Perfil de atributos de usuario

El Perfil de atributos de usuario (UAP) proporciona una forma uniforme de definir, gestionar y asignar atributos de usuario en protocolos como SCIM, SAML y OIDC. UAP con Configuración empresarial de autoservicio ofrece a los administradores un mayor control sobre los datos de identidad de los usuarios al definir atributos de usuario y aplicar el perfil en todos los protocolos de autenticación.

Cómo funciona

Definición del perfil Un administrador crea un perfil de atributos de usuario para definir los atributos, incluidos:
- Cómo mostrar los atributos
- Cómo hacer que los atributos sean obligatorios
- Cómo se asignan los atributos a Auth0 y a sistemas de identidad externos
Ámbito flexible Los perfiles están vinculados a los flujos de Configuración empresarial de autoservicio, pero están diseñados para el aprovisionamiento, la incorporación y la gestión de derechos.
Capa de asignación unificada Cada atributo admite asignaciones entre protocolos de autenticación, con la opción de sobrescribir valores para proveedores o estrategias de conexión específicos, como Okta y Entra ID.

Asignación y sobrescritura de atributos

UAP admite definiciones de atributos multiprotocolo y sobrescrituras de estrategia para necesidades específicas de cada proveedor. Asignación de atributos

Protocolo	Descripción
Asignación de Auth0	Atributo canónico almacenado en Auth0 (`email`, `name`, `app_metadata.department`).
Asignación de OIDC	Claims estándar de OIDC (`sub`, `preferred_username`, `zoneinfo`). Para obtener más información sobre los claims estándar de OIDC, consulte Standard Claims.
Asignación de SAML	Admite uno o varios URI de aserción `(http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress).`
Asignación de SCIM	Atributos de aprovisionamiento (`name.familyName`, `addresses[type eq "work"].country`).

Sobrescrituras de estrategia Algunos proveedores usan asignaciones no estándar. UAP permite sobrescrituras:

Protocolo	Descripción
SAML	Asigne `userName` en lugar de `externalId`.
WAAD (Entra ID)	Use `oid` como identificador de OIDC.
Okta	Asigne atributos como `middleNam`e o `federated_groups` mediante claims específicos de Okta.

ID de usuario

La propiedad user_id define cómo asignar claims de OIDC, atributos de SAML o atributos de SCIM al ID de usuario de Auth0. Todos los usuarios de Auth0 deben tener un ID, por lo que esta asignación es obligatoria.

En OIDC, las opciones son fijas (normalmente sub, oid para Azure AD o email para Google).
- En SAML y SCIM, la asignación es más flexible y puede apuntar a varios atributos posibles.

Atributos del usuario

La propiedad user_attributes contiene información de asignación que permite al sistema interpretar los claims entrantes del IdP y almacenarlos como atributos del perfil del usuario de Auth0. Cada atributo debe proporcionarse como un par clave/valor:

La clave corresponde al nombre del atributo.
- El valor es un objeto con:
  - label
  - description
  - profile_required
  - auth0_mapping
  - saml_mapping
  - scim_mapping
  - oidc_mapping, un objeto con las propiedades:
    - mapping representa el claim entrante del IdP (valor literal, objeto de contexto dinámico o ambos mediante la sintaxis ${variable}, compatible con el objeto de contexto)
    - display_name, la etiqueta que se muestra a los usuarios finales en los flujos de autoservicio

Sobrescrituras de estrategia

La propiedad strategy_overrides le permite especificar excepciones para Proveedores de identidad (IdP) concretos, ya que no todos los IdP exponen los mismos identificadores ni los mismos claims. Cada sobrescritura define asignaciones específicas del protocolo que reemplazan los valores predeterminados definidos en user_id o user_attributes.

Ejemplos

Identificador de usuario

"user_id": {
  "oidc_mapping": "sub",
  "saml_mapping": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"
  ],
  "scim_mapping": "externalId",
  "strategy_overrides": {
    "waad": {
      "oidc_mapping": "oid"
    },
    "samlp": {
      "scim_mapping": "userName"
    },
    "google-apps": {
      "oidc_mapping": "email"
    }
  }
},

Identificador predeterminado: externalId mediante SCIM.
SAML: Admite varios URI de identificador.
OIDC: Usa sub.
Sobrescrituras: SAML y WAAD permiten personalizar los mapeos.

Atributo de correo electrónico

"email": {
  "description": "Email",
  "label": "Email",
  "profile_required": true,
  "auth0_mapping": "email",
  "scim_mapping": "emails[primary eq true].value",
  "oidc_mapping": {
    "mapping": "${context.tokenset.email}",
    "display_name": "email"
  },
  "saml_mapping": [
    "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"
  ],
  "strategy_overrides": {
    "waad": {
      "scim_mapping": "emails[type eq \"work\"].value"
    }
  }
}

Recomendado para la mayoría de los perfiles.
Unificado en Auth0, OIDC, SAML y SCIM.
La sobrescritura de WAAD garantiza la asignación correcta a los correos electrónicos laborales.

Crear un perfil de atributos de usuario

Puede definir un UAP mediante la configuración empresarial de autoservicio en el Auth0 Dashboard o la Management API. Actualmente, se puede configurar a través de la experiencia de configuración empresarial de autoservicio.

Configurar con Auth0 Dashboard

Vaya a Authentication > Enterprise > Configuración empresarial de autoservicio.
Seleccione +Create Profile.
Proporcione un Name y una Description opcional para el perfil nuevo.
Agregue una entrada de perfil de atributos de usuario, ya sea seleccionando un perfil existente o eligiendo +Create New.
- Para un perfil nuevo, proporcione un User Profile Attribute Name.
- Revise las asignaciones para asegurarse de que los atributos del perfil se asignen a los atributos de Auth0 que prefiera.
Seleccione Create.

Ya puede configurar su nuevo UAP para SSO.

Configuración con Management API

Para gestionar los perfiles de atributos de usuario, están disponibles los siguientes endpoints de Management API:

POST /api/v2/user-attribute-profiles
GET /api/v2/user-attribute-profiles
PATCH /api/v2/user-attribute-profiles/{id}
GET /api/v2/user-attribute-profiles/{id}
GET /api/v2/user-attribute-profiles/templates
GET /api/v2/user-attribute-profiles/templates/{id}

​Cómo funciona

​Asignación y sobrescritura de atributos

​ID de usuario

​Atributos del usuario

​Sobrescrituras de estrategia

​Ejemplos

​Identificador de usuario

​Atributo de correo electrónico

​Crear un perfil de atributos de usuario

​Configurar con Auth0 Dashboard

​Configuración con Management API

​Más información