Saltar al contenido principal
Para configurar las funciones de Auth0 para que usen tu , es posible que debas completar pasos adicionales según las funciones que utilices. Por ejemplo, puede que necesites realizar cambios antes de poder usar tu dominio personalizado en tu página de inicio de sesión o para hacer llamadas a tus API. Si has estado usando Auth0 durante algún tiempo y decides habilitar un dominio personalizado, tendrás que migrar tus aplicaciones existentes y actualizar la configuración como se describe a continuación, incluidas las VPN o los firewalls que uses. Ten en cuenta que las sesiones existentes creadas en {yourDomain} dejarán de ser válidas una vez que empieces a usar tu dominio personalizado, por lo que los usuarios tendrán que volver a iniciar sesión.

Requisitos previos

Ya deberías haber configurado y verificado tu dominio personalizado.

Características

CaracterísticaSección para leer
Universal Login con una página de inicio de sesión personalizadaUniversal Login
Lock integrado en su aplicaciónLock integrado
Auth0 SPA SDK, Auth0.js u otros SDK de Auth0Auth0 SPA SDK, Auth0.js y otros SDK
Dominio personalizado con correos electrónicos y notificaciones al teléfono de Auth0Usar dominios personalizados en correos electrónicos y notificaciones al teléfono
Proveedores de identidad socialConfigurar proveedores de identidad social
Conexiones de Google Workspace con su dominio personalizadoConfigurar conexiones de Google Workspace
Emitir tokens de acceso para sus API o acceder a las API de Auth0 desde su aplicaciónAPIs
SAML proveedores de identidadConfigurar proveedores de identidad SAML
Aplicaciones SAMLConfigurar aplicaciones SAML
Aplicaciones de Web Service Federation (WS-Fed)Configurar aplicaciones WS-Fed
Conexiones de Azure ADConfigurar conexiones de Azure AD
Conexiones de ADFSConfigurar conexiones de ADFS
Conexiones AD/LAP con compatibilidad con KerberosConfigurar conexiones AD/LAP

Universal Login

Si utiliza Auth0 Universal Login y ha personalizado la página de inicio de sesión, debe actualizar el código para usar su dominio personalizado. Si utiliza la página de inicio de sesión predeterminada sin personalizar, no necesita realizar ningún cambio. Para obtener más información, consulte Auth0 . Si utiliza Lock for Web, debe configurar las opciones configurationBaseUrl y overrides, como se muestra en el siguiente script de ejemplo: 
var lock = new Auth0Lock(config.clientID, config.auth0Domain, {
  //código omitido por brevedad
  configurationBaseUrl: config.clientConfigurationBaseUrl,
  overrides: {
  	__tenant: config.auth0Tenant,
  	__token_issuer: config.authorizationServer.issuer
  },
  //código omitido por brevedad
});
Si usa Auth0.js en la página de Universal Login, debe configurar la opción overrides. 
var webAuth = new auth0.WebAuth({
  clientID: config.clientID,
  domain: config.auth0Domain,
  //código omitido por brevedad
  overrides: {
  	__tenant: config.auth0Tenant,
  	__token_issuer: config.authorizationServer.issuer
  },
  //código omitido por brevedad
});
Por lo general, las bibliotecas Auth0.js y Lock obtienen el nombre del inquilino (obligatorio para /usernamepassword/login) y el emisor (obligatorio para validar id_token) a partir del dominio. Sin embargo, si es cliente de Private Cloud y usa un proxy o un nombre de dominio personalizado en el que el dominio es distinto del inquilino/emisor, puede usar __tenant y __token_issuer para especificar sus propios valores.

Lock integrado

Si usa Lock for Web integrado en su aplicación, debe actualizar el código para que use su dominio personalizado al inicializar Lock. También deberá configurar configurationBaseUrl con la URL de CDN adecuada. La URL del CDN varía según la región. Use https://cdn.[us|eu|au|jp].auth0.com (us para Estados Unidos, eu para Europa, au para Australia o jp para Japón).
La URL del CDN varía según la región. Los inquilinos creados antes del 11 de junio de 2020 deben usar https://cdn.auth0.com si la región corresponde a Estados Unidos, o agregar eu, au o jp para Europa, Australia o Japón. Si su inquilino se creó después del 11 de junio de 2020, use https://cdn.us.auth0.com si la región corresponde a Estados Unidos.

Auth0 SPA SDK, Auth0.js y otros SDK

Si usas el Auth0 SPA SDK, Auth0.js u otros SDKs, tendrás que inicializar el SDK con tu dominio personalizado. Por ejemplo, si usas el SDK de Auth0.js, debes configurar lo siguiente: Y en el caso del Auth0 SPA SDK: Consulte la sección de API más abajo si usa un dominio personalizado y también prevé realizar acciones de Management API con Auth0.js.

Usar dominios personalizados en correos electrónicos y notificaciones por teléfono

Si quiere usar su dominio personalizado con los correos electrónicos o las notificaciones por teléfono de Auth0, debe habilitar esta función.
  1. Vaya a Auth0 Dashboard > Branding > Custom Domains.
  2. Active la opción Use Custom Domain in Emails.

Configurar proveedores de identidad social

Si quieres usar tu dominio personalizado con (IdP) sociales, debes actualizar la lista de URI de redirección autorizadas de tu IdP para que incluya tu dominio personalizado (como https://login.northwind.com/login/callback). No puedes usar las claves de desarrollador de Auth0 con dominios personalizados.

Configurar conexiones de Google Workspace

Si desea usar su dominio personalizado con conexiones de Google Workspace, debe actualizar el URI de redirección autorizado en la configuración del cliente . En Google Cloud Console, vaya a Credentials, elija su cliente de OAuth en la lista y verá una página de configuración con el de la aplicación, el secreto y otros campos. En el campo Authorized redirect URIs, agregue una URL con el formato https://<YOUR-CUSTOM-DOMAIN>/login/callback que incluya su dominio personalizado (por ejemplo, https://login.northwind.com/login/callback).

APIs

Los identificadores de API (es decir, audience) no cambiarán. Es un valor constante para cada API y, aunque es habitual usar un URI, es totalmente independiente del dominio que se use para obtener el token. Auth0 emite tokens con la reclamación iss correspondiente al dominio que hayas usado para obtener el token.
APIs de Auth0
Continúe usando el nombre de dominio predeterminado de su inquilino (como https://{yourDomain}/userinfo y https://{yourDomain}/api/v2/) en lugar de su dominio personalizado al especificar una audience. Este es el único caso en el que debe usar el dominio predeterminado de su inquilino. Todas las solicitudes (es decir, la obtención del token y la llamada a la API propiamente dicha) deben usar el mismo dominio. Los tokens obtenidos mediante un dominio personalizado deben usarse en una API de Auth0 que utilice ese mismo dominio personalizado. Si usa un flujo de autenticación con su dominio personalizado para solicitar para acceder a la , también debe llamar al endpoint de la Management API con su dominio personalizado. 
POST https://mycustomdomain.com/oauth/token
... // otros parámetros 
...
audience:https://defaulttenant.eu.auth0.com/api/v2/
La solicitud de tu Token de acceso debería ser similar a 
GET https://mycustomdomain.com/api/v2/clients

Headers:
Authorization: Bearer <access_token>
APIs personalizadas
Si usa Auth0 con un dominio personalizado para emitir Tokens de acceso para sus APIs, debe validar el emisor del con respecto a su dominio personalizado. Por ejemplo, si usa el middleware express-jwt, debe realizar el siguiente cambio: 
app.use(jwt({
  issuer: 'https://<YOUR-CUSTOM-DOMAIN>/',
  //código omitido por simplicidad
}));

Configurar proveedores de identidad SAML

Para usar tu dominio personalizado con Proveedores de identidad (IdP), debes actualizar tus URL de Assertion Consumer Service (ACS) en los Proveedores de identidad. Según lo que admita el IdP, puedes hacerlo de una de estas dos maneras:
  1. Puedes obtener los metadatos del proveedor de servicios de Auth0 en https://<YOUR-CUSTOM-DOMAIN>/samlp/metadata?connection=<YOUR-CONNECTION-NAME>. Esto incluirá la URL de ACS actualizada. Después, debes actualizar manualmente este valor en la configuración de tus IdP. Este cambio en tus IdP debe hacerse al mismo tiempo que empiezas a usar tu dominio personalizado en tus aplicaciones. Esto puede suponer un problema si hay varios IdP que configurar.
  2. Si el IdP lo admite, puedes usar solicitudes firmadas para cumplir este requisito:
  • Descarga el certificado de firma desde https://<TENANT>.auth0.com/pem. Ten en cuenta que https://<YOUR-CUSTOM-DOMAIN>.com/pem devolverá el mismo certificado
  • Entrega el certificado a los IdP para que lo suban. Esto permite que el IdP valide la firma del mensaje AuthnRequest que Auth0 envía al IdP
  • El IdP importará el certificado y, si es necesario, se deberá habilitar la verificación de firma (los pasos exactos varían según el IdP)
  • Activa el interruptor Sign Request en el Dashboard, en Connections > Enterprise > SAML > CONNECTION. Esto hará que Auth0 firme los mensajes SAML AuthnRequest que envía al IdP.
Una vez hecho esto, cuando empieces a usar tu dominio personalizado al iniciar una solicitud de autenticación en tu aplicación, el IdP recibirá ese dominio personalizado en la solicitud firmada. Como la solicitud firmada de tu aplicación es de confianza, el IdP debería reemplazar automáticamente cualquier URL de ACS configurada por el valor enviado en la solicitud firmada. Sin embargo, hay IdP que no aceptan la URL de ACS en la solicitud firmada, por lo que primero debes comprobar con el tuyo si esto es compatible o no. Si esto es compatible, evitarás tener que cambiar una o varias configuraciones del IdP al mismo tiempo y podrás prepararlas con antelación para que acepten tus solicitudes firmadas. Después, también podrás cambiar más adelante la URL de ACS configurada estáticamente en la configuración de tu IdP. Ten en cuenta que, si tu Proveedor de identidad SAML está configurado para usar tu dominio personalizado, probar la conexión mediante el botón Try en el Dashboard no funcionará, y los enlaces predeterminados para descargar metadatos desde Auth0 siempre mostrarán el dominio predeterminado, no el dominio personalizado. Si tienes un flujo de autenticación iniciado por IdP, deberás actualizar los IdP y tus aplicaciones al mismo tiempo para usar el dominio personalizado.

Configurar aplicaciones SAML

Si quiere usar su dominio personalizado con aplicaciones SAML (cuando Auth0 es el IdP), debe actualizar su proveedor de servicios con los nuevos metadatos del Proveedor de identidad de Auth0. Puede obtener los metadatos actualizados que reflejan el dominio personalizado en https://<YOUR-CUSTOM-DOMAIN>/samlp/metadata/<YOUR-CLIENT-ID>. Tenga en cuenta que el ID de entidad del emisor de la aserción devuelta por Auth0 cambiará al usar un dominio personalizado (de algo como urn:northwind.auth0.com a uno con el dominio personalizado, como urn:login.northwind.com). Si tiene un flujo de autenticación iniciado por el IdP, deberá actualizar la URL que se usa para invocarlo para que refleje el dominio personalizado. En lugar de https://<TENANT>.auth0.com/samlp/<YOUR-CLIENT-ID>, debe usar https://<YOUR-CUSTOM-DOMAIN>/samlp/<YOUR-CLIENT-ID>.

Configurar aplicaciones WS-Fed

Si desea usar su dominio personalizado con aplicaciones de con Auth0 como IdP, debe actualizar su proveedor de servicios con los nuevos metadatos del proveedor de identidad de Auth0. Puede obtener los metadatos correspondientes al dominio personalizado en https://<YOUR-CUSTOM-DOMAIN>/wsfed/FederationMetadata/2007-06/FederationMetadata.xml.

Configurar conexiones de Azure AD

Si desea usar su dominio personalizado con conexiones de Azure AD, debe actualizar la URL de respuesta permitida en la configuración de Azure AD. En Azure Active Directory, vaya a Apps registrations y seleccione su aplicación. Luego, haga clic en Settings -> Reply URLs y agregue una URL con su dominio personalizado en el formato https://<YOUR-CUSTOM-DOMAIN>/login/callback (por ejemplo, https://login.northwind.com/login/callback).

Configurar conexiones ADFS

Si desea usar su dominio personalizado con conexiones ADFS, debe actualizar el endpoint en la configuración de ADFS. Tendrá que actualizarlo para que use su dominio personalizado en la URL de callback con el formato https://<YOUR-CUSTOM-DOMAIN>/login/callback (por ejemplo, https://login.northwind.com/login/callback).

Configurar conexiones AD/LDAP

Si no necesita compatibilidad con Kerberos, las conexiones AD/LDAP no requieren ninguna configuración adicional. Para usar conexiones AD/LDAP con compatibilidad con Kerberos, deberá actualizar el endpoint de ticket para que funcione con el dominio personalizado. Como se menciona en la documentación del conector AD/LDAP de Auth0, es necesario modificar el archivo config.json y cambiar el valor de PROVISIONING_TICKET para que use su dominio personalizado con el formato https://<YOUR-CUSTOM-DOMAIN>/p/ad/jUG0dN0R. Una vez guardado este cambio, debe reiniciar el servicio del conector AD/LDAP para que surta efecto.

Más información