Funcionalidades obsoletas y migraciones

Estamos migrando activamente a los clientes a nuevos comportamientos para todas las funcionalidades obsoletas que se enumeran a continuación. Revise esta información detenidamente para asegurarse de haber tomado las medidas necesarias para evitar interrupciones del servicio. También puede buscar en los registros del inquilino cualquier error causado por el uso de funciones obsoletas. Para obtener más información, lea Buscar errores de obsolescencia en los registros. Si tiene alguna pregunta, visite la Community o cree un ticket en nuestro Centro de soporte. Para obtener más información, también puede leer Proceso de migración.

Seguridad mejorada para aplicaciones de terceros

Obsoleto: 23 de abril de 2026 Fin de vida útil: 23 de octubre de 2026 Auth0 está introduciendo controles de seguridad mejorados para aplicaciones de terceros, alineados con las prácticas recomendadas de OAuth 2.1. A partir de la fecha de fin de vida, cuando cree una nueva aplicación de terceros mediante POST /api/v2/clients sin especificar third_party_security_mode, Auth0 aplicará automáticamente controles de seguridad mejorados (strict). Este cambio solo afecta a los inquilinos que ya usaban aplicaciones de terceros antes del 23 de abril de 2026 y solo repercute en las aplicaciones creadas a partir de entonces. Sus aplicaciones de terceros existentes seguirán funcionando como hasta ahora, sin necesidad de realizar cambios. Los controles mejorados proporcionan autorización explícita de API, uso obligatorio de PKCE y un conjunto de funcionalidades más acotado, alineado con OAuth 2.1 y las prácticas recomendadas de seguridad. Para prepararse para este cambio, revise Migración a la seguridad mejorada para aplicaciones de terceros para verificar si se ve afectado, configurar los permisos predeterminados de la API y elegir la ruta de migración.

Administración heredada de los clientes habilitados de una conexión

Obsoleto: 13 de enero de 2026 Fin de vida útil: 13 de julio de 2026 El campo enabled_clients, dentro del objeto de conexión de la Management API, está obsoleto en los siguientes escenarios:

Obtener varias conexiones mediante (GET - /api/v2/connections).
Obtener una conexión mediante (GET - /api/v2/connections/{id}).
Actualizar una conexión mediante (PATCH - /api/v2/connections/{id}).

Como alternativa a la funcionalidad obsoleta, están disponibles dos nuevos endpoints de la Management API:

Para prepararse para este cambio y garantizar que sus integraciones sigan funcionando correctamente, revise Migrar la administración de clientes habilitados a endpoints dedicados de conexión para comprobar si su caso se ve afectado y migrar a los nuevos endpoints.

Suites de cifrado TLS 1.2 débiles

Obsoleto: 10 de diciembre de 2025 Fin de vida útil: 10 de junio de 2026 Después de la fecha de fin de vida útil, exigiremos el uso de suites de cifrado modernas al conectarse a los endpoints de servicio y las aplicaciones web de Auth0. Dejaremos de admitir suites de cifrado TLS 1.2 que ya no proporcionan la seguridad suficiente para proteger las comunicaciones de red. Más concretamente, el cambio en las suites de cifrado admitidas se aplica a:

Los dominios predeterminados de los inquilinos de nube pública y privada; por ejemplo, [tenant_name].eu.auth0.com.
- Los dominios personalizados de los inquilinos de nube pública y privada.
- Las aplicaciones web relacionadas con el servicio, como el Dashboard (manage.auth0.com) o el Marketplace (marketplace.auth0.com).
- La red de distribución de contenido (CDN) de Auth0. Para obtener más información, consulte Auth0 Public Cloud Service Endpoints.

La lista de suites de cifrado retiradas está disponible a continuación. La lista incluye el código hexadecimal único que identifica cada suite de cifrado junto con su nombre de IANA; para ver los nombres correspondientes de OpenSSL, siga los enlaces a ciphersuite.info. Suites de cifrado TLS 1.2 programadas para su retirada:

0xC0, 0x09 - TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- 0xC0, 0x0A - TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
- 0xC0, 0x23 - TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- 0xC0, 0x24 - TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- 0xC0, 0x13 - TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- 0xC0, 0x14 - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- 0xC0, 0x27 - TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- 0xC0, 0x28 - TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- 0x00, 0x9C - TLS_RSA_WITH_AES_128_GCM_SHA256
- 0x00, 0x2F - TLS_RSA_WITH_AES_128_CBC_SHA
- 0x00, 0x9D - TLS_RSA_WITH_AES_256_GCM_SHA384
- 0x00, 0x35 - TLS_RSA_WITH_AES_256_CBC_SHA
- 0x00, 0x3C - TLS_RSA_WITH_AES_128_CBC_SHA256
- 0x00, 0x3D - TLS_RSA_WITH_AES_256_CBC_SHA256

Pantalla para el nombre de la organización sin SSO

Obsoleto: 31 de octubre de 2025 Fin de vida útil: 1 de mayo de 2026 Los flujos de inicio de sesión iniciados en el contexto de aplicaciones cliente asociadas a usuarios empresariales (organization_usage=require) y configuradas para solicitar la organización al inicio del flujo de inicio de sesión (organization_require_behavior=pre_login_prompt) tendrán en cuenta una sesión autenticada existente. Anteriormente, el servicio solicitaba al usuario el nombre de la organización y, posteriormente, el usuario debía iniciar sesión. Por ejemplo, un usuario con una cuenta con contraseña tenía que volver a introducir sus credenciales aunque existiera una sesión autenticada válida para la organización seleccionada. Obsoleto: 28 de octubre de 2025 Fin de vida útil: 28 de abril de 2026 Auth0 recomienda la transición a callbacks basados en HTTPS mediante Android App Links y Apple Universal Links, siempre que sea posible, en todas las aplicaciones nativas que utilicen el Flujo de código de autorización, para mejorar la seguridad y mitigar los riesgos de suplantación de aplicaciones y ataques de phishing. Además, Auth0 está implementando una nueva pantalla de confirmación de Login para las solicitudes de autenticación que utilizan esquemas de URI personalizados o URI de loopback como callback. Esta pantalla aparecerá en situaciones en las que antes se devolvía una respuesta sin requerir ninguna interacción del usuario. Revise Migrar a la confirmación del usuario final para URI de callback no verificables para obtener más detalles.

Validación de audiencia para la autenticación con Private Key JWT

Obsoleto: 6 de octubre de 2025 Fin de vida útil: 8 de abril de 2025 Al validar las aserciones JWT usadas para la autenticación de aplicaciones cliente, Auth0 impondrá requisitos más estrictos y aceptará únicamente el identificador del emisor de un inquilino como un único valor de cadena JSON en el claim aud (audiencia). La posibilidad de proporcionar un claim aud con cualquiera de los enfoques que se enumeran a continuación está obsoleta, y el servicio dejará de admitirlos después de la fecha de fin de vida útil:

Una matriz JSON de cadenas, siempre que una de las entradas contenga un identificador de emisor válido o una URL de endpoint válida para el inquilino y el endpoint correspondientes ante los que se autentica el cliente.
Una única cadena JSON que represente una URL de endpoint válida para el inquilino y el endpoint correspondientes ante los que se autentica el cliente.

Antes de la fecha de fin de vida útil, las conexiones empresariales de OIDC configuradas para usar Private Key JWT en solicitudes autenticadas al Proveedor de identidad ascendente incorporarán la capacidad de permitir el uso del identificador de emisor correspondiente, representado como una cadena JSON en el claim “aud” incluido en las aserciones JWT.

Atributos extendidos en conexiones de la API de identidad de Azure Active Directory (v1)

Obsoleto: 18 de junio de 2025 Fin de vida: 1 de septiembre de 2025 Debido a la obsolescencia de Azure AD Graph y a su retirada programada, Auth0 dejará de admitir la activación de opciones relacionadas con los atributos extendidos en las conexiones de Microsoft Azure AD (strategy=waad) configuradas para usar la API de identidad de Azure Active Directory (v1). Si recibiste una notificación por correo electrónico, es posible que uno o más de tus inquilinos tengan una conexión de Microsoft Azure AD orientada a la API de identidad Azure Active Directory (v1) y configurada para obtener atributos extendidos, por lo que podrían verse afectados. Debes revisar los inquilinos correspondientes. En el caso de las conexiones que dependan de la funcionalidad obsoleta, debes hacer una de estas dos cosas:

Actualizar las conexiones para que apunten a Microsoft Identity Platform (v2), de modo que se usen los endpoints de Microsoft Graph en lugar del obsoleto Azure AD Graph al recuperar información de atributos extendidos.
Desactivar todas las opciones de atributos extendidos.

Aunque la segunda opción anterior te permitiría mantener conexiones orientadas a la API de identidad Azure Active Directory (v1) si la información extendida no es necesaria, la recomendación general es apuntar a Microsoft Identity Platform (v2). Para obtener más información, consulta Conecta tu aplicación a Microsoft Azure Active Directory. Para obtener más información sobre la obsolescencia, ponte en contacto con Auth0 Support.

Extensión Real-Time Webtask Logs

Obsoleta: 18 de junio de 2025 Fin de vida útil: 16 de septiembre de 2025 La extensión Real-time Webtask Logs está obsoleta y su fin de vida útil (EOL) está previsto para después del 16 de septiembre de 2025. Como alternativa, la funcionalidad Actions Real-time Logs está disponible directamente en el Auth0 Dashboard. La extensión dejará de estar disponible para nuevas instalaciones, pero los inquilinos que ya la tengan instalada mantendrán el acceso hasta la fecha de EOL prevista.

Eliminar el acceso a propiedades específicas de la solicitud del evento en Actions

Obsoleto: 18 de junio de 2025 Fin de vida útil: 16 de septiembre de 2025 Auth0 restringirá el acceso a nombres de propiedades adicionales dentro de los objetos event.request.query y event.request.body al ejecutar Actions para los activadores post-login y credentials-exchange. Solo los inquilinos en los que se haya identificado el uso de Actions para hacer referencia a propiedades de solicitud cuya restricción está prevista mantendrán el acceso hasta el 16 de septiembre de 2025. El servicio restringirá los siguientes nombres de propiedades en los objetos relacionados con la solicitud:

auth_session
authn_response
client_secret
client_assertion
refresh_token

Varias Actions para los activadores personalizados de proveedor de teléfono y de correo electrónico

Obsoleto: 16 de junio de 2025 Fin de vida útil: 16 de diciembre de 2025 Auth0 está introduciendo un límite máximo de una Action para las Actions asociadas a los siguientes activadores:

custom-phone-provider
custom-email-provider

Esta limitación se aplica al endpoint de la Management API Crear una Action (POST - /api/v2/actions/actions). Una vez que el nuevo límite entre en vigor para un inquilino determinado, los intentos de crear varias Actions para estos activadores fallarán.

Flujo no personalizable del correo electrónico de desbloqueo de la protección contra ataques de fuerza bruta

Obsoleto: 9 de junio de 2025 Fin de vida útil: 9 de diciembre de 2025 Está disponible una versión actualizada del flujo de desbloqueo por correo electrónico para la protección contra ataques de fuerza bruta que admite personalización y localización mediante Universal Login, y mejora la experiencia en situaciones en las que los escáneres de seguridad del correo electrónico procesan el correo de desbloqueo.

Campo `fromSandbox` en las respuestas de error de Authentication API

Obsoleto: 11 de junio de 2025 Fin de vida útil: 11 de diciembre de 2025 Las respuestas de error de Authentication API ya no devolverán el campo fromSandbox en los flujos que requieran invocar scripts personalizados de base de datos. Por ejemplo, una respuesta de error de API en el contexto de un flujo de registro de usuario final para una conexión de base de datos personalizada ya no devolverá este campo. Obsoleto: 13 de mayo de 2025 Fin de vida: 13 de noviembre de 2025 Al actualizar el host, el puerto o el nombre de usuario de un proveedor de correo electrónico SMTP mediante una solicitud PATCH al endpoint /api/v2/emails/provider, es posible que deba especificar una contraseña para el campo credentials.smtp_pass. El objeto credentials de un proveedor de correo electrónico SMTP admite los siguientes campos:

credentials.smtp_pass: contraseña del proveedor de correo electrónico SMTP
credentials.smtp_host: host del proveedor de correo electrónico SMTP
credentials.smtp_port: puerto del proveedor de correo electrónico SMTP
credentials.smtp_user: nombre de usuario del proveedor de correo electrónico SMTP

Auth0 requiere un valor explícito para el campo credentials.smtp_pass en los siguientes casos:

Cuando actualiza los campos credentials.smtp_host, credentials.smtp_port o credentials.smtp_user de un proveedor de correo electrónico SMTP con un valor distinto del existente, o cuando actualiza solo un subconjunto de esos tres campos.

Auth0 no requiere un valor explícito para el campo credentials.smtp_pass en los siguientes casos:

Cuando actualiza un proveedor de correo electrónico SMTP y el cuerpo de la solicitud incluye los mismos valores que los valores existentes para los campos credentials.smtp_host, credentials.smtp_port y credentials.smtp_user.

Paginación basada en desplazamiento sin restricciones en la Management API de conexiones

Obsoleto: 29 de abril de 2025 Fin de vida útil: 27 de octubre de 2025 La paginación basada en desplazamiento disponible para el endpoint obtener todas las conexiones de la Management API dejará de permitir recuperar resultados paginados más allá de las primeras 1000 conexiones. Por ejemplo, el servicio devolverá una respuesta de error si se usa page=30&per_page=50 o page=15&per_page=100. En ambos casos, al multiplicar la cantidad de registros solicitados por página por el índice de página solicitado más uno (para tener en cuenta que el índice de página comienza en cero), la solicitud supera las 1000 conexiones iniciales. Por lo tanto, con un tamaño de página de 50, el último índice de página que puede solicitar sin errores es 19 (page=19&per_page=50), y con el tamaño de página máximo de 100, puede solicitar hasta el índice de página 9 (page=9&per_page=100). Las solicitudes que superen el límite devolverán el error incluso si el inquilino asociado a la solicitud tiene menos de 1000 conexiones.

Entornos de ejecución de extensibilidad de Node.js 12 y 16

Obsoleto: 10 de febrero de 2025 Fin de vida útil: 15 de agosto de 2025 Los entornos de ejecución de extensibilidad de Node.js 12 y 16 dejarán de estar disponibles gradualmente en los inquilinos de Auth0. Una vez eliminados, todas las integraciones de extensibilidad, como Actions, Rules, Hooks, conexiones de base de datos personalizadas y conexiones sociales personalizadas, deberán ejecutarse en Node 22. Para consultar recursos técnicos relevantes para la migración a Node 22, lea Migrar de Node 12 y 16 a Node 18 y Migrar de Node 18 a Node 22.

Nuevos alcances de Management API necesarios para las opciones de conexión

Obsoleto: 24 de octubre de 2024 Fin de la vida útil: 8 de julio de 2025 Las solicitudes a los siguientes endpoints de Management API requerirán el scope read:connections_options para ver el campo options:

Las solicitudes a los siguientes endpoints de Management API requerirán el scope update:connections_options para modificar el campo options:

Connections > Actualizar una conexión

Obsolescencia de Rules y Hooks

Obsoleto: 16 de mayo de 2023 Transición a solo lectura: 18 de noviembre de 2024 Fin de vida útil: 18 de noviembre de 2026 Después del 18 de noviembre de 2026, Rules y Hooks dejarán de ejecutarse y se eliminarán. El 18 de noviembre de 2024, los Rules y Hooks activos seguirán ejecutándose, pero pasarán a modo de solo lectura. Auth0 ha pospuesto la eliminación de la funcionalidad de Rules y Hooks para una fecha futura. Los Rules y Hooks en modo de solo lectura se pueden activar y desactivar, y sus respectivos valores de configuración o secretos se pueden modificar, pero su código fuente no se puede editar desde el Dashboard o la Management API, incluidas herramientas de CI/CD como Terraform y Auth0 Deploy CLI. Si no podrá migrar a Actions antes de la transición a solo lectura, asegúrese de que cualquier flujo automatizado de CI/CD que haya configurado para desplegar cambios en la configuración del inquilino no intente realizar operaciones de administración no compatibles en Rules y Hooks. Para obtener más información, consulte Migrar de Rules a Actions y Migrar de Hooks a Actions. Obsoleto: 23 de agosto de 2024 Fin de vida útil: 31 de julio de 2025 Auth0 eliminará la posibilidad de usar la IU heredada que no cumple con la normativa para . La nueva versión compatible con WCAG garantiza que los usuarios finales, incluidos quienes dependen de tecnologías de asistencia, puedan acceder a un producto o servicio de un cliente e interactuar con él. Consulte nuestra documentación de accesibilidad de Universal Login para obtener más información.

​Seguridad mejorada para aplicaciones de terceros

​Administración heredada de los clientes habilitados de una conexión

​Suites de cifrado TLS 1.2 débiles

​Pantalla para el nombre de la organización sin SSO

​Login sin confirmar con redirecciones de URI de callback no verificables

​Validación de audiencia para la autenticación con Private Key JWT

​Atributos extendidos en conexiones de la API de identidad de Azure Active Directory (v1)

​Extensión Real-Time Webtask Logs

​Eliminar el acceso a propiedades específicas de la solicitud del evento en Actions

​Varias Actions para los activadores personalizados de proveedor de teléfono y de correo electrónico

​Flujo no personalizable del correo electrónico de desbloqueo de la protección contra ataques de fuerza bruta

​Campo fromSandbox en las respuestas de error de Authentication API

​Permitir omitir la contraseña al realizar cambios relacionados con el host del proveedor de correo electrónico SMTP

​Paginación basada en desplazamiento sin restricciones en la Management API de conexiones

​Entornos de ejecución de extensibilidad de Node.js 12 y 16

​Nuevos alcances de Management API necesarios para las opciones de conexión

​Obsolescencia de Rules y Hooks

​Active la IU compatible con WCAG 2.2 AA para Universal Login

​Más información