Saltar al contenido principal
Puede habilitar el control de acceso basado en roles (RBAC) mediante el o la . Esto habilita el conjunto de funciones de Authorization Core para la API. Cuando RBAC está habilitado, el claim scope del incluye la intersección entre los permisos solicitados y los permisos asignados al usuario, independientemente de si los permisos también se incluyen en el token de acceso. Cuando RBAC está deshabilitado, una aplicación puede solicitar cualquier permiso definido para la API, y el claim scope incluye todos los permisos solicitados.
Si configura Actions que modifiquen los alcances del token de acceso, estos reemplazarán los alcances establecidos por RBAC.

Dashboard

  1. Vaya a Dashboard > Applications > APIs y haga clic en el nombre de la API para verla.
    Lista de APIs en Dashboard > Applications
  2. Desplácese hasta RBAC Settings y active el interruptor Enable RBAC.
    interruptor de RBAC en la configuración de la API en Auth0 Dashboard
  3. Para incluir todos los permisos asignados al usuario en el claim permissions del token de acceso, active el interruptor Add Permissions in the Access Token y haga clic en Save. Incluir permisos en el token de acceso le permite hacer menos llamadas para recuperar permisos, pero aumenta el tamaño del token. Una vez que active el interruptor Add Permissions in the Access Token, Auth0 también actualizará el dialecto del token según el perfil del token de acceso que haya configurado para la API:
    • Si el dialecto del token es access_token, Auth0 lo actualiza a access_token_authz, que equivale al perfil access_token con el claim permissions incluido.
    • Si el dialecto del token es rfc9068_profile, Auth0 lo actualiza a rfc9068_profile_authz, que equivale a rfc9068_profile con el claim permissions incluido.
    Para obtener más información sobre los dialectos de token disponibles, consulte Opciones de dialecto del token.

Management API

Para habilitar RBAC con la Management API, haz una solicitud PATCH al endpoint Actualizar un servidor de recursos. En la solicitud PATCH, establece enforce_policies en true: Reemplace API_ID, MGMT_API_ACCESS_TOKEN y TOKEN_DIALECT por sus valores correspondientes, como se muestra en la siguiente tabla:
ParámetroDescripción
API_IDID de la API para la que desea habilitar RBAC.
MGMT_API_ACCESS_TOKENToken de acceso para la Management API con el scope update:resource_servers.
TOKEN_DIALECTDialecto del token de acceso para la API especificada. Para obtener más información, consulte Opciones de dialecto del token.

Opciones de dialecto del token

Auth0 admite los siguientes dialectos de token:
ValorDescripción
access_tokenEl perfil de token predeterminado de Auth0 genera un token de acceso con formato de JSON Web Token (JWT). En el claim scope del token de acceso, incluye la intersección entre los permisos solicitados y los permisos asignados al usuario. No se incluye ningún claim permissions. Para obtener más información, consulte Access Token Profiles.
access_token_authzEl perfil de token predeterminado de Auth0 (access_token) con el claim permissions. En el claim scope del token de acceso, incluye la intersección entre los permisos solicitados y los permisos asignados al usuario. En el claim permissions del token de acceso, incluye todos los permisos asignados al usuario. Le permite realizar menos llamadas para recuperar permisos, pero aumenta el tamaño del token.
rfc9068_profileEl perfil de token RFC 9068 genera un token de acceso con formato JWT siguiendo el perfil JWT de IETF para OAuth 2.0 Access Tokens (RFC 9068). En el claim scope del token de acceso, incluye la intersección entre los permisos solicitados y los permisos asignados al usuario. No se incluye ningún claim permissions. Para obtener más información, consulte Access Token Profiles.
rfc9068_profile_authzEl perfil de token RFC 9068 (rfc9068_profile) con el claim permissions. En el claim scope del token de acceso, incluye la intersección entre los permisos solicitados y los permisos asignados al usuario. En el claim permissions del token de acceso, incluye todos los permisos asignados al usuario. Le permite realizar menos llamadas para recuperar permisos, pero aumenta el tamaño del token.

Más información