliente. El valor dcr identifica a los clientes registrados mediante Dynamic Client Registration.
cimd, dcr template de formulario HTML que se utilizará para WS-Federation.
Indica si este es su cliente global "All Applications", que representa la configuración legada del tenant (true), o un cliente normal (false).
Lista de tipo de concesión compatibles con esta aplicación. Puede incluir authorization_code, implicit, refresh_token, client_credentials, password, http://auth0.com/oauth/grant-type/password-realm, http://auth0.com/oauth/grant-type/mfa-oob, http://auth0.com/oauth/grant-type/mfa-otp, http://auth0.com/oauth/grant-type/mfa-recovery-code, urn:openid:params:grant-type:ciba, urn:ietf:params:oauth:grant-type:device_code y urn:auth0:params:oauth:grant-type:token-exchange:federated-connection-access-token.
URI de inicio de Login; debe usar https
Indica si este cliente es de primera parte (true) o no (false).
Si es true, se confía en que la IP especificada en el encabezado auth0-forwarded-for es la IP del usuario final para la protección contra fuerza bruta en el token endpoint.
URL del conjunto de claves web JSON (JWKS) que contiene las claves públicas usadas para la autenticación private_key_jwt. Solo está presente en clientes CIMD que usan autenticación private_key_jwt.
Configuración relacionada con los JWT del cliente.
URL del logotipo que se mostrará para este cliente. El tamaño recomendado es de 150x150 píxeles.
Configuración adicional para aplicaciones móviles nativas.
Configuración relacionada con My Organization Configuration para el cliente.
Nombre de este cliente (longitud mínima: 1 carácter, no permite < ni >).
Indica si este cliente cumple con las especificaciones estrictas de OIDC (true) o usa características legadas (false).
Configuración del logout por canal secundario de OIDC
Define los métodos disponibles para detectar la organización durante pre_login_prompt. Los usuarios pueden descubrir su organización mediante email, organization_name o ambos.
1Método para detectar organizaciones durante pre_login_prompt. email permite a los usuarios encontrar su organización introduciendo su dirección de correo electrónico y realizando una coincidencia de dominio, mientras que organization_name requiere que los usuarios introduzcan directamente el nombre de la organización. Estos métodos pueden combinarse.
email, organization_name Define cómo proceder durante una transacción de autenticación cuando client.organization_usage: 'require'. Puede ser no_prompt (predeterminado), pre_login_prompt o post_login_prompt. post_login_prompt requiere oidc_conformant: true.
no_prompt, pre_login_prompt, post_login_prompt Define cómo proceder durante una transacción de autenticación con respecto a una organización. Puede ser deny (predeterminado), allow o require.
deny, allow, require Especifica durante cuánto tiempo, en segundos, sigue siendo válido un URI de Pushed Authorization Request
10 <= x <= 600Controla si Auth0 redirige a los usuarios a la URL de devolución de llamada de la aplicación cuando se producen errores de autenticación o en flujos de verificación de correo electrónico. open_redirect_protection muestra una página de error en lugar de redirigir y oculta el dominio de devolución de llamada en las plantillas de correo electrónico. allow_always habilita el comportamiento de redirección estándar. El valor predeterminado es open_redirect_protection para clientes de terceros. Solo se aplica cuando is_first_party es false y third_party_security_mode es strict. Para obtener más información, consulta Protección de redirección.
allow_always, open_redirect_protection Configuración del token de actualización
Hace obligatorio el uso de Proof-of-Possession para este cliente
Hace obligatorio el uso de Pushed Authorization Requests para este cliente
El identificador del servidor de recursos al que está vinculado este cliente.
Configuración de SSO de nativo a web
Configuración de solicitudes de autorización protegidas con JWT (JAR).
Certificados de firma asociados a este cliente.
Controla si se muestra una pantalla de confirmación durante los flujos de Login cuando el Redirect URI usa callback URI no verificables (por ejemplo, un esquema de URI personalizado como myapp:// o localhost).
Si se establece en true, no se mostrará una pantalla de confirmación. Recomendamos establecerlo en false para mejorar la protección frente a aplicaciones maliciosas.
Consulte https://auth0.com/docs/secure/security-guidance/measures-against-app-impersonation para obtener más información.
Se aplica solo a clientes SSO y determina si Auth0 controlará el inicio de sesión único (true) o si lo hará el Proveedor de identidad (false).
Indica si el inicio de sesión único está deshabilitado (true) o habilitado (true). El valor predeterminado es true.
Nombre del tenant al que pertenece este cliente.
Modo de seguridad para clientes de terceros. strict aplica controles de seguridad mejorados: alineación con OAuth 2.1, autorización explícita de API y un conjunto seleccionado de funcionalidades compatibles. permissive conserva el comportamiento preexistente y solo está disponible para inquilinos con uso previo de clientes de terceros. Se establece al crearlo y no puede modificarse.
strict, permissive Define el método de autenticación solicitado para el endpoint de token. Puede ser none (cliente público sin secreto de cliente), client_secret_post (el cliente usa parámetros HTTP POST) o client_secret_basic (el cliente usa HTTP Basic).
none, client_secret_post, client_secret_basic Configuración para el intercambio de tokens.
Lista separada por comas de orígenes permitidos para usar con autenticación entre orígenes, Device Flow y el modo de respuesta web message.