Saltar al contenido principal

Descripción general

Conceptos clave
  • Configura los servicios de Auth0 para que funcionen con tu dominio personalizado.
  • Completa el proceso de verificación de tu dominio personalizado a través del panel de Auth0.
  • Consulta la tabla de funcionalidades compatibles con dominios personalizados.
  • Revisa cómo funcionan los dominios personalizados con los URI y las solicitudes de token.
  • Decide si vas a administrar tus certificados o si prefieres que Auth0 los administre por ti.
Puedes usar tu propio nombre de dominio (también conocido como CNAME o URL personalizada) en las páginas de autenticación. Un te permite unificar la experiencia de inicio de sesión con tu propia marca y productos. Tus usuarios verán una URL que muestra tu marca, como login.YOUR_DOMAIN.com, en lugar de YOUR_DOMAIN.auth0.com. En Auth0, el dominio personalizado actúa como una «máscara» para la URL del dominio de tu tenant. Puedes configurar tu dominio personalizado al crear tu tenant, o agregarlo a una implementación existente con cambios menores en el código y la configuración.

Beneficios de usar un dominio personalizado

Con un dominio personalizado, sus usuarios tienen la confianza de que están proporcionando sus credenciales a la entidad correcta. La autenticación se produce dentro del contexto de su marca, lo que le ayuda a fomentar la fidelidad a la marca. Los usuarios no son redirigidos a un sitio de terceros que rompe ese contexto de marca. Esto evita que los usuarios se confundan sobre si todavía están realizando una transacción u operación con usted. Centralizar sus servicios de autenticación en un solo lugar hace que la arquitectura de su aplicación sea más fácil de mantener. Las aplicaciones obtienen únicamente el acceso que necesitan y los servicios de autenticación escalan con facilidad. Otros beneficios de seguridad de usar un dominio personalizado incluyen:
  • Algunos navegadores, de forma predeterminada, dificultan la comunicación en un iFrame si no se comparte un dominio.
  • Es más difícil suplantar su dominio mediante phishing si tiene una URL personalizada, porque el atacante tendría que crear una URL personalizada para imitar la suya. Por ejemplo, con un dominio personalizado, puede usar su propio certificado para obtener Validación Extendida, lo que dificulta el phishing.
  • Las passkeys, una alternativa resistente al phishing frente a los factores de autenticación tradicionales, están vinculadas a su dominio personalizado mediante el atributo de ID de la parte de confianza rpId.
Antes de configurar su dominio personalizado, le recomendamos usar el dominio principal o raíz (por ejemplo, yourDomain.com) en lugar de un subdominio (login.yourDomain.com). Si su dominio personalizado en Auth0 está configurado como dominio raíz, los usuarios finales pueden usar una sola passkey para autenticarse en aplicaciones web nativas o móviles. Para obtener más información, consulte Configure Passkey Policy.

Cómo funciona

Configura un dominio personalizado en la pestaña Auth0 Dashboard > Branding > Custom Domains del . Agrega tu dominio personalizado, elige el tipo de certificado y sigue las instrucciones. Deberás completar un proceso de verificación del dominio que varía según uses un certificado administrado por Auth0 o autoadministrado. Cuando crees un CNAME, debes informárselo a Auth0 para que pueda verificarlo y usar el dominio personalizado. Después de configurar y verificar el dominio personalizado, debes configurar las funciones de Auth0 para usar el nuevo dominio personalizado.
Para configurar un dominio personalizado gratuito, los tenants de Auth0 deben tener una tarjeta de crédito válida registrada con fines de verificación y prevención del fraude. No se realizará ningún cargo en la tarjeta.
Auth0 recomienda que crees tu dominio personalizado durante la fase de desarrollo (antes de pasar a producción) para asegurarte de haber configurado correctamente el CNAME. Por ejemplo, puedes crear un CNAME que apunte login.YOUR_DOMAIN.com a YOUR_DOMAIN.auth0.com.
Auth0 no proporciona una lista estática de direcciones IP porque están sujetas a cambios. En su lugar, te recomendamos que agregues tu dominio personalizado a la lista de permitidos.
Puedes actualizar un tenant existente para usar un dominio personalizado. Tus integraciones existentes que usan YOUR_DOMAIN.auth0.com seguirán funcionando. Después del cambio, tus usuarios deberán volver a iniciar sesión porque las sesiones existentes dejarán de ser válidas. Además, puede que los usuarios necesiten eliminar la cookie del navegador asociada a tu dominio personalizado si se producen errores durante el inicio de sesión. Si usas Lock integrado o un SDK, puedes optar por usar la configuración de dominio estándar o un dominio personalizado.
Tu dominio personalizado debe cumplir con las prácticas recomendadas de HTTP. Si el orden de los campos no es correcto, podrías enviar encabezados duplicados. Consulta RFC 7230 HTTP/1.1 Message Syntax Routing - Field Order para obtener más información.

Dominios personalizados y autenticación

Las siguientes funciones de autenticación de Auth0 admiten el uso de dominios personalizados.
Función o flujoDetalles
Universal LoginPara ofrecer una experiencia de usuario fluida y segura
MFATodos los factores
GuardianAndroid SDK/Swift SDK/MFA Widget versión 1.3.3/Guardian.js versión 1.3.0 o posterior
Correos electrónicosLos enlaces incluidos en los correos electrónicos usan tu dominio personalizado
ConexionesBase de datos, redes sociales, Google Workspace, Azure AD, ADFS, AD/LDAP
LockVersión 11 con autenticación entre orígenes
PasswordlessCon Universal Login (El enlace del correo electrónico se envía usando el dominio personalizado si la opción está habilitada en Dashboard > Tenant Settings > Custom Domains.)
SAMLConexiones y aplicaciones
WS-FederationAuth0 como proveedor de identidad mediante el complemento WS-Fed
Flujos compatibles con OAuth 2.0/OIDCUsando los endpoints /authorize y /oauth/token

Dominios personalizados y URI

Auth0 utiliza determinados endpoints de metadatos para la interoperabilidad y la configuración de y aplicaciones de terceros. Cuando los metadatos contienen URI que remiten a Auth0, la URL puede ser el subdominio de Auth0 o tu dominio personalizado, según el nombre de host que hayas usado para solicitar los metadatos. Por ejemplo:
Si usasReferencia dentro de los metadatos
https://travel0.auth0.com/.well-known/...https://travel0.auth0.com/...
https://travel0.auth0.com/samlp/metadata/...https://travel0.auth0.com/...
https://login.travel0.com/samlp/metadata/...https://login.travel0.com/...
Para obtener más información, consulta Redirigir a los usuarios después de iniciar sesión. Esta flexibilidad se aplica a los siguientes escenarios de autenticación:

Dominios personalizados y solicitudes de tokens

Auth0 emite tokens con el claim iss correspondiente al dominio que usaste en la solicitud del token. Por ejemplo:
Si usasValor del claim iss
https://travel0.auth0.com/authorize...
https://travel0.auth0.com/oauth/token...		https://travel0.auth0.com/
https://login.travel0.com/authorize...
https://login.travel0.com/oauth/token...		https://login.travel0.com/
Si obtienes un para la mediante un con tu dominio personalizado, debes llamar a la Management API usando ese dominio personalizado; de lo contrario, el token se considerará no válido. El claim iss del token es independiente de la . Los valores de audiencia siguen siendo los mismos para los tokens obtenidos con un dominio personalizado. Para obtener más información sobre los tokens, consulta Management API Access Tokens.

Opciones de gestión de certificados

Certificados administrados por Auth0

Auth0 puede administrar los certificados de tu dominio personalizado y gestionar directamente la negociación SSL. Añades un registro CNAME al dominio, Auth0 valida el registro y genera el certificado en los servidores de Auth0. El certificado se renueva automáticamente cada tres meses. Una vez verificado, configura las funciones de Auth0 para empezar a usar tu dominio personalizado. Para obtener más información, consulta Configurar dominios personalizados con certificados administrados por Auth0.

Certificados autoadministrados

Puedes obtener y gestionar tus propios certificados en Dominios personalizados. En este caso, eres responsable de gestionar los certificados SSL y de configurar y administrar un proxy inverso para enviar contenido a Auth0. Auth0 negocia SSL con el proxy, no directamente con el cliente final. El proxy, a su vez, negocia SSL con el usuario final. Para evitar que alguien intente usar tu cuenta de Auth0 desde un dominio que no te pertenece, Auth0 necesita validar que el dominio te pertenece: debes proporcionar a Auth0 un encabezado (cname-api-key) para realizar la validación. Debes ser suscriptor de Auth0 Enterprise para usar esta opción. Auth0 proporciona instrucciones para configurar un proxy inverso para los siguientes proveedores:

Más información