Saltar al contenido principal

Requisitos previos

Pasos

Para conectar su aplicación a un OIDC, debe:
  1. Configurar su aplicación en el proveedor de identidad OpenID Connect
  2. Crear una conexión empresarial en Auth0
  3. Habilitar la conexión empresarial para su aplicación de Auth0
  4. Probar la conexión

Configura tu aplicación en el proveedor de identidad OpenID Connect

Para permitir que los usuarios inicien sesión con un Proveedor de identidad OIDC, debes registrar tu aplicación en el IdP. El proceso varía según el Proveedor de identidad OIDC, por lo que deberás seguir la documentación de tu IdP para completar esta tarea. Por lo general, debes asegurarte de introducir tu URL de callback en algún momento: https://{YOUR_AUTH0_DOMAIN}/login/callback.

Encuentra tu nombre de dominio de Auth0 para las redirecciones

Si tu nombre de dominio de Auth0 no aparece arriba y no estás usando nuestra característica de dominios personalizados, tu nombre de dominio es una concatenación del nombre de tu inquilino, tu subdominio regional y auth0.com, separados por el símbolo de punto (.).Por ejemplo, si el nombre de tu inquilino es exampleco-enterprises y tu inquilino está en la región de EE. UU., tu nombre de dominio de Auth0 sería exampleco-enterprises.us.auth0.com y tu Redirect URI sería https://exampleco-enterprises.us.auth0.com/login/callback.Sin embargo, si tu inquilino está en la región de EE. UU. y se creó antes de junio de 2020, tu nombre de dominio de Auth0 sería exampleco-enterprises.auth0.com y tu Redirect URI sería https://exampleco-enterprises.auth0.com/login/callback.Si estás usando dominios personalizados, tu Redirect URI sería https://<YOUR CUSTOM DOMAIN>/login/callback.
Durante este proceso, tu Proveedor de identidad OIDC generará un identificador único para la API registrada, normalmente llamado o ID de aplicación. Toma nota de este valor; lo necesitarás más adelante.

Crear una conexión empresarial en Auth0

Antes de configurar una conexión empresarial OIDC en Auth0, asegúrate de tener el ID de la aplicación (cliente) y el que se generan al configurar tu aplicación en el proveedor OIDC.

Crear una conexión empresarial mediante Auth0 Dashboard

Para que se pueda configurar a través de Auth0 Dashboard, el Proveedor de identidad OIDC debe ser compatible con OIDC Discovery. De lo contrario, puede configurar la conexión mediante Management API.
  1. Vaya a Auth0 Dashboard > Authentication > Enterprise, busque Open ID Connect y seleccione Create.
    Dashboard - Connections - Enterprise
  2. Introduzca los detalles de la conexión y seleccione Create:
Introduzca los detalles de la conexión OIDC
CampoDescripción
PropósitoDetermina cómo pretende usar la conexión: para autenticar usuarios, para conectar cuentas externas a Auth0 o para ambos fines. Para obtener más información, consulte Autenticación de usuarios vs. Cuentas conectadas
Nombre de la conexiónIdentificador lógico de la conexión; debe ser único para su inquilino. Una vez establecido, este nombre no se puede cambiar.
URL de descubrimiento de OpenID ConnectURL en la que Auth0 puede encontrar el endpoint well-known de descubrimiento de OpenID Connect, normalmente disponible en el endpoint /.well-known/openid-configuration. Puede introducir la URL base o la URL completa. Verá una marca de verificación verde si puede encontrarse en esa ubicación, una marca roja si no puede encontrarse, o un mensaje de error si se encuentra el archivo pero la información requerida no está presente en el archivo de configuración. Para obtener más información, consulte Configurar aplicaciones con OIDC Discovery.
ID de clienteEl identificador que le proporcionó su proveedor. Es el identificador único de su aplicación registrada. Introduzca el valor guardado del ID de cliente de la aplicación que registró con el Proveedor de identidad OIDC. Cada proveedor gestiona este paso de forma distinta.
Canal de comunicaciónConfigúrelo como Front Channel o Back Channel. Front Channel usa el protocolo OIDC con response_mode=form_post y response_type=id_token. Back Channel usa response_type=code.
Método de autenticaciónElija cómo se autentica su aplicación con Auth0.
Secreto del clienteDisponible si antes eligió Back Channel. Es el secreto que le proporcionó su proveedor; cada proveedor gestiona este paso de forma distinta.
URL de callbackURL a la que Auth0 redirige a los usuarios después de autenticarse. Asegúrese de que este valor esté configurado para la aplicación que registró con el Proveedor de identidad OIDC.
Sincronizar los atributos del perfil del usuario en cada inicio de sesiónSi se selecciona, su inquilino actualiza los atributos raíz relevantes name, nickname, given_name, family_name o picture cada vez que un usuario inicia sesión.
Promover la conexión al nivel de dominioPermite que las aplicaciones de terceros accedan a la conexión.
  1. En la vista Settings, realice ajustes de configuración adicionales si es necesario.
CampoDescripción
Nombre de la conexiónEl nombre que proporcionaste al crear esta conexión. No se puede cambiar.
Metadatos de la conexiónSe generan automáticamente a partir de la URL del endpoint Well-Known que proporcionaste en la pantalla anterior; pueden sobrescribirse cargando un nuevo archivo de metadatos.
AutenticaciónSe configura como Front Channel o Back Channel. Front Channel usa el protocolo OIDC con response_mode=form_post y response_type=id_token. Back Channel usa response_type=code. Selecciona Manage Authentication para actualizarlo en la pestaña Credentials.
AlcancesUna lista de alcances de Auth0 separada por comas para solicitar al conectarte al Proveedor de identidad OIDC. Esto afectará los datos almacenados en el perfil del usuario. Debes incluir al menos el scope openid. Ten en cuenta que la conexión no llama al endpoint /userinfo y espera que los claims del usuario estén presentes en el id_token.
URL de callbackAlgunos proveedores necesitan esta URL para completar la conexión OIDC.
Asignación de usuariosProporciona plantillas para asignar atributos específicos del usuario a variables de la conexión.
Perfil de la conexiónPara entender cómo cambiar el perfil de tu conexión, consulta Configurar PKCE y la asignación de claims para conexiones OIDC.
PropósitoDetermina cómo quieres usar la conexión: para la autenticación de usuarios, para conectar cuentas externas a Auth0 o para ambas cosas. Para obtener más información, consulta Autenticación de usuarios vs. Connected Accounts
Revocación global de tokensUsa el endpoint proporcionado para finalizar la sesión de Auth0 de un usuario revocando tokens de actualización. Puede usarse con Universal Logout y Okta Workforce Identity Cloud.
Promover la conexión al nivel del dominioPermite que las aplicaciones de terceros accedan a la conexión.

  1. En la vista Provisioning, configura cómo se crean y actualizan los perfiles de usuario en Auth0.
CampoDescripción
Sincronizar atributos del perfil de usuario en cada inicio de sesiónCuando está habilitada, Auth0 sincroniza automáticamente los datos del perfil del usuario en cada inicio de sesión, lo que garantiza que los cambios realizados en el origen de la conexión se actualicen automáticamente en Auth0.
Frecuencia de sincronizaciónDetermina con qué frecuencia debe actualizarse el perfil del usuario.
Sincronizar perfiles de usuario mediante SCIMCuando está habilitada, Auth0 permite sincronizar los datos del perfil del usuario mediante SCIM. Para obtener más información, consulta Configurar SCIM entrante.
  1. En la vista Login Experience, configura cómo los usuarios inician sesión con esta conexión.
CampoDescripción
Home Realm DiscoveryCompara el dominio de correo electrónico de un usuario con los dominios del proveedor de identidad proporcionados. Para obtener más información, consulta Configurar la autenticación Identifier First
Mostrar botón de conexiónEsta opción muestra las siguientes opciones para personalizar el botón de conexión de tu aplicación.
Los campos opcionales están disponibles solo con Universal Login. Los clientes que usan Classic Login no verán el botón Add, el Button display name ni la Button logo URL.
  1. Selecciona Save Changes.

Cree una conexión empresarial con la Management API

Estos ejemplos le mostrarán las distintas formas de crear la conexión con la de Auth0. Puede configurar la conexión proporcionando un URI de metadatos o definiendo explícitamente las URL de OIDC. Para obtener más información, consulte Proveedores de identidad.

Usar front-channel con el endpoint de descubrimiento

Usar el back-channel con el endpoint de descubrimiento

Usar el back-channel y especificar la configuración del emisor

Usar front-channel y especificar la configuración del emisor

Configurar PKCE y el mapeo de claims

Esta conexión empresarial puede ser compatible con Proof Key for Code Exchange (PKCE), así como con el mapeo de atributos y tokens. Para obtener más información, consulte Configurar PKCE y el mapeo de claims para conexiones OIDC.

Habilite la conexión empresarial para su aplicación de Auth0

Para usar su nueva conexión empresarial, primero debe habilitar la conexión para sus aplicaciones de Auth0.

Pruebe la conexión

Ahora está listo para probar la conexión.

Configurar manualmente los metadatos del emisor

Si hace clic en Mostrar detalles del emisor en el endpoint de la URL del emisor, podrá ver esos datos y modificarlos si es necesario.

Federación con Auth0

La conexión empresarial de Connect resulta útil para federarse con otro inquilino de Auth0. Introduzca la URL de su inquilino de Auth0 (por ejemplo, https://<tenant>.us.auth0.com) en el campo Issuer e introduzca el ID de cliente de cualquier aplicación del inquilino con el que quiera federarse en el campo Client ID.
Los inquilinos nuevos incluirán us como parte de la URL. Los inquilinos creados antes de la incorporación del dominio regional seguirán funcionando. Por ejemplo, https://{YOUR ACCOUNT}.auth0.com.

Configurar la revocación global de tokens

Este tipo de conexión admite un endpoint de revocación global de tokens, que permite que un Proveedor de identidad compatible revoque las sesiones de usuario de Auth0, revoque los y active el cierre de sesión por back-channel para las aplicaciones que usan un back-channel seguro. Esta función se puede usar con Universal Logout en Okta Workforce Identity. Para obtener más información e instrucciones de configuración, consulte Universal Logout.