Saltar al contenido principal
Versión: 1.0 (Vigente)

Acceso anticipado limitado

La API My Account está disponible con acceso anticipado limitado. Para solicitar acceso, ponte en contacto con tu responsable de cuenta de Auth0. Para obtener más información sobre el ciclo de lanzamiento de productos de Auth0, consulta Etapas de lanzamiento del producto.
La API My Account de Auth0 proporciona un conjunto específico de endpoints para que los usuarios administren la información de su propia cuenta. Los clientes pueden usar estas API para crear experiencias de autoservicio en sus aplicaciones o añadir progresivamente datos a la cuenta de un usuario. La API My Account funciona en el contexto del usuario que ha iniciado sesión y puede usarse directamente en aplicaciones orientadas al usuario final.

Uso del dominio de Auth0 frente a un dominio personalizado

La API My Account admite el uso de tu dominio canónico de Auth0 o de tu dominio personalizado, pero debes usar el mismo en todo el proceso, lo que incluye:
  • Obtener un token de acceso
  • Establecer el valor de audience
  • Llamar al endpoint de la API My Account
Para obtener más información, consulta Dominios personalizados.

Active la API My Account

Puede activar la API My Account para su inquilino desde el Auth0 Dashboard:
  1. Vaya a Authentication > APIs.
  2. Ubique el banner de la API My Account.
  3. Seleccione Activate.
De forma predeterminada, la API My Account se crea con las siguientes políticas de acceso de aplicaciones a la API: require_client_grant para flujos de usuario deny_all para flujos de cliente (máquina a máquina) Para que una aplicación acceda a la API My Account en nombre del usuario, debe crear explícitamente un client grant para esa aplicación, lo que le permite definir los alcances máximos que la aplicación puede solicitar. Como alternativa, puede cambiar la política de los flujos de acceso de usuario a allow_all, lo que permite que cualquier aplicación de su inquilino solicite cualquier alcance de la API My Account. Dado que la API My Account expone información y operaciones sensibles, Auth0 no recomienda usar allow_all para los flujos de acceso de usuario. Debe aplicar el principio de privilegio mínimo con la API My Account para garantizar que las aplicaciones solo obtengan acceso a lo que realmente necesitan y minimizar así los posibles riesgos de seguridad. Los permisos finales otorgados a la aplicación se determinarán por la intersección entre los alcances permitidos por la política de acceso de aplicaciones a la API, los permisos de control de acceso basado en roles (RBAC) asignados al usuario final y cualquier consentimiento otorgado por el usuario (si corresponde).

Flujos compatibles

No puede actualizar la política de API de la aplicación para el acceso de cliente a la API My Account, lo que significa que no puede acceder a la API My Account mediante el flujo de credenciales del cliente.
Para obtener más información sobre cómo administrar las políticas de acceso de aplicaciones a la API y sus client grants asociados, consulte Acceso de aplicaciones a las API: Client Grants.

Obtener un token de acceso

Puede obtener un token de acceso para la API My Account de la misma forma que obtendría un token de acceso para una de sus propias API.

Operaciones sensibles

Si va a permitir que la API My Account realice operaciones sensibles (como inscribir un método de autenticación), le recomendamos encarecidamente que use la autenticación reforzada para aplicar políticas de seguridad adicionales mediante autenticación multifactor (MFA).
Si usa Universal Login, lea los siguientes artículos: Si usa el inicio de sesión integrado, lea los siguientes artículos:

Ejemplos

Universal Login con flujo de código de autorización

Paso 1: Solicitar el código de autorización 
curl --request GET \
  --url 'https://{yourDomain}/authorize?response_type=code&client_id={yourClientId}&redirect_uri=%7ByourRedirectUri%7D&scope=create%3Ame%3Aauthentication_methods&offline_access=&audience=https%3A%2F%2F{yourDomain}%2Fme%2F'
Paso 2: Canjear el code por un token de acceso 
curl --request POST \
  --url 'https://{yourDomain}/oauth/token' \
  --header 'content-type: application/json' \
  --data '{"grant_type": "authorization_code","client_id": "{yourClientId}","client_secret": "{yourClientId}","code": "{yourAuthorizationCode}","redirect_uri": "{yourRedirectUri}","audience": "{yourAudience}","scope": "create:me:authentication_methods","offline_access": ""}'

Inicio de sesión integrado con passkeys nativas

Paso 1: Solicitar el desafío para iniciar sesión 
curl --request POST \
  --url 'https://{yourDomain}/passkey/challenge' \
  --header 'content-type: application/json' \
  --data '{"client_id": "{yourDomain}"}'
Paso 2: Autenticar un usuario existente 
curl --request POST \
  --url 'https://{yourDomain}/oauth/token' \
  --header 'content-type: application/json' \
  --data '{  "grant_type": "urn:okta:params:oauth:grant-type:webauthn",  "client_id": "{yourClientId}",  "scope": "create:me:authentication_methods offline_access",  "audience": "https://{yourDomain}/me/"  "auth_session": "{sessionIdFromTheFirstRequest}",  "authn_response": "{authenticatorResponse}"}'

Límites de tasa

Durante el Acceso anticipado, la API My Account tiene un límite de 25 solicitudes por segundo por inquilino.

Autenticación

Se admiten tokens Bearer y DPoP según la configuración de la API
Tipo de esquema de seguridad:http
Esquema de autorización HTTP:bearer