Extensión de administración delegada v3

Auth0 recomienda que use la configuración de Miembros del inquilino para definir las capacidades de uso del inquilino para otros usuarios y administradores de su organización. Para obtener más información, consulte Acceso al Dashboard.

La Delegated Administration Extension (DAE) le permite otorgar permisos administrativos a un grupo selecto de personas sin darles acceso a ninguna otra área.

Configure la DAE

Para configurar la DAE, debe:

Registrar la aplicación en Auth0
Crear una conexión de base de datos
Deshabilitar todas las demás conexiones de la aplicación de Auth0
Crear usuarios en la conexión de base de datos
Asignar roles a los usuarios
Instalar y configurar la extensión
Usar la extensión

Registrar la aplicación en Auth0

Cree la aplicación que la Delegated Administration Extension pondrá a disposición de quienes deban tener privilegios administrativos en la página Usuarios. Para ello, cree una aplicación de administración delegada en Auth0. Cuando haya terminado, anote el de la aplicación.

Crear una conexión de base de datos

En este ejemplo, una conexión de base de datos servirá como origen de los usuarios que pueden acceder al área de Usuarios. Para configurarlo, cree una conexión de base de datos. Mientras configura su conexión:

Use un nombre de conexión adecuado, como HelpDesk.
Active el interruptor Disable Sign Ups. Por motivos de seguridad, esto garantiza que incluso los usuarios que tengan el enlace a la conexión de base de datos no puedan registrarse por sí mismos.

Deshabilita todas las demás conexiones para la aplicación de Auth0

De forma predeterminada, Auth0 habilita todas las conexiones asociadas con tu inquilino cuando creas una nueva aplicación. Para este ejemplo, deshabilita todas las conexiones salvo la conexión de base de datos que acabas de crear. Esto ayuda a mantener la aplicación segura, ya que nadie podrá registrarse mediante una de tus conexiones existentes. Para configurar esto, actualiza las conexiones de la aplicación.

Crear usuarios para la conexión de base de datos

Para continuar, debe crear al menos un usuario y asociarlo a la conexión.

Asignar roles a los usuarios

Aunque la Delegated Administration Extension (DAE) y el conjunto de funcionalidades de Authorization Core son características completamente independientes, puede usar Authorization Core para crear y administrar roles para la DAE mediante Actions. Para obtener más información, consulte Casos de uso de ejemplo: Actions con Authorization.

Al iniciar sesión como usuario con Organizaciones y la Delegated Administration Extension (DAE), sus roles de usuario no estarán disponibles. Solo los roles de miembro de su Organización estarán disponibles en event.authorization.roles. Para agregar roles a los miembros de una Organización, lea Agregar roles a miembros de la Organización.

Auth0 otorga acceso a la Delegated Administration Extension (DAE) a los usuarios asociados a su conexión en función de sus roles. Estos son los roles específicos de la DAE:

Este rol…	Otorga permiso para…
`Delegated Admin - User`	Buscar usuarios, crear usuarios, abrir usuarios y ejecutar acciones sobre usuarios (como eliminar o bloquear).
`Delegated Admin - Administrator`	Hacer todo lo que puede hacer Delegated Admin - User, además de ver todos los registros del inquilino y configurar Hooks.
`Delegated Admin - Auditor`	Buscar usuarios y ver información de usuarios, pero sin realizar cambios. Los botones basados en acciones no están visibles para este rol.
`Delegated Admin - Operator`	Acceder a la administración de usuarios y a los registros, pero no a la sección de configuración de la extensión.

Al trabajar con roles, le recomendamos usar el conjunto de funcionalidades de Authorization Core:

Crear roles de DAE. Los nombres de los roles que cree deben coincidir con los nombres de los roles de DAE predefinidos anteriores.
Asignar roles de DAE a un usuario manualmente.

Agregue los roles del usuario al espacio de nombres de la DAE en el ID Token mediante Actions:

exports.onExecutePostLogin = async (event, api) => {
  const namespace = `https://{yourTenant}/auth0-delegated-admin`;
  if (event.client.client_id === 'CLIENT_ID' && event.authorization) {
    api.idToken.setCustomClaim(namespace, { "roles": event.authorization.roles });
  }
};

Recuerde reemplazar el marcador de posición CLIENT_ID por el ID de cliente de su aplicación de administración delegada y {yourTenant} por el nombre de su inquilino. Por ejemplo, si el nombre de su inquilino es “tenant_name_example”, el espacio de nombres sería: https://tenant_name_example/auth0-delegated-admin Para obtener más información sobre cómo crear Actions, lea Escriba su primera Action

Auth0 devuelve la información del perfil en un formato estructurado de claims, tal como se define en la especificación OpenID Connect (OIDC). Esto significa que los custom claims agregados a los ID tokens o tokens de acceso deben ajustarse a las directrices y restricciones para evitar posibles colisiones.

El uso de Authorization Core definirá roles en el objeto context.authorization.Si decide no usar Authorization Core, debe definir los roles de DAE en uno de los siguientes campos del perfil del usuario:

user.app_metadata.roles
user.app_metadata.authorization.roles

Instala y configura la extensión

Ahora que hemos creado y configurado una aplicación, una conexión y nuestro usuario, podemos instalar y configurar la propia extensión Delegated Admin Extension.

Usa la extensión

Una vez instalada, ya puedes usar la Delegated Admin Extension. Ve a la extensión mediante el enlace de inicio de sesión correspondiente a tu región y al entorno de extensibilidad de tu inquilino.

Ubicación	Nombre	Enlace de inicio de sesión
Australia	AU	`https://{yourTenant}.au.webtask.io/auth0-delegated-admin`
Europa	EU	`https://{yourTenant}.eu.webtask.io/auth0-delegated-admin`
Europa	EU-2	`https://{yourTenant}.eu.webtask.run/auth0-delegated-admin`
Japón	JP-1	`https://{yourTenant}.jp.webtask.run/auth0-delegated-admin`
Reino Unido	UK	`https://{yourTenant}.uk.webtask.run/auth0-delegated-admin`
EE. UU.	US-1	`https://{yourTenant}.us.webtask.io/auth0-delegated-admin`
EE. UU.	US-3	`https://{yourTenant}.us.webtask.run/auth0-delegated-admin`

Se abrirá una nueva pestaña y se mostrará la pantalla de inicio de sesión. Como (en este ejemplo) deshabilitamos el registro para la conexión de base de datos al configurarla, la pantalla de inicio de sesión no muestra la opción Registrarse. Una vez que introduzcas credenciales válidas, Auth0 te redirigirá a tu página personalizada de Delegated Administration Dashboard, que mostrará el Título que proporcionaste en la parte superior de la página y, si proporcionaste un archivo CSS personalizado, tu diseño personalizado.

Tiempo de espera de la sesión de Delegated Administration

De forma predeterminada, el token caduca a las 10 horas. Sin embargo, por motivos de seguridad, al usar Delegated Administration, Auth0 no almacena el token en cookies ni en sessionStorage. Debes iniciar una nueva sesión cada vez que se recargue la página.

​Configure la DAE

​Registrar la aplicación en Auth0

​Crear una conexión de base de datos

​Deshabilita todas las demás conexiones para la aplicación de Auth0

​Crear usuarios para la conexión de base de datos

​Asignar roles a los usuarios

​Instala y configura la extensión

​Usa la extensión

Tiempo de espera de la sesión de Delegated Administration

​Más información

Configure la DAE

Registrar la aplicación en Auth0

Crear una conexión de base de datos

Deshabilita todas las demás conexiones para la aplicación de Auth0

Crear usuarios para la conexión de base de datos

Asignar roles a los usuarios

Instala y configura la extensión

Usa la extensión

Más información