Saltar al contenido principal
Puede usar varios marcadores de posición como texto dinámico en sus URL.

Cómo funciona la evaluación de las URL

Una URL que contiene el marcador de posición {organization_name} solo se evaluará cuando se cumplan todas las condiciones siguientes:
  • La aplicación tiene organization_usage configurado como allow o require
  • Se realizó una transacción en el contexto de una organización (por ejemplo, al iniciar una transacción de autorización con el parámetro organization: /authorize?organization=org_bVss9Do3994SIbiH&…)
Las URL con el marcador de posición {organization_name} se evaluarán además de las URL con coincidencia exacta (https://app.exampleco.com) y las URL con comodines (https://*.exampleco.com). No debe asumir ningún orden específico en la evaluación de las URL. Evite registrar URL con comodines y marcadores de posición de organización en el mismo campo de configuración de una aplicación, ya que esto puede provocar comportamientos no deseados y dificultar la solución de problemas. Por ejemplo, considere una aplicación con dos Allowed Callback URLs: https://*.exampleco.com y https://{organization_name}.exampleco.com. Un redirect_uri con el valor https://company-a.exampleco.com se consideraría válido incluso si no hubiera ninguna Organización con el nombre company-a registrada en su inquilino; esto se debe a la evaluación del comodín.

Marcadores de posición con comodines en las URL

Los marcadores de posición con comodines en subdominios no deben usarse en aplicaciones en producción. Auth0 recomienda usar URL con el marcador de posición {organization_name} cuando corresponda.
Los marcadores de posición con comodines en las URL no son compatibles con las aplicaciones de terceros con controles de seguridad mejorados. Las URL de callback, los orígenes permitidos y los orígenes web deben usar URL exactas.
Administra esta configuración en Dashboard > Applications > Applications en los siguientes campos:
  • Allowed Callback URLs: Lista de URL a las que Auth0 puede redirigir a los usuarios después de autenticarse.
  • Allowed Logout URLs: Lista de URL a las que puedes redirigir a los usuarios después de cerrar sesión en Auth0.
  • Allows Web Origins: Lista de URL desde las que puede originarse una solicitud de autorización que use Autenticación de origen cruzado, Flujo de dispositivo y web_message como modo de respuesta.
  • Allowed Origins (CORS): Lista de URL a las que se permitirá hacer solicitudes desde JavaScript a la API de Auth0 (normalmente se usa con CORS).
Evita usar marcadores de posición con comodines para subdominios en los callbacks y orígenes permitidos de las aplicaciones en producción, ya que esto puede hacer que tu aplicación sea vulnerable a ataques. Puedes usar el símbolo de asterisco (*) como comodín para subdominios, pero debe usarse de acuerdo con las siguientes reglas para que funcione correctamente:
  • El protocolo de la URL debe ser http o https. Los protocolos como com.example.app y service:jmx:rmi no funcionarán.
  • El comodín debe estar ubicado en un subdominio dentro del componente de nombre de host. https://*.com no funcionará.
  • El comodín debe estar ubicado en el subdominio más alejado del dominio raíz. https://sub.*.example.com no funcionará.
  • La URL no debe contener más de un comodín. https://*.*.example.com no funcionará.
  • Un comodín puede llevar como prefijo y/o sufijo caracteres válidos adicionales del nombre de host. https://prefix-*-suffix.example.com funcionará.
  • Una URL con un comodín válido no coincidirá con una URL que tenga más de un nivel de subdominio en lugar del comodín. https://*.example.com no funcionará con https://sub1.sub2.example.com.

Marcadores de posición de URL de la organización

Marcador de posición del nombre de la organización

Puede usar {organization_name} como marcador de posición para especificar dinámicamente el nombre de una Organización registrada en una URL (https://{organization_name}.exampleco.com). Las URL con el marcador de posición {organization_name} solo deben usarse en dominios que controle totalmente. Por ejemplo: si controla el dominio exampleco.com, el marcador de posición con el nombre de su Organización es https://{organization_name}.exampleco.com. Administre esta configuración en Dashboard > Applications > Applications en los siguientes campos:
  • Allowed Callback URLs: Lista de URL a las que Auth0 puede redirigir a los usuarios después de autenticarse.
  • Allowed Origins (CORS): Lista de URL autorizadas para realizar solicitudes desde JavaScript a la API de Auth0 (normalmente se usa con CORS).
Se aplican las siguientes restricciones al usar el marcador de posición {organization_name}:
  • El protocolo de la URL debe ser http: o https:. com.example.app://{organization_name}.exampleco.com no funcionará.
  • El marcador de posición debe estar ubicado en un subdominio dentro del componente de nombre de host. https://{organization_name} o https://exampleco.com/{organization_name} no funcionarán.
  • El marcador de posición debe estar ubicado en el subdominio más alejado del dominio raíz. https://sub.{organization_name}.exampleco.com no funcionará.
  • La URL no debe contener más de un marcador de posición. https://{organization_name}.{organization_name}.exampleco.com no funcionará.
  • Un marcador de posición no debe tener como prefijo ni como sufijo caracteres válidos adicionales del hostname. https://prefix-{organization_name}-suffix.exampleco.com no funcionará.
  • Un marcador de posición no debe usarse junto con un comodín en la URL. https://{organization_name}.*.exampleco.com no funcionará.

Marcador de posición de metadatos de la organización

Puede usar {organization.metadata.KEY} como marcador de posición para especificar dinámicamente una URL en función de los metadatos asociados a la organización en la solicitud actual. Esto resulta útil cuando distintas organizaciones requieren distintos URI de login, como cuando cada organización se asigna a un dominio personalizado independiente. KEY debe comenzar con public_ o PUBLIC_ (por ejemplo, {organization.metadata.public_login_host}). Las claves sin este prefijo se ignoran en tiempo de ejecución por motivos de seguridad. Auth0 admite este marcador de posición para el URI de login de la aplicación (initiate_login_uri). Para obtener más información, consulte URI de login dinámicos con marcadores de posición de metadatos. Las mismas reglas de validación que se aplican a los marcadores de posición de dominios personalizados también se aplican a los marcadores de posición de metadatos de la organización (protocolo, ubicación, anidamiento, sin comodines, tipo de datos).
Los marcadores de posición de metadatos de la organización requieren que la solicitud esté en el contexto de una organización. Si no hay ninguna organización presente, el marcador de posición no se puede resolver y Auth0 recurre al default_redirection_uri a nivel del inquilino.

Marcadores de posición de URL para dominios personalizados

Puede usar {custom_domain.metadata.KEY} como marcador de posición para especificar dinámicamente una URL en función de los metadatos asociados al dominio personalizado usado en la solicitud. Esto le permite usar varios dominios personalizados con distintas URL de aplicación dentro del mismo inquilino. Para obtener una descripción completa de esta funcionalidad, consulte Varios dominios personalizados

Reglas de validación

Los valores de metadatos usados como marcadores de posición de URL pueden quedar expuestos a los usuarios finales durante los flujos de autenticación. No utilice metadatos sensibles en los marcadores de posición. Todas las claves de metadatos usadas en los marcadores de posición deben comenzar con public_ para que esto quede explícito.
Las siguientes restricciones se aplican al usar marcadores de posición de Dominio personalizado:
  • Se requiere el prefijo público: La clave de metadatos usada en el marcador de posición debe comenzar con public_ o PUBLIC_ (por ejemplo, {custom_domain.metadata.public_callback_subdomain}). Las claves sin este prefijo se ignoran en tiempo de ejecución por motivos de seguridad.
    • Protocolo: El protocolo de la URL debe ser http o https.
    • Ubicación: El marcador de posición debe estar en el componente de dominio o subdominio. No puede usarse en la ruta de la URL.
      • Válido: https://{custom_domain.metadata.public_app_url}.example.com/login
      • No válido: https://example.com/{custom_domain.metadata.public_path}
    • Anidamiento: No puede acceder a propiedades de metadatos anidadas. Solo se admiten claves de nivel superior.
    • Sin comodines: No debe usarse un marcador de posición de dominio personalizado junto con un comodín (*) en la misma URL.
    • Tipo de datos: El valor de los metadatos del dominio personalizado debe ser una cadena. Si la clave no existe o el valor no es una cadena, la URL se ignora durante la validación.

Campos compatibles

Estos marcadores de posición se pueden configurar para las siguientes URL de la aplicación: Para obtener más información, consulta configuración de la aplicación.
Los marcadores de posición de dominio personalizado no se admiten en aplicaciones de terceros.

Uso con marcadores de posición de Organización

Puedes combinar el marcador de posición de Dominio personalizado con el marcador de posición {organization_name}, siempre que tu flujo sea compatible con él. Ambos marcadores de posición se evalúan y sustituyen en tiempo de ejecución.

Más información