Saltar al contenido principal
La lista de control de acceso del inquilino (ACL) le permite gestionar el tráfico hacia sus servicios de Auth0 mediante reglas configurables. Le ayuda a proteger su inquilino y a evitar agotar sus límites de tasa ante posibles amenazas, como ataques de denegación de servicio (DoS), y garantiza que solo los usuarios legítimos accedan a sus aplicaciones.

Cómo funciona

Cuando su inquilino o recibe una solicitud, Tenant ACL procesa esa solicitud y determina cómo responder según las reglas que haya configurado. Por ejemplo, si está implementando Model Context Protocols (MCP) en su inquilino, podría usar el scope dcr para evitar riesgos como el registro no autorizado de aplicaciones o intentos de phishing a través de nombres de aplicaciones engañosos. Para obtener más información, consulte Referencias.

Rules

Rules son los bloques de construcción de la funcionalidad Tenant ACL. Una regla se compone de los siguientes elementos:
  • Signal: La señal es un dato identificador que proporciona la solicitud entrante, como la dirección IP, la geolocalización o el agente de usuario.
  • Condition: La condición es la combinación de un operador (como match) y un conjunto de valores (como una lista de direcciones IP).
  • Action: La acción es la directiva que ejecuta la regla si se cumplen los criterios, como permitir, bloquear o redirigir.
  • Scope: El scope indica a qué conjuntos de endpoints se aplica la regla, incluidos Authentication API, Management API o todo el inquilino.
  • Priority: La prioridad define el orden en que se ejecuta la regla con respecto a otras reglas.

Importancia de la prioridad

Es importante determinar la prioridad correcta de sus reglas, ya que existe una lógica de ejecución estricta que debe seguir:
  • Orden de evaluación: Tenant ACL evalúa las reglas en orden numérico, y los números más bajos se ejecutan primero. Por ejemplo, una regla con prioridad 1 se ejecuta antes que una con prioridad 2, y una con prioridad 3 se ejecuta antes que una con prioridad 4.
  • Detención tras una coincidencia: Si se cumplen las condiciones de una regla, Tenant ACL ejecuta inmediatamente la acción de la regla y no evalúa las reglas ni las listas posteriores.​
  • Excepción del modo de supervisión: Si se cumplen las condiciones de una regla, pero está en modo de supervisión, Tenant ACL no realiza ninguna acción y pasa a la siguiente regla.
Asignar cuidadosamente las prioridades le permite crear políticas de control de acceso granulares adaptadas a sus necesidades.

Modo de supervisión

Cuando una regla está en modo de supervisión, Tenant ACL evalúa esa regla como lo haría normalmente y emite un evento en el registro del inquilino, pero no ejecuta la acción de la regla ni detiene la evaluación de las reglas y listas siguientes. El modo de supervisión es la mejor manera de probar cómo afectaría tu regla de Tenant ACL al tráfico entrante sin interferir con tu configuración actual de Tenant ACL. Puedes activar o desactivar el modo de supervisión de una regla actualizando el objeto action. Para obtener más información, consulta Configurar reglas.

Registro

Se crea un evento de registro (acls_summary) cada 10 minutos para cada regla de Tenant ACL, con detalles sobre cómo esa regla afecta al tráfico.
acls_summary
object

Restricciones y limitaciones

  • Los clientes con un plan Enterprise pueden crear 1 Tenant ACL.
  • Los clientes con un plan Enterprise con el complemento Attack Protection pueden crear hasta 10 Tenant ACL.
  • Cada Tenant ACL puede incluir hasta 20 entradas por identificador de origen (como IPv4, CIDR, entre otros).
  • El identificador User Agent no se admite cuando se usan dominios personalizados autogestionados.
  • El encabezado auth0-fowarded-for no se admite.

Más información