Saltar al contenido principal
Si hay campos de usuario que no deben almacenarse en las bases de datos de Auth0 por motivos de privacidad, puede agregarlos a la Lista de denegación. Para agregar atributos a la Lista de denegación, haga una llamada PATCH al endpoint Update Connection de la .
  1. Obtenga un token de acceso válido para acceder al endpoint /patch_connections_by_id. El token debe incluir el scope update:connections. Consulte Management API Access Tokens para obtener más información.
  2. Con el token de acceso y la lista de atributos que se deben denegar, llame a la API. A continuación, se muestra un ejemplo de solicitud HTTP que deniega dos atributos: origen étnico y género. Tenga en cuenta que debe recuperar el objeto options y enviar el objeto completo en su solicitud PATCH, ya que no existe ningún “merge” cuando solo se actualizan uno o dos valores.
Dónde:
  1. {yourConnectionId} es el id de conexión para el que se denegarán estos atributos. 2. {yourToken} es el token de acceso que recibió en el paso anterior. 3. El objeto options.non_persistent_attrs contiene un array de los atributos que se denegarán. Si el claim que desea denegar lo envía un Proveedor de identidad (IdP) de origen, debe establecer el claim exactamente como lo envía ese IdP. Por ejemplo, para un claim recibido como https://acme.com/temporary_idtoken, el objeto non_persistent_attrs del ejemplo anterior sería: 
    {"non_persistent_attrs": ["ethnicity", "gender", "https://acme.com/temporary_idtoken"]}

Limitaciones

  • Solo se pueden denegar los campos raíz (como user.name o user.phone_number).
    • Si se deniegan user.name o user.nickname, no se incluirán en los tokens.
    • Si se deniega user.email, el valor no se puede asignar a un claim personalizado. Por ejemplo, en una Rule, context.idToken[namespace + 'work_email'] = user.email no funcionaría.
  • Cuando deniegue atributos, estos seguirán estando disponibles a través de Rules y en los tokens salientes. Sin embargo, si se cumple cualquiera de las siguientes condiciones, los atributos de la Lista de denegación no se incluirán en los tokens:
    • Ha habilitado la autenticación multifactor (MFA)
    • Ha realizado una redirección mediante Rules
    • Su aplicación está usando delegación (y no ha establecido scope = passthrough)
    • Su aplicación está usando suplantación
    • Ha habilitado la configuración Use Auth0 instead of the IdP to do Single Sign-On (solo para inquilinos heredados)
  • En las conexiones SAMLP, si habilita el modo Debug, sus registros contendrán información sobre los atributos de la Lista de denegación
Si alguna de estas limitaciones no le resulta aceptable, puede escribir una Rule para cifrar los datos y hacer que se conserven en el objeto user.app_metadata.

Más información