Saltar al contenido principal
Esta sección explica cómo configurar el entorno de pruebas de extremo a extremo para la aplicación de recursos. Al configurar tu inquilino de Auth0 como el Servidor de autorización de la aplicación de recursos, tu aplicación SaaS puede empezar a aceptar solicitudes ID-JAG entrantes sin necesidad de realizar cambios en el código. Esto permite que tu API SaaS genere tokens de acceso en respuesta a estas solicitudes, lo que permite a los agentes de IA y otras aplicaciones consumir tu API sin problemas.
Esta guía asume que usas Okta como tu Proveedor de identidad (IdP) empresarial y que tienes acceso administrativo a un inquilino de Okta que puedes usar para las pruebas. Si no tienes uno, lee Crea y configura tu inquilino de Okta.
Para configurar tu entorno de pruebas de extremo a extremo para la aplicación de recursos:
  • Configura y registra tu aplicación de recursos: Esto incluye configurar tu inquilino de Auth0 y registrar tu aplicación SaaS como aplicación de recursos en Okta. Para obtener más información, lee Configuración de la aplicación de recursos.
  • Configura la aplicación solicitante para probar el flujo de extremo a extremo: Esto incluye registrar una aplicación solicitante de prueba en tu inquilino de Auth0 y actualizar Okta para vincularla con tu aplicación de recursos. Para obtener más información, lee Configuración de la aplicación solicitante.
  • Configura cómo tu inquilino de Auth0 se federa con el Proveedor de identidad (IdP) empresarial de tu cliente: En nuestro entorno de prueba, el IdP empresarial será tu inquilino de prueba de Okta, que representa a uno de tus clientes empresariales. Para obtener más información, lee Federación con el IdP empresarial y configuración de la Organización.
  • Administra Cross App Access en Okta: Configura conexiones de agente a aplicación y de aplicación a aplicación en la Consola de administración de Okta. Para obtener más información, lee Administrar Cross App Access en Okta.
La siguiente imagen muestra las responsabilidades de los diferentes roles en un flujo XAA listo para producción:

Cree y configure su inquilino de Okta

Para configurar su entorno de pruebas de extremo a extremo para la aplicación de recursos, debe crear y configurar su inquilino de Okta para Cross App Access.
  • En el sitio web de Okta Developer, regístrese para obtener un Okta Integrator Free Plan. Una vez que se registre, se le redirigirá a su nuevo inquilino de Okta.
  • En la consola de administración de Okta, vaya a Settings > Features. En Early access features, habilite Cross App Access.

Configuración de la aplicación de recursos

Para configurar la aplicación de recursos, debe hacer lo siguiente:

Cree la API en Auth0

Si ya creó una API personalizada en su inquilino de Auth0, puede omitir esta sección.
En el Auth0 Dashboard, registre una API personalizada que represente su API de SaaS en su inquilino de Auth0.
Después de crear la API, también puede configurar opcionalmente su audiencia como Audiencia predeterminada para su inquilino de Auth0 en Tenant Settings. También puede usar API Access Policies for Applications para controlar de forma granular qué aplicaciones obtienen acceso a su API y para qué alcances.

Cree la aplicación de recursos en Auth0

Si su inquilino de Auth0 ya tiene una o varias aplicaciones listas para usarse para iniciar sesión en su aplicación SaaS, puede omitir esta sección.
En el Auth0 Dashboard, cree una aplicación, como una aplicación web tradicional, una SPA o una aplicación nativa, que actúe como la interfaz principal para que los usuarios finales accedan a la funcionalidad de su aplicación SaaS.

Registrar la aplicación de recursos en Okta

Debe registrar su aplicación SaaS en Okta Integration Network (OIN) para que se considere una aplicación de recursos válida. Para registrar su aplicación SaaS como una aplicación de recursos en Okta, tiene dos opciones:
  • Para una configuración de prueba rápida, le recomendamos usar la aplicación Todo0, que ya está registrada en la OIN. En la consola de administración de Okta, vaya a Applications > Applications > Browse App Catalog y busque Todo0. Selecciónela y agregue la integración.
  • También puede solicitar el registro de una aplicación nueva en la OIN desde su inquilino de Okta. Para obtener más información, consulte Submission process for SSO and SCIM integrations. Para agilizar el proceso de registro, contacte a su representante de Auth0 u Okta.
En un entorno de producción, sus clientes empresariales instalarán su aplicación SaaS desde el catálogo de la OIN durante la configuración de su IdP.
Además, debe proporcionar a Okta la URL del emisor de su inquilino de Auth0 asociada con su aplicación de recursos. Las aplicaciones solicitantes usan la URL del emisor para solicitar la conexión con su aplicación de recursos. Para obtener más información, consulte Test the end-to-end XAA flow.

Configuración de la aplicación solicitante

En un entorno de producción, solo necesitas configurar cada aplicación solicitante una vez para habilitar su conexión con tu aplicación de recursos.
Para configurar tu aplicación solicitante, debes:

Cree la aplicación solicitante en Auth0

Para probar el entorno integral, cree y registre una aplicación que actúe como aplicación solicitante. La aplicación debe ser un cliente confidencial que pueda almacenar secretos de cliente, como una aplicación web. Para crear una aplicación que represente la aplicación solicitante en su inquilino de Auth0:
  • Vaya a Applications > Applications y seleccione Create Application.
  • Introduzca un nombre y seleccione Regular Web Application.
  • Una vez creada la aplicación, desplácese hasta Settings y habilite el interruptor Cross App Access.
Una vez que haya creado y configurado la aplicación, debe proporcionar a Okta el client_id de la aplicación y la URL del emisor de su inquilino de Auth0. Esto permite la conexión entre la aplicación solicitante, identificada por el client_id, y la aplicación de recursos, identificada por la URL del emisor. Para obtener más información, consulte Probar el flujo XAA integral.

Registrar la aplicación solicitante en Okta

En un entorno de producción, el desarrollador de la aplicación solicitante registra la aplicación solicitante en la Okta Integration Network (OIN). Los clientes empresariales instalarán la aplicación solicitante desde el catálogo de la OIN durante la configuración de su IdP.
Debe registrar la aplicación en la Okta Integration Network (OIN) para que se considere una aplicación solicitante de XAA válida al usar Okta como IdP empresarial. Para registrar la aplicación solicitante en Okta, tiene dos opciones:
  • Para una configuración de prueba rápida, le recomendamos usar la aplicación Agent0, que ya está registrada en la OIN. En la consola de administración de Okta, vaya a Applications > Applications > Browse App Catalog y busque Agent0. Selecciónela y agregue la integración.
  • También puede solicitar el registro de una nueva aplicación en la OIN. Para obtener más información, consulte Submission process for SSO and SCIM integrations. Para acelerar el proceso de registro, póngase en contacto con su representante de Auth0 u Okta.
Como la aplicación solicitante autentica a los empleados de la empresa con Okta, debe configurar la política de inicio de sesión de la aplicación en Okta.
  1. Vaya a Applications > Applications y seleccione la aplicación (por ejemplo, Agent0).
  2. En Sign On, seleccione Edit y agregue la URL de callback de la aplicación solicitante en el campo Redirect URI. Ajuste el valor de Redirect URI según la aplicación de prueba que quiera usar. Para obtener más información, consulte Probar el flujo XAA de extremo a extremo.
  3. Seleccione Save.
Por último, permita que el usuario de prueba inicie sesión en la aplicación solicitante desde Okta. En la consola de administración de Okta:
  1. Vaya a Applications y seleccione la aplicación (por ejemplo, Agent0).
  2. Seleccione Assign > Assign to People y elija su usuario de prueba.
  3. Seleccione Save.

Federación con el IdP empresarial y la configuración de la Organización

En un entorno de producción, configure una sola vez a cada uno de sus clientes empresariales para federarlo con su inquilino de Auth0. Auth0 añadirá compatibilidad con SSO de autoservicio en versiones futuras, lo que le permitirá delegar la configuración de XAA en sus clientes empresariales como parte de la configuración de SSO.
Debe federar su inquilino de Auth0, que actúa como servidor de autorización de su aplicación de recursos, con el inquilino de Okta de su cliente empresarial. Esta federación establece una relación de confianza criptográfica, lo que permite que su aplicación valide y acepte aserciones firmadas (ID-JAG) emitidas por el IdP del cliente. Para probar el flujo XAA de extremo a extremo con varios clientes empresariales conectados a su aplicación de recursos, puede repetir los pasos de esta sección para varias conexiones empresariales de Okta Workforce en su inquilino de Auth0. Cada conexión se asigna a un inquilino de prueba de Okta distinto, y cada inquilino representa a un cliente empresarial diferente.

Configura una conexión empresarial de Okta Workforce

Usa el client_id y el client_secret de tu aplicación de recursos para crear una conexión empresarial de Okta Workforce en tu inquilino de Auth0. Al crear la conexión empresarial de Okta Workforce, activa el rol Cross App Access - Resource Application. Esto permite que tu aplicación de recursos acepte ID-JAG emitidos por el IdP empresarial asociado a esa conexión, en este caso, tu inquilino de Okta.
Después de crear la conexión empresarial de Okta Workforce, copia la URL de callback que Auth0 proporciona en la configuración de la conexión. Necesitarás la URL de callback para configurar las políticas de inicio de sesión de la aplicación de recursos en tu inquilino de Okta. En la consola de administración de Okta:
  1. Ve a Applications > Applications y selecciona la aplicación (por ejemplo, Todo0).
  2. En la configuración de Sign On, selecciona Edit y agrega la URL de callback en el campo Redirect URI.
  3. Selecciona Save.
Para probar la conexión empresarial de Okta Workforce, crea un usuario de prueba y asígnale permiso para iniciar sesión en la aplicación solicitante. En la consola de administración de Okta:
  • Ve a Applications y selecciona la aplicación (por ejemplo, Agent0).
  • Selecciona Assign > Assign to People y elige tu usuario de prueba.
  • Selecciona Save.
En el Auth0 Dashboard:
  • Ve a Authentication > Enterprise > Okta Workforce:
    • Abre la conexión empresarial de Okta Workforce que creaste y selecciona la pestaña Applications. Luego, habilita la aplicación solicitante que creaste para la conexión.
    • Vuelve a la lista de conexiones de Okta Workforce. Selecciona los tres puntos a la derecha de tu conexión y luego Try. Se te redirigirá para autenticarte en tu inquilino de Okta y completar el inicio de sesión con tu usuario de prueba.

Configurar una Organización

De forma opcional, si desea que un cliente empresarial use Organizaciones, cree una Organización y habilite la conexión empresarial de Okta Workforce para esa Organización. Esto asocia automáticamente los tokens de acceso generados mediante XAA, dentro del scope de esta conexión, con el org_id correspondiente si el usuario de destino es miembro de la Organización.
También puede configurar el comportamiento de Organización de la aplicación solicitante para definir si es obligatorio o está permitido usar Organizaciones. Le recomendamos que comience las pruebas con Both, lo que permite a los usuarios iniciar sesión como miembros de una Organización o registrarse con una cuenta personal.