Saltar al contenido principal
Al registrar una aplicación en Auth0, decide si es de primera parte o de terceros en función de quién es su propietario y quién la opera.
  • Aplicaciones de primera parte: Son propiedad de su organización y esta las opera. Usted controla su implementación, credenciales y comportamiento.
  • Aplicaciones de terceros: Son propiedad de una organización externa y esta las opera, como un partner, un desarrollador independiente o un agente de IA. Usted les concede acceso a sus recursos, pero no puede controlar directamente qué hacen con ese acceso.
“De terceros” se refiere al control operativo, no a la autoría. Muchas organizaciones subcontratan el desarrollo de sus propias aplicaciones. Por ejemplo, que un contratista desarrolle su aplicación no la convierte en una aplicación de terceros. La distinción clave es: quién la implementa, quién custodia las credenciales y quién puede detenerla.
Las clasificaciones confidencial/pública y de primera parte/de terceros son independientes. Confidencial o pública describe la capacidad de autenticación de la aplicación (si puede almacenar un secreto). De primera parte o de terceros describe la relación de confianza (quién es su propietario y quién la opera). Tanto las aplicaciones de primera parte como las de terceros pueden ser confidenciales (Regular Web App) o públicas (SPA, Native). Una Regular Web App de terceros es a la vez confidencial y de terceros.

Aplicaciones de primera parte

Las aplicaciones de primera parte están controladas por la misma organización o persona propietaria del dominio de Auth0. Por ejemplo, supongamos que creó una API de Contoso y una aplicación que inicia sesión en contoso.com y consume la API de Contoso. Registraría tanto la API como la aplicación en el mismo dominio de Auth0, y la aplicación sería de primera parte. De forma predeterminada, todas las aplicaciones creadas mediante el Auth0 Dashboard son aplicaciones de primera parte.

Aplicaciones de terceros

Las aplicaciones de terceros están controladas por alguien que, muy probablemente, no debería tener acceso administrativo a tu dominio de Auth0. Las aplicaciones de terceros permiten que partes externas o partners accedan de forma segura a los recursos protegidos por tu API. Por ejemplo, si una empresa partner crea un dashboard de análisis de datos para visualizar información de tu servicio, primero debe registrar su aplicación en tu inquilino de Auth0 para obtener un y un secreto. Aunque esta aplicación esté registrada en tu entorno, se considera una aplicación de terceros porque el código y las credenciales pertenecen al partner y los gestiona este, no tu organización. Todas las aplicaciones creadas mediante Dynamic Client Registration son aplicaciones de terceros. Para obtener más información sobre las aplicaciones de terceros en Auth0, consulta Third-Party Applications.

Aplicaciones de primera parte frente a aplicaciones de terceros en Auth0

La siguiente tabla resume las diferencias entre las aplicaciones de primera parte y las aplicaciones de terceros en Auth0:
De primera parteDe terceros
Acceso a la APISigue la política de acceso configurada de la APISiempre requiere un client grant explícito
APIs del sistema de Auth0Accesibles en los flujos de usuarioNo accesibles en los flujos de usuario
Consent del usuarioSe puede omitir (si está habilitado en la API)Siempre es obligatorio
Tipos de concesiónTodos los tipos de concesión admitidosauthorization_code, refresh_token y client_credentials
OIDCCompatibleNo compatible. Previsto para una versión futura.
RulesSe ejecutanNo compatible. Produce un error.
Protocolos no OAuth (SAML, WsFed)CompatiblesNo compatibles
OrganizacionesCompatiblesSe admite el acceso Machine-to-Machine mediante organization client grants. Los flujos de usuario están previstos para una versión futura.
Formato del ID de clienteFormato estándarPrefijo tpc_
ConexionesTodas las conexiones habilitadasConexiones a nivel de dominio
Para obtener más información sobre las aplicaciones de terceros en Auth0, consulta Third-Party Applications.

Propiedad de la aplicación

La propiedad de una aplicación se determina en el momento de su creación y no puede cambiarse después. De forma predeterminada, las aplicaciones se crean como de primera parte, lo que implica una configuración de seguridad menos restrictiva. Para garantizar que se apliquen los controles de seguridad adecuados, debe identificar correctamente como aplicaciones de terceros las aplicaciones que pertenecen a partes externas al crearlas desde el Auth0 Dashboard o la Management API. Para saber cómo hacerlo, consulte Configurar aplicaciones de terceros.
La propiedad de una aplicación es inmutable. No puede convertir una aplicación de terceros en una de primera parte ni viceversa.

Comprobar la titularidad de la aplicación

Para comprobar si una aplicación es de primera parte o de terceros:
  1. Vaya a Applications > Applications.
  2. Seleccione la aplicación. Las aplicaciones de terceros muestran una insignia que indica que son de terceros.
Configuración de la aplicación en Dashboard con la insignia de terceros

Más información