Acceda al almacenamiento de identidades heredado mediante una API personalizada
Le recomendamos implementar una API para aplicar el principio de privilegio mínimo a su almacenamiento de identidades heredado, en lugar de simplemente habilitar el acceso general a través de internet.Proteger el almacenamiento de identidades heredado frente al acceso general es una práctica recomendada. Exponer directamente a internet una base de datos (de identidades heredada), por ejemplo, puede ser extremadamente problemático: las interfaces de bases de datos para SQL y similares son extremadamente abiertas en cuanto a funcionalidad, lo que vulnera el principio de privilegio mínimo en materia de seguridad.La alternativa es crear una API (personalizada) sencilla, protegida mediante el uso de un , a la que pueda llamar cada script de acción. Esto actuaría como interfaz para el almacén de identidades heredado. Luego, se puede usar el flujo de concesión de credenciales de cliente para obtener un token de acceso desde un script y, posteriormente, almacenarlo en caché para reutilizarlo dentro del objeto global y así mejorar el rendimiento. Después, la API puede proporcionar un número limitado de endpoints protegidos que realicen únicamente la funcionalidad necesaria de administración (de identidades heredadas) (por ejemplo, leer un usuario, cambiar una contraseña).De forma predeterminada, Auth0 le proporcionará un token para cualquier API si se autentica correctamente e incluye la adecuada. Restringir el acceso a la API del almacén de identidades heredado limitando la asignación de tokens de acceso mediante el uso de una regla evitará el uso no autorizado y mitigará varios escenarios de vectores de ataque, como aquellos en los que se intercepta la redirección a /authorize y se agrega la audiencia de la API.
Restringir el acceso a la API mediante una regla mitigará escenarios de vectores de ataque, como aquellos en los que se intercepta la redirección a /authorize y se agrega la audiencia de la API, y garantizará que solo se conceda acceso mediante credenciales de cliente específicas.
Tanto si administra el acceso al almacenamiento de identidades heredado mediante una API personalizada como si usa la interfaz nativa proporcionada, debe restringir el acceso a las direcciones IP asociadas con su inquilino de Auth0. Para ver la lista de direcciones IP, consulte Direcciones IP de Auth0 para listas de permitidos. Añadir URL a la AllowList limita el acceso al almacén de identidades heredadas y garantiza que solo se permitan los scripts de acción de base de datos personalizada definidos en Auth0.
La AllowList de direcciones IP de Auth0 se comparte entre todos los inquilinos de Auth0 de una región. Nunca use la lista de permitidos como único método para proteger el acceso a su almacén de identidades heredadas; hacerlo podría generar vulnerabilidades de seguridad que permitan el acceso no autorizado a sus usuarios.
Autenticar
Administrar usuarios
Personalizar
Auth0 AI
Plataforma