Configurar la autenticación de canal secundario iniciada por el cliente

Para usar las funciones de la autenticación de canal secundario iniciada por el cliente (CIBA), debe tener un plan Enterprise o un complemento adecuado. Consulte Auth0 Pricing para obtener más información.

El flujo de Client-Initiated Backchannel Authentication (CIBA) es un flujo desacoplado de autenticación y autorización definido por la OpenID Foundation. Puede usar el flujo CIBA en flujos de trabajo asíncronos en los que el dispositivo que inicia la solicitud de CIBA (el dispositivo de origen) es distinto del dispositivo que usa el usuario para autenticarse (el dispositivo de autenticación). Para configurar CIBA en Auth0, debe hacer lo siguiente:

Configurar el tipo de concesión de CIBA para su aplicación
Habilitar los canales de notificación para su aplicación
Configurar el canal de notificación para CIBA

Requisitos previos

Antes de configurar CIBA para su aplicación, asegúrese de establecer un método de autenticación para su aplicación. Puede usar cualquier método de autenticación con el flujo CIBA, incluida la autenticación mTLS, la autenticación con clave privada y la autenticación con . Para establecer el método de autenticación de su aplicación, consulte Configuración de credenciales.

Configure el tipo de concesión de CIBA para su aplicación

Puede configurar el tipo de concesión de CIBA para su aplicación con el Auth0 Dashboard o la Management API. Existen algunas restricciones sobre los tipos de clientes que pueden usar el tipo de concesión de CIBA. Solo puede usar el tipo de concesión de CIBA si:

El cliente es first-party; es decir, la propiedad is_first_party es true.
El cliente es confidencial y tiene un mecanismo de autenticación; es decir, la propiedad token_endpoint_auth_method no debe establecerse en none.
El cliente debe ser compatible con OIDC; es decir, oidc_conformant debe ser true. Este es el valor predeterminado para todos los clientes nuevos.

Una vez que habilite el tipo de concesión de CIBA, la configuración de los canales de notificación disponibles para su aplicación pasará a estar visible.

Auth0 Dashboard
Management API

Para configurar CIBA para su aplicación con el Auth0 Dashboard:

Vaya a Applications > Applications en el Auth0 Dashboard.
Cree una aplicación y luego habilite Client Initiated Backchannel Authentication (CIBA) en la pestaña Grant Types:

Haga clic en Save Changes.

Para configurar CIBA para su aplicación mediante la Management API, use el endpoint Update a Client para agregar el tipo de concesión urn:openid:params:grant-type:ciba a la lista de tipos de concesión del objeto cliente:

curl --location --request PATCH 'https://{YOUR_DOMAIN}.auth0.com/api/v2/clients/{YOUR_CLIENT_ID}' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer {YOUR_MANAGEMENT_API_ACCESS_TOKEN}' \
--data '{
    "grant_types": [
        "authorization_code",
        "refresh_token",
        "urn:openid:params:grant-type:ciba"
    ]
}'

También puede usar nuestra biblioteca del SDK de Go para la Management API. Para obtener más información, consulte SDKs:

myClient := &Client{
    Name:        auth0.Stringf("CIBA-enabled-client"),
    Description: auth0.String("This is a CIBA enabled client."),
    GrantTypes:  &[]string{"urn:openid:params:grant-type:ciba"},
  }

  err := api.Client.Create(context.Background(), myClient)

Habilitar canales de notificación para su aplicación

Para usar las funciones de autenticación de canal secundario iniciada por el cliente (CIBA), debe tener un plan Enterprise o un add-on adecuado. Consulte Auth0 Pricing para obtener más información.

Una vez que haya habilitado el tipo de concesión de CIBA para su aplicación, puede configurar qué canales de notificación estarán habilitados para el flujo de CIBA. Si ha habilitado varios canales de notificación, CIBA usa el valor del parámetro requested_expiry para determinar qué canal de notificación utilizar. requested_expiry determina la duración máxima, en segundos, durante la cual la sesión de CIBA debe ser válida:

Notificaciones push móviles: Si establece requested_expiry en un valor de 300 segundos o menos, CIBA usa el canal de notificaciones push móviles, si está habilitado.
Notificaciones por correo electrónico: Si establece requested_expiry en un valor de entre 301 y 259200 segundos (72 horas), CIBA usa el canal de notificación por correo electrónico, si está habilitado.

Auth0 Dashboard
Management API

Para configurar el canal de notificación de su aplicación en Auth0 Dashboard:

Vaya a Applications > Applications.
En la configuración de su aplicación, vaya a la sección Client Initiated Backchannel Authentication (CIBA) y seleccione los canales de notificación que desea habilitar.

Realice una solicitud PATCH al endpoint /api/v2/clients de su aplicación cliente y configure los canales de notificación para el flujo de CIBA.El siguiente ejemplo de código habilita el canal de notificación guardian-push para el flujo de CIBA:

curl -L --request PATCH 'https://{YOUR_DOMAIN}/api/v2/clients/{YOUR_CLIENT_ID}' \
-H 'Content-Type: application/json' \
-H 'Accept: application/json' \
-H "Authorization: Bearer {YOUR_MANAGEMENT_API_ACCESS_TOKEN}" \
-d '{
    "async_approval_notification_channels":["guardian-push"]
}'

Configurar el canal de notificación

Una vez que haya habilitado el canal o los canales de notificación para su aplicación cliente, configure el canal de notificación para el flujo CIBA:

Configurar las notificaciones push móviles
Configurar las notificaciones por correo electrónico

Configurar notificaciones push móviles

Para enviar notificaciones push móviles con CIBA, puede usar:

La aplicación Auth0 Guardian
Una aplicación personalizada integrada con el SDK de Auth0 Guardian

Puede seleccionar qué aplicación usar al habilitar las notificaciones push de Auth0 Guardian. Si quiere usar una aplicación personalizada, debe integrarla con el SDK de Auth0 Guardian. Esto permite que el usuario que autoriza apruebe desafíos por notificación push iniciados por el flujo de CIBA en su aplicación personalizada. Para configurar las notificaciones push móviles, asegúrese de:

Habilitar las notificaciones push de Auth0 Guardian
Inscribir al usuario que autoriza en MFA mediante notificaciones push

Habilitar las notificaciones push de Auth0 Guardian

Usa el Auth0 Dashboard para habilitar el factor Auth0 Guardian Push Notification en tu inquilino. En el Auth0 Dashboard:

Selecciona Security > Multi-factor Auth.
Habilita Push Notification using Auth0 Guardian. Esto puede requerir algunos ajustes en la configuración de . Para obtener más información, consulta Configurar notificaciones push para MFA.

En Push Notification App, selecciona la aplicación que prefieras.

Haz clic en Save.

Inscriba al usuario que autoriza en MFA con notificaciones push

Si el usuario no está inscrito para usar MFA push, Auth0 recurre a las notificaciones por correo electrónico, si están configuradas, en lugar de rechazar la solicitud de CIBA.

Tanto para la aplicación Auth0 Guardian como para una aplicación personalizada, debe inscribir al usuario que autoriza en MFA con notificaciones push. Para verificar en el si el usuario está inscrito, vaya a User Management > Users y haga clic en el usuario:

Si configuró la como obligatoria para su inquilino, se solicitará a los usuarios que se inscriban en MFA la próxima vez que inicien sesión. También puede usar Actions para solicitar la inscripción en MFA.

Configurar las notificaciones por correo electrónico

Para usar las notificaciones por correo electrónico con CIBA, necesitas el add-on Auth0 for AI Agents con un plan de pago. Para obtener más información, consulta Auth0 Pricing.

Puedes enviar notificaciones por correo electrónico con el flujo CIBA. Para configurar las notificaciones por correo electrónico con CIBA, asegúrate de lo siguiente:

Configura tu proveedor de correo electrónico
Configura tu plantilla de correo electrónico para usar la plantilla Asynchronous Approval
Asegúrate de que el usuario que autoriza tenga una dirección de correo electrónico verificada

Configure su proveedor de correo electrónico

Aunque puede usar el proveedor de correo electrónico integrado de Auth0 para probar la entrega de correos electrónicos en sus entornos de desarrollo y pruebas, debe configurar su propio proveedor de correo electrónico para usar notificaciones por correo electrónico con CIBA en un entorno de producción. Para obtener información sobre cómo configurar su propio proveedor de correo electrónico, consulte Customize emails.

Configura tu plantilla de correo electrónico

Para configurar la plantilla de correo electrónico de Asynchronous Approval:

Auth0 Dashboard
Management API

Ve a Branding > Email Templates.
En Template, selecciona Asynchronous Approval en el menú desplegable.
Completa el resto de la configuración de la plantilla siguiendo las instrucciones de Configurar los campos de la plantilla.

Haz una solicitud PATCH al endpoint /email-templates/async_approval y sigue las instrucciones de Configurar los campos de la plantilla para completar el resto de la configuración de la plantilla. Para obtener más información, consulta la documentación de la API para actualizar una plantilla de correo electrónico.

curl -L "https://{YOUR_DOMAIN}.auth0.com/api/v2/email-templates" \
-H 'Content-Type: application/json' \
-H 'Accept: application/json' \
-H "Authorization: Bearer {YOUR_MANAGEMENT_API_ACCESS_TOKEN}" \
-d '{"template":"async_approval","body":"{{application.name}} says click on {{url}}, binding message: {{binding_message}}","subject":"Action Required","syntax":"liquid","enabled":true,"from":""}'

Asegúrese de que el usuario que autoriza tenga una dirección de correo electrónico verificada

Si el usuario no tiene una dirección de correo electrónico verificada, Auth0 rechaza la solicitud de correo electrónico de CIBA.

Para enviar una notificación por correo electrónico con CIBA, el usuario que autoriza debe tener una dirección de correo electrónico verificada asociada a su cuenta de usuario. Para verificar en el Auth0 Dashboard que el usuario tenga una dirección de correo electrónico verificada:

Vaya a User Management > Users y haga clic en el usuario.
En Email, debe aparecer una dirección de correo electrónico verificada.

​Requisitos previos

​Configure el tipo de concesión de CIBA para su aplicación

​Habilitar canales de notificación para su aplicación

​Configurar el canal de notificación

​Configurar notificaciones push móviles

​Habilitar las notificaciones push de Auth0 Guardian

​Inscriba al usuario que autoriza en MFA con notificaciones push

​Configurar las notificaciones por correo electrónico

​Configure su proveedor de correo electrónico

​Configura tu plantilla de correo electrónico

​Asegúrese de que el usuario que autoriza tenga una dirección de correo electrónico verificada

Requisitos previos

Configure el tipo de concesión de CIBA para su aplicación

Habilitar canales de notificación para su aplicación

Configurar el canal de notificación

Configurar notificaciones push móviles

Habilitar las notificaciones push de Auth0 Guardian

Inscriba al usuario que autoriza en MFA con notificaciones push

Configurar las notificaciones por correo electrónico

Configure su proveedor de correo electrónico

Configura tu plantilla de correo electrónico

Asegúrese de que el usuario que autoriza tenga una dirección de correo electrónico verificada