Saltar al contenido principal
La administración de conexiones de organizaciones mediante nuevos endpoints y atributos se encuentra en acceso anticipado como parte de My Organization API and Embeddable UI Components. Al usar esta función, acepta los términos aplicables de la prueba gratuita del Master Subscription Agreement de Okta. Para obtener más información sobre el ciclo de lanzamiento de productos de Auth0, consulte Etapas de lanzamiento del producto.
Auth0 Organizations permite a los responsables de productos B2B o aplicaciones SaaS crear arquitecturas multiinquilino, almacenar correctamente los tokens de identificación y reducir al mínimo la fricción en el inicio de sesión de los usuarios finales.

Configure la experiencia de inicio de sesión de su aplicación

Su aplicación se puede configurar en la pestaña Experiencia de inicio de sesión para admitir tres tipos de usuarios:
  1. Usuarios individuales
  2. Usuarios empresariales
  3. Ambos
Las aplicaciones diseñadas específicamente para consumidores —por ejemplo, Netflix o Spotify— probablemente no necesiten gestión de organizaciones. Al elegir Usuarios individuales, los usuarios inician sesión directamente en la aplicación y no se proporciona el contexto de una Organización. Para las aplicaciones B2B o SaaS —por ejemplo, Slack o Jira— suele ser más adecuado elegir Usuarios empresariales, de modo que los usuarios finales solo puedan acceder a su aplicación en el contexto de una Organización de Auth0. Los usuarios que pertenecen a varias Organizaciones se redirigen al selector de Organización después del flujo de inicio de sesión, donde se muestran las primeras 20 organizaciones de las que forman parte.
Elija Ambos si su usuario final puede tener tanto una cuenta personal como una cuenta empresarial en su aplicación. Por ejemplo, GitHub suele almacenar repositorios de código tanto personales como profesionales. Puede configurar el tipo de usuario de su aplicación a través del (como se describe arriba) o de la . En concreto, use el parámetro organization_usage del endpoint Update a client para establecer el tipo de usuario adecuado. Para obtener más información sobre ambos métodos, consulte Define Organization Behavior.

Configure el flujo de inicio de sesión de su aplicación

Después de seleccionar Usuarios empresariales o Ambos, puede personalizar aún más la experiencia de sus usuarios al iniciar sesión en su aplicación. La mayoría de las organizaciones deberían elegir Solicitar credenciales y, después, habilitar Autenticación con identificador primero. Si ya conoce la Organización con la que un usuario intenta iniciar sesión, la opción Sin solicitud, junto con Custom Development with Organizations, permite que su aplicación mantenga un flujo de inicio de sesión personalizado y con su propia marca.
Los administradores pueden ajustar aún más la experiencia del usuario final habilitando el interruptor Solicitar Organización, que exige que los usuarios identifiquen la Organización en la que van a iniciar sesión mediante el nombre de la Organización o el correo electrónico de la Organización.
Incluso al seleccionar Solicitar credenciales, puede seguir dirigiendo a los usuarios para que inicien sesión con la pantalla de inicio de sesión de una organización específica, según sea necesario.
Puede configurar el flujo de inicio de sesión de su aplicación a través del Auth0 Dashboard (como se describe arriba) o de la Management API. En concreto, use el parámetro organization_require_behavior del endpoint Update a client para establecer el flujo adecuado. Para obtener más información sobre ambos métodos, consulte Define Organization Behavior.

Autenticación con identificador primero con Solicitar credenciales

Si tu aplicación empresarial usa Federación empresarial, puedes activar Autenticación con identificador primero con Home Realm Discovery en su perfil de autenticación. Una vez habilitado, Home Realm Discovery detecta direcciones de correo electrónico de un dominio conocido y las envía automáticamente al inicio de sesión de Workforce correspondiente.
En este flujo, se puede usar exactamente una Conexión de base de datos de Auth0 como respaldo cuando el dominio de correo electrónico de un usuario no coincide con el dominio del (IdP) de ninguna conexión empresarial. A los usuarios se les muestra la pantalla de inicio de sesión de tu aplicación en lugar de la pantalla de inicio de sesión de una organización, y las Conexiones habilitadas para la aplicación quedan visibles para el usuario.
Si tu inquilino de Auth0 tiene un Directorio predeterminado configurado en su configuración, Auth0 lo usa como conexión para este flujo de inicio de sesión, incluso si el Directorio predeterminado no está habilitado en la aplicación. El Directorio predeterminado tiene prioridad sobre las conexiones habilitadas de la aplicación.Este comportamiento se aplica solo al flujo Solicitar credenciales. Para el flujo Solicitar Organización o en escenarios sin pantalla, debes habilitar el Directorio predeterminado en la aplicación para que Auth0 lo seleccione.
Después de que un usuario proporcione una dirección de correo electrónico, Auth0 la coteja con las conexiones empresariales habilitadas para esta aplicación y con todas las conexiones empresariales habilitadas para organizaciones. Si encuentra una coincidencia, se redirige al usuario para que se autentique con el IdP asociado. Si no se encuentra ninguna coincidencia, se muestra un campo de contraseña.

Autenticación con identificador primero y Solicitar Organización

Cuando un usuario inicia la autenticación, Auth0 primero determina la Organización (si corresponde) y luego identifica el Proveedor de identidad (IdP) o la conexión adecuados para la autenticación. El usuario comienza introduciendo su dirección de correo electrónico (por ejemplo, alice@rockymountainadventures.com) o el nombre de su organización (por ejemplo, Rocky Mountain High Adventures). El contenido de la pantalla depende de la configuración Experiencia de inicio de sesión > Tipo de usuarios de la aplicación:
  • Usuarios empresariales muestra solo la Solicitar Organización, y los usuarios deben iniciar sesión con una Organización.
  • Ambos muestra tanto la Solicitar Organización como la de cuenta personal, y los usuarios pueden iniciar sesión con cualquiera de las dos.

Detección de dominios de organización (opcional)

Auth0 admite la detección de dominios de organización, que puede usarse opcionalmente para identificar la organización del usuario antes de que se ejecute la autenticación con identificador primero. Cuando está configurada, la detección de dominios de organización ayuda a Auth0 a identificar automáticamente la organización de un usuario o a acotar las opciones de organización cuando los usuarios introducen su correo electrónico. La detección de dominios de organización no restringe quién puede registrarse ni iniciar sesión. En conjunto, la autenticación con identificador primero y la detección de dominios de organización agilizan los flujos de inicio de sesión empresariales, al tiempo que mantienen la claridad y el control en entornos con múltiples organizaciones. Si un inquilino tiene dominios de organización verificados configurados y no se proporciona ningún parámetro organization, Auth0 intenta determinar automáticamente la organización del usuario en función de los dominios verificados (no pendientes):
  • Si coincide exactamente una Organización, Auth0 la selecciona automáticamente y continúa el flujo de autenticación con identificador primero en el contexto de esa Organización.
  • Si varias organizaciones comparten el mismo dominio o nombre (por ejemplo, tanto AdventureZ como Granite Outpost tienen configurado travelco.com), Auth0 muestra un selector de organización para que el usuario pueda elegir. Una vez hecha la elección, Auth0 continúa el flujo de autenticación con identificador primero.
  • Si no se encuentra ninguna coincidencia, Auth0 continúa con la autenticación con identificador primero estándar.

Autenticación con identificador primero

El objetivo de la Autenticación con identificador primero es determinar a qué conexión o Proveedor de identidad (IdP) debe dirigirse el usuario. Una vez determinada la organización (si corresponde), Auth0 aplica la Autenticación con identificador primero con Home Realm Discovery:
  • Si se proporciona un parámetro connection, Auth0 lo usa para dirigir al usuario a esa conexión específica.
    • De lo contrario, Auth0 examina todas las Conexiones empresariales habilitadas tanto para la aplicación como para la organización (si corresponde).
Si se encuentra un IdP coincidente en función del dominio de correo electrónico del usuario, Auth0 redirige al usuario a ese IdP para autenticarse. Si no se encuentra ninguna coincidencia, o si el dominio de correo electrónico del usuario no corresponde a ningún IdP habilitado, Auth0 recurre a la Conexión de base de datos de Auth0 (si hay una habilitada para la aplicación). En este modo alternativo, los usuarios ven la pantalla de inicio de sesión de su aplicación en lugar de la pantalla de inicio de sesión de una organización, junto con todas las conexiones habilitadas para la aplicación.
Hay casos de uso, como varias configuraciones de base de datos asignadas a distintas Organizaciones, en los que Auth0 no puede determinar con qué IdP está asociado el correo electrónico de un usuario. En estos casos, seleccione Solicitar Organización como pantalla de inicio de sesión inicial o envíe el parámetro organization a Auth0.
Puede usar la Management API para configurar la Autenticación con identificador primero. En concreto, use el parámetro identifier_first del endpoint Actualizar la configuración de las pantallas.

Membresía automática

En lugar de invitar o asignar usuarios a una Organización directamente, es posible que quiera permitir que cualquier usuario que pueda autenticarse con un IdP federado obtenga acceso a una Organización. Para estos casos, Auth0 recomienda la configuración Membresía automática. La membresía automática suele activarse dirigiendo al usuario a iniciar sesión mediante la pantalla de inicio de sesión de la Organización, que puede pasar los parámetros connection y organization en nombre del usuario. Si no se puede determinar la organización deseada de un usuario antes de iniciar sesión, el flujo Solicitar credenciales concede la membresía a la única organización que tenga configurada la membresía automática. Sin embargo, puede haber casos en los que no pueda determinar la organización deseada de un usuario antes de enviarlo a iniciar sesión. En ese caso, puede usar el flujo Solicitar credenciales mencionado anteriormente, pero tenga en cuenta que al usuario solo se le concederá membresía en la organización si una y solo una organización tiene esta conexión configurada como conexión habilitada para la organización con la membresía automática activada. Puede usar la Management API para configurar la membresía automática. En concreto, use el parámetro assign_membership_on_login del endpoint Modificar la conexión de una organización.