Saltar al contenido principal
En la página Applications del Dashboard, ubica tu aplicación en la lista y haz clic en su nombre para ver la configuración disponible.
Las aplicaciones de terceros tienen un conjunto limitado de propiedades configurables. Las propiedades que no formen parte del conjunto admitido no se pueden configurar mediante el Dashboard de Auth0 ni la Management API. Para obtener más información, consulta Security Controls for Third-Party Applications.
Lista de aplicaciones del Dashboard

Configuración básica

Al editar la configuración de una aplicación existente o crear una nueva, introduces la información de la aplicación en la vista Configuración.

Información básica

Dashboard Applications Application Settings Tab Basic Information
  • Name: El nombre de tu aplicación. Se puede editar y aparecerá en el portal, los correos electrónicos, los registros, etc.
  • Domain: El nombre de tu tenant de Auth0. Lo eliges cuando creas un tenant nuevo de Auth0 y no se puede cambiar. Si necesitas un dominio distinto, debes registrar un tenant nuevo seleccionando + Create Tenant en el menú superior derecho.
  • : El identificador único de tu aplicación. Lo usarás al configurar la autenticación con Auth0. El sistema lo genera cuando creas una aplicación nueva y no se puede modificar.
  • : Una cadena que se utiliza para firmar y validar en los flujos de autenticación y para acceder a determinados endpoints de la API de Auth0. De forma predeterminada, este valor está oculto, así que marca la casilla Reveal Client Secret para verlo. Aunque el Client ID se considera información pública, el Client Secret debe mantenerse confidencial. Si alguien obtiene acceso a tu Client Secret, puede emitir tokens y acceder a recursos a los que no debería tener acceso.
  • Description: Una descripción en texto libre del propósito de la aplicación. Máximo 140 caracteres.

Propiedades de la aplicación

Dashboard Applications Application Settings Tab Application Properties
  • Logotipo de la aplicación: La URL de un logotipo (tamaño recomendado: 150x150 píxeles) que se mostrará para la aplicación. Aparece en varias áreas, incluida la lista de aplicaciones del Dashboard y los formularios de consentimiento personalizados. Si no se configura ninguno, se mostrará el icono predeterminado para este tipo de aplicación.
  • Propiedad de la aplicación: Indica si la aplicación es propia o de terceros. Las aplicaciones de terceros están sujetas a controles de seguridad mejorados. La propiedad de la aplicación se establece al crearla y no puede modificarse. Para obtener más información, consulta Aplicaciones propias y de terceros.
  • Tipo de aplicación: El tipo de aplicación de Auth0 determina qué ajustes puedes configurar desde el Dashboard. (No editable para aplicaciones M2M. A veces está deshabilitado para otros tipos de aplicaciones de Auth0 si los tipos de concesión seleccionados solo están permitidos para el tipo de aplicación seleccionado actualmente). Usa el menú desplegable para seleccionar uno de los siguientes tipos:
    • Machine to Machine: Aplicaciones no interactivas, como herramientas de línea de comandos, daemons, dispositivos IoT o servicios que se ejecutan en tu backend. Normalmente, usarás esta opción si tienes un servicio que requiere acceso a una API.
    • Native App: Aplicaciones móviles o de escritorio que se ejecutan de forma nativa en un dispositivo (como iOS o Android).
    • Regular Web App: Aplicaciones web tradicionales que realizan la mayor parte de su lógica en el servidor (como Express.js o ASP.NET).
    • Single Page App: Aplicaciones JavaScript que realizan la mayor parte de la lógica de su interfaz de usuario en un navegador web y se comunican con un servidor web principalmente mediante API (como AngularJS + Node.js o React).

URI de la aplicación

Dashboard Aplicaciones Configuración de la aplicación URI de la aplicación
  • URI de inicio de sesión de la aplicación: En algunos casos, Auth0 necesitará que su aplicación redirija a la página de inicio de sesión de la propia aplicación. Esta URI debe apuntar a una ruta de su aplicación que redirija al endpoint /authorize de su tenant. Por lo general, tendrá una forma como https://myapp.org/login. Puede usar los siguientes marcadores de posición en este campo:
    • Marcadores de posición de metadatos de la organización: Use {organization.metadata.KEY} para completar dinámicamente la URL en función de los metadatos de la Organización de Auth0 asociada a la solicitud (por ejemplo, https://{organization.metadata.public_login_host}/login).
    • Marcadores de posición de dominio personalizado: Use {custom_domain.metadata.KEY} para completar dinámicamente la URL en función de los metadatos del dominio personalizado usado en la solicitud (por ejemplo, https://{custom_domain.metadata.public_app_host}/login).
    Para obtener más información, consulte Configurar rutas de inicio de sesión predeterminadas.
  • URL de callback permitidas: Conjunto de URL a las que Auth0 puede redirigir a los usuarios después de autenticarse. Puede especificar varias URL válidas separándolas con comas (normalmente, para gestionar distintos entornos, como QA o pruebas). En entornos de producción, verifique que las URL no apunten a localhost. Puede usar los siguientes marcadores de posición en este campo:
    • Comodines: Use * para subdominios (*.google.com) No se recomienda para entornos de producción.
    • Marcadores de posición de organización: Use {organization_name} para especificar dinámicamente el nombre de una organización registrada (por ejemplo, https://{organization_name}.example.com).
    • Marcadores de posición de dominio personalizado: Use {custom.domain.metadata.KEY} para completar dinámicamente la URL en función de los metadatos del dominio personalizado usado en la solicitud (por ejemplo, https://{custom_domain.metadata.public_app_url}/callback).
La primera URL incluida en este campo se toma como la URL de callback predeterminada cuando el flujo de protocolo correspondiente no especifica una de forma explícita. Esto se aplica específicamente a los flujos de SAML, WS-Fed y SSO iniciado por IdP de SAML.
No use marcadores de posición comodín ni URL de localhost en los callbacks de su aplicación ni en los campos de orígenes permitidos. El uso de URL de redirección con marcadores de posición comodín puede hacer que su aplicación sea vulnerable a ataques. Para obtener más información, consulte Unvalidated Redirects and Forwards Cheat Sheet en owasp.org. En su lugar, cuando corresponda, se deben preferir las URL con el marcador de posición {organization_name}. Para obtener más información, consulte Marcadores de posición de URL de subdominio.
  • URLs de cierre de sesión permitidas: Después de que un usuario cierre sesión en Auth0, puedes redirigirlo con el parámetro de consulta returnTo. La URL que uses en returnTo debe figurar aquí. Puedes especificar varias URLs válidas separándolas con comas. Para entornos de producción, verifica que las URLs no apunten a localhost.
    • Comodines: Usa * para subdominios (*.google.com) No se recomienda para entornos de producción.
    • Marcadores de posición de dominio personalizado: Usa {custom.domain.metadata.KEY} para completar dinámicamente la URL en función de los metadatos del dominio personalizado usado en la solicitud (por ejemplo, https://{custom_domain.metadata.public_app_url}/callback).
  • Orígenes web permitidos: Lista de URLs desde las que puede originarse una solicitud de autorización que use Cross-Origin Authentication, Device Flow y web_message como modo de respuesta. Puedes especificar varias URLs válidas separándolas con comas. Para entornos de producción, verifica que las URLs no apunten a localhost. Las rutas, las cadenas de consulta y la información de hash no se tienen en cuenta al validar estas URLs (y, de hecho, pueden hacer que la coincidencia falle). Puedes proporcionar hasta 100 URLs en el campo Orígenes web permitidos.
    • Comodines: Usa * para subdominios (*.google.com) No se recomienda para entornos de producción.
    • Marcadores de posición de dominio personalizado: Usa {custom.domain.metadata.KEY} para completar dinámicamente la URL en función de los metadatos del dominio personalizado usado en la solicitud (por ejemplo, https://{custom_domain.metadata.public_app_url}/callback).
  • Orígenes permitidos (CORS): Lista de URLs autorizadas para hacer solicitudes de Cross-Origin Resource Sharing (CORS) a Auth0.
    • Marcadores de posición de dominio personalizado: Usa {custom.domain.metadata.KEY} para completar dinámicamente la URL en función de los metadatos del dominio personalizado usado en la solicitud (por ejemplo, https://{custom_domain.metadata.public_app_url}/callback).
Si configuras las URL de tu aplicación exclusivamente con marcadores de posición de dominio personalizado, las solicitudes de autenticación realizadas a través del dominio canónico de tu tenant (por ejemplo, https://your-tenant.us.auth0.com) fallarán.Esto ocurre porque el dominio canónico no tiene los metadatos personalizados necesarios para resolver el marcador de posición. Asegúrate de que tu aplicación use el dominio personalizado específico para la autenticación o proporciona una URL de respaldo estática si se requiere usar el dominio canónico.

Token de ID

En la sección Token de ID, introduce la Expiración del token de ID (en segundos), es decir, el tiempo que transcurre antes de que expire el id_token de Auth0. El valor predeterminado es de 36000 segundos, lo que equivale a 10 horas.
Usar Auth0 en lugar del IdP para el inicio de sesión único: Si esta opción está habilitada, esta configuración evita que Auth0 redirija a los usuarios autenticados con sesiones válidas al proveedor de identidad (como Facebook o ADFS). Solo para tenants heredados.

Rotación del Refresh Token

En la sección Rotation, habilita o deshabilita la rotación. Cuando está habilitada, al intercambiar un refresh token, se emitirá un nuevo refresh token y el token existente se invalidará. Esto permite detectar automáticamente la reutilización del token si se ve comprometido. Además, ingresa el Rotation Overlap Period (en segundos). Este intervalo es el margen de tiempo permitido durante el cual el mismo refresh_token puede usarse para solicitar un access_token sin activar la detección automática de reutilización. Para obtener más información, consulta Refresh Token Rotation.
Dashboard Applications Applications Settings Tab Refresh Token Rotation

Expiración del Refresh Token

En la sección Expiración del Refresh Token, habilita o deshabilita la expiración absoluta y por inactividad, y establece la duración (en segundos) de cada una. Para obtener más información, consulta Configurar la expiración del Refresh Token.
Pestaña Configuración de aplicaciones del Dashboard Aplicaciones Expiración del Refresh Token

Protección contra redirecciones abiertas

Controla cómo Auth0 gestiona las redirecciones para aplicaciones de terceros. Esta configuración solo está disponible para aplicaciones de terceros con controles de seguridad mejorados.
Interruptor de Protección contra redirecciones abiertas en el panel
Cuando está habilitada (opción predeterminada para las aplicaciones de terceros), Auth0 no redirige a la URL de callback de la aplicación si se producen errores de autenticación y no expone application.callback_domain en las plantillas de correo electrónico. Esto evita ataques de redirección abierta cuando la URI de redirección está controlada por una parte no confiable. Desactiva la protección contra redirecciones abiertas solo en aplicaciones de terceros cuyas URI de callback configuradas sean de confianza. Para obtener más información, consulta Protección contra redirecciones.

Configuración avanzada

La sección de Configuración avanzada te permite:
  • Gestionar o añadir la configuración de metadatos de la aplicación, del dispositivo, de y de WS-Federation
  • Obtener certificados e información del
  • Establecer los tipos de concesión de la aplicación

Metadatos de la aplicación

Los metadatos de la aplicación son claves y valores de cadena personalizados (cada uno con un máximo de 255 caracteres) que se configuran para cada aplicación. Los metadatos se exponen en el objeto de la aplicación como client_metadata y en las reglas como context.clientMetadata. Puede crear hasta 10 conjuntos de metadatos.
Pestaña Metadatos de la aplicación en la Configuración avanzada de la pestaña Configuración de aplicaciones del Dashboard

Configuración del dispositivo

Si estás desarrollando una aplicación móvil, introduce los parámetros necesarios para iOS/Android.
Pestaña Device Settings en Advanced Settings de Application Settings en Dashboard Applications

OAuth

Dashboard Applications Application Settings Tab Advanced Settings OAuth Tab
  • De forma predeterminada, todas las apps/APIs pueden realizar una solicitud de delegación, pero si quieres otorgar permisos explícitamente a apps/APIs seleccionadas, puedes hacerlo en Allowed Apps/APIs.
  • Si usas el complemento Highly Regulated Identity, utiliza la configuración Compliance Enforcement Level para establecer tu nivel de cumplimiento. Para obtener más información, consulta Configure FAPI Compliance.
  • Non-Verifiable Callback URI End-User Confirmation: Usa esta configuración para controlar si se le pide al usuario que confirme el inicio de sesión cuando se utiliza un URI no verificable como callback. Auth0 recomienda no omitir la confirmación del usuario final en estos casos. Esta configuración prevalece sobre la configuración del tenant con el mismo nombre. Para obtener más información, consulta Measures Against Application Impersonation.
  • Establece el algoritmo (HS256 o RS256) que se usa para firmar tus . Para obtener más información, consulta JSON Web Token Signing Algorithms. Al seleccionar RS256 (recomendado), el token se firmará con la clave privada de tu tenant.
  • Activa o desactiva la configuración Trust Token Endpoint IP Header; si está habilitada, auth0-forwarded-for se considera confiable y se usa como fuente de información sobre la IP del usuario final para la protección contra ataques de fuerza bruta en el endpoint de token. Esta configuración solo está disponible para Regular Web Apps y M2M Apps.
  • Activa o desactiva el interruptor para indicar si tu aplicación es OIDC Conformant o no. Las aplicaciones marcadas como OIDC Conformant seguirán estrictamente la especificación OIDC.
Para obtener ayuda para resolver problemas, consulta Troubleshoot Invalid Token Errors.

Tipos de concesión

Selecciona los tipos de concesión que quieres habilitar o deshabilitar para tu aplicación. Los tipos de concesión disponibles dependen del tipo de aplicación y de la propiedad de la aplicación. Las aplicaciones de terceros con controles de seguridad mejorados admiten authorization_code, refresh_token y client_credentials.
Pestaña Tipos de concesión en Configuración avanzada de la pestaña Configuración de la aplicación en el panel de Aplicaciones

WS-Federation

Administra o agrega la configuración de WS-Federation.
Dashboard de aplicaciones, pestaña Configuración de la aplicación, pestaña Avanzado, pestaña WS-Federation

Certificados

Administra o agrega el certificado de firma, así como su huella digital y su thumbprint.
Pestaña Certificados de la Configuración avanzada de Aplicaciones en el Dashboard

Puntos de conexión

Consulta información sobre los puntos de conexión de OAuth, y , como las URL de autorización y de metadatos.

Más información