Saltar al contenido principal
Los clientes que tengan al menos un inquilino que use aplicaciones de terceros antes de abril de 2026 pueden tener aplicaciones que funcionen en modo permisivo. Este modo mantiene el comportamiento existente por compatibilidad con versiones anteriores.

Quién puede usar el modo permisivo

El modo permisivo está disponible para los clientes que tengan al menos un inquilino con aplicaciones de terceros antes de abril de 2026. Todos los inquilinos de la cuenta de ese cliente pueden crear aplicaciones de terceros en modo permisivo, incluso los inquilinos que antes no tenían aplicaciones de terceros. Estos clientes pueden:
  • Seguir utilizando las aplicaciones de terceros existentes con su comportamiento actual
  • Crear nuevas aplicaciones de terceros con third_party_security_mode: "permissive" mediante la Management API
  • Crear nuevas aplicaciones con controles de seguridad mejorados en cualquier momento
Los clientes que no hayan usado antes aplicaciones de terceros siempre crean aplicaciones con controles de seguridad mejorados. No pueden usar el modo permisivo.

Qué significa el modo permisivo

Las aplicaciones de terceros en modo permisivo se comportan de forma similar a las aplicaciones propias en cuanto a las funcionalidades disponibles:
  • La mayoría de los tipos de concesión están disponibles (authorization code, implicit, client credentials, device code)
  • Se admiten los alcances de OIDC y los tokens de ID
  • El acceso a la API sigue la política de acceso configurada para la API (sin obligar a requerir una concesión de cliente)
  • Formato estándar de ID de cliente (sin el prefijo tpc_)
  • Se pueden configurar todas las propiedades del cliente
El modo permisivo requiere un mayor esfuerzo de configuración por parte del administrador para aplicar controles de seguridad. Es responsable de lo siguiente:
  • Configurar políticas de acceso a la API en cada API para controlar qué aplicaciones de terceros pueden acceder a ellas
  • Revisar qué tipos de concesión y funcionalidades están habilitados para cada aplicación
  • Supervisar el comportamiento de las aplicaciones de terceros mediante los registros del inquilino

La propiedad third_party_security_mode

Todas las aplicaciones de terceros tienen una propiedad third_party_security_mode que indica su modo de seguridad. Esta propiedad se establece al crearse y no puede modificarse.
ValorSignificado
strictControles de seguridad mejorados. Alineación con OAuth 2.1, autorización explícita de la API y conjunto de funciones limitado.
permissiveComportamiento existente. Todas las funciones están disponibles y el administrador configura manualmente los controles de seguridad.
Las aplicaciones de terceros creadas antes de la introducción de los modos de seguridad devuelven third_party_security_mode: "permissive" en las respuestas de la API.

Comparación de características

CapacidadControles de seguridad mejorados (estricto)Comportamiento preexistente (permisivo)
Tipos de concesiónauthorization_code, refresh_token, client_credentialsLa mayoría de los tipos de concesión (excepto password)
PKCEObligatorioOpcional
OIDCNo se admite. Está previsto para una versión futura.Compatible
Autorización de APISiempre requiere un client grant explícitoSigue la política de acceso de la API
Classic LoginNo se admiteCompatible
Endpoints heredadosNo se admitenDisponibles
Formato del ID de clientePrefijo tpc_Formato estándar
Propiedades configurablesConjunto seleccionado de propiedadesTodas las propiedades
Capacidades futurasLímites de tasa y futuras capacidades mejoradas de seguridad y administraciónNo disponibles
Creación mediante DashboardCompatibleNo disponible mediante Dashboard

Registro dinámico de clientes en modo permisivo

Si su cuenta cumple los requisitos para el modo permisivo y usa Dynamic Client Registration, puede controlar el modo de seguridad de los clientes registrados dinámicamente mediante una configuración independiente del inquilino.
  1. Vaya a Settings > Advanced.
  2. En Dynamic Client Registration (DCR) Security Mode, seleccione Permissive.
  3. Seleccione Save.
Configuración avanzada del Tenant en el Dashboard con el menú desplegable DCR Security Mode
La configuración dynamic_client_registration_security_mode es independiente de la configuración predeterminada para las aplicaciones creadas mediante POST /api/v2/clients. Puede configurarla en cualquier momento.
Si establece dynamic_client_registration_security_mode en strict, configure primero los permisos predeterminados de la API. Sin ellos, los clientes registrados dinámicamente no podrán acceder a ninguna API.

Adopte controles de seguridad mejorados

Auth0 recomienda adoptar controles de seguridad mejorados para todas las aplicaciones nuevas de terceros. La propiedad third_party_security_mode no se puede cambiar una vez creada una aplicación; no puede convertir una aplicación permisiva existente en una estricta, ni viceversa. En su lugar, debe elegir qué modo de seguridad usar al crear nuevas aplicaciones en adelante. Para entender cómo está cambiando el valor predeterminado para las aplicaciones nuevas y cómo prepararse, lea Migrar a seguridad mejorada para aplicaciones de terceros.
Si necesita reemplazar una aplicación permisiva existente por una estricta, debe crear una aplicación nueva. Esto invalida todos los Tokens de actualización existentes y las concesiones de usuario de la aplicación anterior. Coordine el cambio con la parte externa para minimizar las interrupciones.

Más información