Saltar al contenido principal
La My Account API está disponible en acceso anticipado. Para solicitar acceso, contacta con tu gerente de cuenta de Auth0 o con Auth0 Support. Para obtener más información sobre el ciclo de lanzamientos de productos de Auth0, consulta Etapas de lanzamiento del producto.
La My Account API de Auth0 proporciona un conjunto específico de endpoints para que los usuarios administren la información de su propia cuenta. Los clientes pueden usar estas API para crear experiencias de autoservicio en sus aplicaciones o para añadir progresivamente más datos a la cuenta de un usuario. La My Account API funciona en el contexto del usuario que ha iniciado sesión y puede usarse directamente en aplicaciones orientadas al usuario final.
Uso del dominio de Auth0 frente al dominio personalizadoLa My Account API admite el uso de tu dominio canónico de Auth0 o de tu dominio personalizado, pero debes usar el mismo durante todo el proceso, lo que incluye:
  • Obtener un token de acceso
  • Establecer el valor de audience
  • Llamar al endpoint de la My Account API
Para obtener más información, consulta Dominio personalizado.

Activar la My Account API

Puede activar la My Account API para su inquilino en el :
  1. Vaya a Applications > APIs.
  2. Busque el banner de MyAccount API.
  3. Seleccione Activate.
De forma predeterminada, la My Account API se crea con las siguientes políticas de acceso de aplicaciones a la API:
  • require_client_grant para los flujos de usuario
  • deny_all para los flujos de cliente (machine-to-machine)
Para que una aplicación acceda a la My Account API en nombre del usuario, debe crear explícitamente un client grant para esa aplicación, lo que le permite definir los alcances máximos que la aplicación puede solicitar. Como alternativa, puede cambiar la política de los flujos de acceso de usuario a allow_all, lo que permite que cualquier aplicación de su inquilino solicite cualquier alcance de la My Account API. Auth0 no recomienda usar allow_all para los flujos de acceso de usuario, porque la My Account API expone información y operaciones sensibles. Debe seguir el principio de privilegio mínimo con la My Account API para garantizar que las aplicaciones solo obtengan acceso a lo que realmente necesitan y así minimizar los posibles riesgos de seguridad. Los permisos finales concedidos a la aplicación estarán determinados por la intersección entre los alcances permitidos por la política de acceso de aplicaciones a la API, los permisos de control de acceso basado en roles (RBAC) asignados al usuario final y el consentimiento que haya otorgado el usuario (si corresponde).
No puede actualizar la política de acceso de aplicaciones a la API para el acceso de cliente a la My Account API, lo que significa que no puede acceder a la My Account API mediante el flujo de credenciales del cliente.
Para obtener más información sobre cómo administrar las políticas de acceso de aplicaciones a la API y sus client grants asociados, consulte Acceso de aplicaciones a las API: Client Grants.

Configuración de Default Policy

El aseguramiento de autenticación para la My Account API se encuentra actualmente en acceso anticipado y solo ofrece una opción de política. Al usar esta función, aceptas los términos aplicables de la prueba gratuita del Master Subscription Agreement de Okta. Para obtener más información sobre el ciclo de lanzamiento de productos de Auth0, consulta Etapas de lanzamiento de productos. Para participar en el programa, ponte en contacto con Auth0 Support.
Default Policy proporciona aseguramiento de autenticación integrado para la My Account API al requerir autenticación escalonada. Cuando está habilitada, Auth0 exige automáticamente que los usuarios se hayan autenticado recientemente y con un segundo factor. La política exige 2FA en un plazo de 15 minutos. Auth0 aplica esta regla al iniciar sesión y en cada intercambio del token de actualización:
  • Si un usuario tiene un factor MFA inscrito, debe completar 2FA al iniciar sesión y de nuevo cuando sus tokens tengan más de 15 minutos de antigüedad.
  • Si un usuario no tiene ningún factor disponible para inscribirse, Auth0 permite el acceso inicial, pero devuelve un error unmet_authentication_requirements en los intercambios del token de actualización después de 15 minutos.
Default Policy no es compatible con Classic Login. Habilita esta función si tu inquilino usa Universal Login o un flujo integrado compatible (flujo de contraseña del propietario del recurso o claves de acceso nativas).

Habilitar Default Policy

Para habilitar Default Policy para la My Account API:
  1. Vaya a Applications > APIs y seleccione My Account API.
  2. Seleccione la pestaña Settings.
  3. En Default Policy, active Require 2FA.
  4. Seleccione Save.
Cuando la Default Policy está habilitada en su inquilino, se adjunta automáticamente cada vez que se crea una nueva My Account API.

Jerarquía de requisitos de autenticación

La Default Policy se encuentra entre la política de MFA a nivel de inquilino y cualquier lógica de MFA que definas en Actions:
  1. Política de MFA del inquilino — la configuración base que se aplica de forma predeterminada a toda la autenticación de tu inquilino
  2. Default Policy — reemplaza la configuración a nivel de inquilino específicamente para la My Account API
  3. Actions — cualquier comando de MFA en Actions siempre tiene prioridad sobre ambas

Comportamiento de la Default Policy

El comportamiento depende de si el usuario tiene disponible un segundo factor para inscribirse. Usuarios con un factor MFA inscrito Para los usuarios inscritos con TOTP, correo electrónico u otro factor compatible:
  1. Al iniciar sesión, Auth0 desafía al usuario con su factor inscrito antes de emitir los tokens.
  2. El token de actualización registra el método de autenticación y la marca de tiempo (AMR).
  3. En un intercambio del token de actualización dentro de los 15 minutos posteriores al último desafío, Auth0 emite un nuevo token de acceso sin volver a desafiarlo.
  4. En un intercambio del token de actualización después de 15 minutos, Auth0 vuelve a desafiar al usuario antes de emitir los tokens.
Usuarios sin un factor MFA inscrito Para los usuarios sin correo electrónico verificado y sin ningún factor inscrito:
  1. Al iniciar sesión, Auth0 permite el acceso sin un segundo factor.
  2. En un intercambio del token de actualización dentro de los 15 minutos, Auth0 emite un nuevo token de acceso sin presentar ningún desafío.
  3. En un intercambio del token de actualización después de 15 minutos, Auth0 devuelve un error unmet_authentication_requirements.
Cuando se devuelve unmet_authentication_requirements en un intercambio del token de actualización, el token no se puede renovar. Su aplicación debe reiniciar todo el flujo de autenticación para obtener nuevos tokens.El mismo error se devuelve en un inicio de sesión silencioso (prompt=none) cuando el usuario no puede cumplir la política después de 15 minutos.

Obtenga un token de acceso

Puede obtener un para la My Account API de la misma manera que obtendría un token de acceso para una de sus propias API.
Si necesita garantías de autenticación que vayan más allá de la Default Policy —por ejemplo, para exigir un factor específico o aplicar requisitos solo a determinadas operaciones—, puede usar la autenticación escalonada con Actions para definir una lógica de MFA personalizada. Tenga en cuenta que Actions siempre prevalece sobre la Default Policy.
Si usa , lea los siguientes artículos: Si usa inicio de sesión integrado, lea los siguientes artículos:

Audiencia

La de la My Account API es https://{yourDomain}/me/.

Alcance

La My Account API admite los siguientes alcances:
AlcanceDescripción
create:me:authentication_methodsPermite al usuario inscribirse en un nuevo método de autenticación.
read:me:authentication_methodsPermite al usuario ver los métodos de autenticación existentes.
update:me:authentication_methodsPermite al usuario modificar los métodos de autenticación existentes.
delete:me:authentication_methodsPermite al usuario eliminar los métodos de autenticación existentes.
read:me:factorsPermite al usuario ver los factores en los que puede inscribirse.
Para Cuentas conectadas con Token Vault, la My Account API admite los siguientes alcances:
AlcanceDescripción
create:me:connected_accountsPermite al usuario vincular una nueva cuenta a su perfil de usuario.
read:me:connected_accountsPermite al usuario ver las cuentas conectadas existentes vinculadas a su perfil de usuario.
delete:me:connected_accountsPermite al usuario eliminar una cuenta conectada de su perfil de usuario.

Ejemplos

Universal Login con Flujo de código de autorización

Paso 1: Solicitar un código de autorización
Paso 2: Canjear el code por un token de acceso

Inicio de sesión integrado con claves de acceso nativas

Paso 1: Solicitar desafío de inicio de sesión
Paso 2: Autenticar a un usuario existente

Solicitudes entre orígenes

Si piensa llamar a la My Account API directamente desde una aplicación basada en navegador (como una Single Page Application) que se ejecuta en un dominio distinto al de su inquilino de Auth0, se encontrará con las políticas de seguridad del navegador conocidas como Cross-Origin Resource Sharing (CORS). De forma predeterminada, los navegadores bloquean estas solicitudes entre orígenes. Para permitir que su aplicación realice correctamente solicitudes a la API, debe agregar el dominio de su aplicación (su “origen”) a la configuración de su cliente:
  1. Vaya a Dashboard > Applications. Seleccione la aplicación para ver sus detalles.
  2. En Cross-Origin Authentication, active Allow Cross-Origin Authentication.
  3. Busque Allowed Origins (CORS) e introduzca la URL de origen de su aplicación.
  4. Seleccione Save.
Para obtener más información, consulte Configurar Cross-Origin Resource Sharing.
Si no necesita usar CORS para su aplicación, asegúrese de que Allow Cross-Origin Authentication esté desactivado. Al agregar la URL de su aplicación a esta lista, le indica a Auth0 que confíe en las solicitudes de ese origen, lo que permite que su aplicación del lado del cliente acceda a la API.