Configurar aplicaciones de terceros

Cree aplicaciones de terceros que permitan a desarrolladores externos, partners o agentes de IA acceder a sus APIs con controles de seguridad reforzados.

Requisitos previos

Antes de crear una aplicación de terceros, asegúrate de tener lo siguiente:

Un inquilino de Auth0 con al menos una API (servidor de recursos) configurada
Al menos una conexión promovida al nivel de dominio (para flujos destinados al usuario final)

Crear una aplicación de terceros

Cree una aplicación de terceros con Auth0 Dashboard o la Management API.

Auth0 Dashboard
Management API

Vaya a Applications > Applications.
Seleccione Create Application.
Escriba un nombre para la aplicación y seleccione el tipo de aplicación:
- Regular Web App para clientes confidenciales del lado del servidor
- Single Page App para clientes públicos basados en navegador
- Native para clientes públicos móviles o de escritorio
Active el interruptor This application is owned by a third party.
Seleccione Create.

Cuadro de diálogo Create Application de Dashboard con la opción de terceros habilitada

Realice una solicitud POST al endpoint /api/v2/clients con el siguiente cuerpo de la solicitud:

Parámetro	Tipo	Descripción
`name`	String	Obligatorio. El nombre de la aplicación.
`is_first_party`	Boolean	Indica si la aplicación es propia (`true`) o de terceros (`false`).
`app_type`	String	El tipo de aplicación (por ejemplo, `regular_web`, `native`, `spa`, `non_interactive`).
`callbacks`	Array	Una lista de URL de callback permitidas para la redirección después de la autenticación.
`grant_types`	Array	Una lista de tipos de concesión de OAuth2 que este cliente puede usar. Las aplicaciones de terceros admiten `authorization_code`, `refresh_token` y `client_credentials`. Para obtener más información, consulte Security Controls for Third-Party Applications.
`token_endpoint_auth_method`	String	El método de autenticación para el endpoint de token (por ejemplo, `client_secret_post`).

Si la solicitud se realiza correctamente, Auth0 crea la aplicación con un prefijo tpc_ en el ID de cliente, los tipos de concesión authorization_code y refresh_token, y establece third_party_security_mode en strict, lo que indica que los controles de seguridad reforzados están habilitados.

{
  "client_id": "tpc_aBcDeFgHiJkLmNoPqRsTuV",
  "third_party_security_mode": "strict",
  "is_first_party": false,
  "name": "Partner Application",
  "grant_types": ["authorization_code", "refresh_token"],
  ...
}

Parámetro	Tipo	Descripción
`client_id`	String	El identificador único de la aplicación con un prefijo `tpc` para indicar que es una aplicación de terceros creada con el modo estricto habilitado.
`third_party_security_mode`	String	Define el perfil de seguridad. Se establece en `strict` para aplicar restricciones de seguridad reforzadas a las aplicaciones de terceros.
`is_first_party`	Boolean	Debe establecerse en `false` cuando se use el modo de seguridad `strict` para identificar la aplicación como de terceros.
`name`	String	El nombre para mostrar de la aplicación.
`grant_types`	Array	Los tipos de concesión de OAuth2 que esta aplicación está autorizada a usar (por ejemplo, `authorization_code`).

La propiedad third_party_security_mode se establece al crear la aplicación y no puede cambiarse. Para usar otro modo de seguridad, cree una aplicación nueva.

Configurar políticas de acceso a las API

Las aplicaciones de terceros requieren concesiones de cliente explícitas para acceder a las API. Puede configurar las políticas de acceso a las API de las siguientes maneras:

Permisos por aplicación: Aplique permisos granulares a cada aplicación de su inquilino.
Permisos predeterminados para todas las aplicaciones de terceros: Aplique permisos predeterminados a todas las aplicaciones de terceros de su inquilino.

Cuando existen permisos por aplicación y permisos predeterminados para aplicaciones de terceros para la misma API, los permisos por aplicación tienen prioridad. Para obtener más información, consulte Acceso de las aplicaciones a las API: concesiones de cliente.

Permisos por aplicación

Para conceder a una aplicación de terceros específica un acceso más amplio o más restringido que el predeterminado, cree una concesión de cliente para el client_id de esa aplicación:

Auth0 Dashboard
Management API

Vaya a Applications > APIs y seleccione la API.
Abra la pestaña Settings.
Desplácese hasta Application Access Policy y establezca User-Delegated Access y Client Access en Per-app authorization.
Seleccione Save.

Configuración de la API en el Dashboard para la política de acceso de la aplicación

Al configurar permisos por aplicación, debe autorizar individualmente el acceso a la API para cada aplicación:

Vaya a Applications > APIs y seleccione la API.
Abra la pestaña Application Access.
Desplácese hasta la aplicación, seleccione Edit y luego Grant Access para User-Delegated Access y/o Client Access. Después, seleccione los permisos deseados.
Seleccione Save.

Configuración de la API en el Dashboard para conceder acceso a la API a una aplicación

Permisos predeterminados para todas las aplicaciones de terceros

Los permisos predeterminados definen un conjunto básico de API y alcances disponibles para todas las aplicaciones de terceros. Esto es necesario para Dynamic Client Registration, ya que no puede configurar el acceso de cada aplicación de forma individual.

Auth0 Dashboard
Management API

Vaya a Applications > APIs y seleccione la API.
Abra la pestaña Settings.
Desplácese hasta Default Permissions for Third Party Apps.
Seleccione Authorized en User-Delegated Access o Client Access.
Seleccione los alcances que quiere conceder y, a continuación, haga clic en Save.

Configuración de la API en el Dashboard con permisos predeterminados para aplicaciones de terceros

Realice una solicitud POST al endpoint /api/v2/client-grants con el siguiente cuerpo de la solicitud:

Parámetro	Tipo	Descripción
`default_for`	String	Especifica si esta concesión se aplica automáticamente a determinados tipos de aplicaciones. Establézcalo en `third_party_clients` para garantizar que todas las aplicaciones de terceros tengan acceso a esta API de forma predeterminada.
`audience`	String	El identificador único (URI) de la API para la que se crea la concesión.
`scope`	Array	Una lista de permisos (alcances) permitidos como parte de esta concesión.
`subject_type`	String	Define el tipo de acceso a la aplicación permitido para la API: `user`: Se usa para acceso delegado por el usuario, que corresponde a flujos que generan un token asociado a un usuario final. `client`: Se usa para acceso de máquina a máquina, como Client Credentials Flow.

Configurar conexiones

Las aplicaciones de terceros solo pueden autenticar usuarios mediante conexiones a nivel de dominio. Una vez que una conexión se eleva al nivel de dominio, queda disponible para todas las aplicaciones de terceros del inquilino. Para elevar una conexión al nivel de dominio:

Vaya a Auth0 Dashboard > Authentication y seleccione el tipo de conexión (Database, Social, Enterprise).
Seleccione la conexión que desea usar con aplicaciones de terceros.
Active el interruptor Promote Connection to Domain Level.

Para obtener más información, consulte Promover conexiones al nivel de dominio.

Configurar la protección contra redirecciones abiertas

Las aplicaciones de terceros con controles de seguridad reforzados tienen Open Redirect Protection habilitada de forma predeterminada. Cuando está habilitada, Auth0 no:

Redirige a la URL de callback de la aplicación cuando se producen errores de autenticación
Expone application.callback_domain en las plantillas de correo electrónico

Solo deshabilite Open Redirect Protection para aplicaciones de terceros cuyos URI de callback configurados sean de confianza. Para obtener más información, consulte Redirect Protection.

Auth0 Dashboard
Management API

Vaya a Applications > Applications y seleccione la aplicación de terceros.
Vaya a la pestaña Settings y desplácese hasta Open Redirect Protection.
Active o desactive la opción.
Seleccione Save.

Interruptor de Open Redirect Protection en Auth0 Dashboard

Establezca la propiedad redirection_policy al crear o actualizar la aplicación:

curl --request PATCH \
  --url 'https://{yourDomain}/api/v2/clients/{CLIENT_ID}' \
  --header 'Authorization: Bearer {YOUR_MANAGEMENT_API_TOKEN}' \
  --header 'Content-Type: application/json' \
  --data '{
    "redirection_policy": "allow_always"
  }'

Establézcala en open_redirect_protection para habilitarla (predeterminado) o en allow_always para deshabilitarla.

Registro dinámico de clientes

Todos los clientes registrados dinámicamente son aplicaciones de terceros. Antes de habilitar DCR, configure los permisos predeterminados de la API para que los clientes registrados dinámicamente puedan acceder a sus APIs.

​Requisitos previos

​Crear una aplicación de terceros

​Configurar políticas de acceso a las API

​Permisos por aplicación

​Permisos predeterminados para todas las aplicaciones de terceros

​Configurar conexiones

​Configurar la protección contra redirecciones abiertas

​Registro dinámico de clientes

​Más información

Requisitos previos

Crear una aplicación de terceros

Configurar políticas de acceso a las API

Permisos por aplicación

Permisos predeterminados para todas las aplicaciones de terceros

Configurar conexiones

Configurar la protección contra redirecciones abiertas

Registro dinámico de clientes

Más información