Saltar al contenido principal
A partir del 23 de octubre de 2026, Auth0 cambiará el modo de seguridad predeterminado para las aplicaciones de terceros nuevas creadas a través de la Management API. De forma predeterminada, las aplicaciones de terceros usarán controles de seguridad mejorados alineados con las prácticas recomendadas de OAuth 2.1.
Este cambio solo afecta a los inquilinos que ya usaban aplicaciones de terceros antes del 23 de abril de 2026, y solo afecta a las aplicaciones recién creadas. Sus aplicaciones de terceros existentes seguirán funcionando como hasta ahora, sin necesidad de realizar cambios.
Auth0 recomienda encarecidamente adoptar controles de seguridad mejorados para todas las nuevas aplicaciones de terceros. Los controles mejorados proporcionan autorización explícita para la API, uso obligatorio de PKCE y un conjunto de funciones más acotado, alineado con OAuth 2.1 y las prácticas recomendadas de seguridad. Las aplicaciones con controles mejorados también se beneficiarán de futuras capacidades, como límites de frecuencia por aplicación y herramientas de administración mejoradas. Sin embargo, puede conservar el comportamiento actual si lo necesita para casos de uso específicos. Para obtener más información sobre las aplicaciones de terceros, consulte Aplicaciones de terceros. Para ver una comparación detallada de lo disponible en cada modo, consulte Comparación de funcionalidades. Para obtener orientación sobre patrones de integración específicos, consulte Escenarios comunes.

¿Cómo te afecta?

Esta migración te afecta de dos maneras:

1. Valor predeterminado de Management API (deprecación)

Cuando cree aplicaciones de terceros mediante POST /api/v2/clients, el valor predeterminado de third_party_security_mode cambiará de permissive (comportamiento actual) a strict (controles de seguridad mejorados) el 23 de octubre de 2026. Todas las aplicaciones de terceros creadas mediante el Auth0 Dashboard ya usan controles de seguridad mejorados. Esto no se puede configurar desde el Auth0 Dashboard.

2. Registro dinámico de clientes (configuración independiente)

Si usa Registro dinámico de clientes, los clientes de DCR se controlan mediante una configuración independiente del inquilino, dynamic_client_registration_security_mode. Esto es independiente de la deprecación y requiere una decisión de configuración aparte.

Tareas de migración

Revise sus aplicaciones de terceros

Antes de elegir una ruta de migración, revise cómo operan sus aplicaciones de terceros para comprender sus requisitos actuales. Considere lo siguiente:
  • ¿Qué tipos de grant usan? (authorization code, implícito, credenciales de cliente, etc.)
  • ¿Requieren alcances de OIDC (openid, profile, email) o ID Token?
  • ¿Usan Classic Login o endpoints legados?
  • ¿Cómo se crean? (manualmente mediante Dashboard/API o dinámicamente mediante DCR)
Si tiene pocas aplicaciones de terceros, puede inspeccionarlas individualmente mediante Auth0 Dashboard o Management API. Cada aplicación incluye una propiedad third_party_security_mode que indica su modo de seguridad actual (strict o permissive). Refuerce las aplicaciones permisivas existentes: Considere revisar las políticas de acceso a la API de sus APIs y configurarlas como Require Client Grant cuando corresponda. Esto garantiza que las aplicaciones de terceros permisivas deban contar con un grant explícito para acceder a esas APIs. Tenga en cuenta que esta política también se aplica a las aplicaciones de primera parte, por lo que debe revisar sus integraciones existentes antes de cambiarla. Para comprender qué implican los controles de seguridad mejorados para sus integraciones, revise la Comparación de características a continuación y compruebe si su caso coincide con alguno de los Escenarios comunes. La sección de Preguntas frecuentes también responde dudas frecuentes sobre la migración.

Paso 1: Elija cómo crear nuevas aplicaciones de terceros

Decida si las nuevas aplicaciones de terceros creadas mediante la Management API deben usar el control de seguridad mejorado o conservar el comportamiento actual. Esta opción se aplica solo a POST /api/v2/clients. Las aplicaciones creadas con Auth0 Dashboard siempre usan controles mejorados. Complete la migración antes del 23 de octubre de 2026 para establecer los controles de seguridad mejorados como opción predeterminada. Este enfoque alinea sus aplicaciones de terceros con las prácticas recomendadas de OAuth 2.1 y las prepara para futuras funcionalidades.
1. Pruebe los controles de seguridad mejorados
Cree una aplicación de terceros de prueba con controles de seguridad mejorados para comprobar la compatibilidad: La respuesta incluirá un client_id con el prefijo tpc_ y third_party_security_mode: "strict".
2. Configurar los permisos predeterminados de la API
Las aplicaciones de terceros con control de seguridad mejorado requieren Client Grants explícitos para acceder a las API. Los permisos predeterminados definen un conjunto básico de API y alcances al que todas las aplicaciones de terceros pueden acceder automáticamente. Esto es importante para los clientes creados dinámicamente, cuando no puede configurar los permisos de cada aplicación de forma individual. También puede definir permisos específicos para aplicaciones concretas (por client_id) para otorgar un acceso más amplio o más restringido que el predeterminado. Cuando existen ambos, los permisos por aplicación tienen prioridad sobre los predeterminados.
  1. Vaya a Applications > APIs.
  2. Seleccione la API a la que quiere que accedan las aplicaciones de terceros.
  3. En la pestaña Settings, desplácese hasta Default Permissions for Third Party Apps.
  4. Seleccione Authorized para User Access y/o Client Access.
  5. Seleccione los alcances que desea otorgar.
  6. Haga clic en Save.
Puede configurar permisos predeterminados independientes para las aplicaciones de terceros para el acceso de usuarios (subject_type: "user") y el acceso Machine-to-Machine (subject_type: "client"). Para obtener más información, consulte Permisos predeterminados para aplicaciones de terceros.
3. Validar la compatibilidad
Pruebe sus flujos de trabajo para crear aplicaciones de terceros con los controles de seguridad mejorados habilitados. Confirme que:
  • Sus aplicaciones pueden usar los tipos de grant authorization_code, refresh_token y client_credentials
  • PKCE esté implementado en sus flujos de autorización
  • No necesita alcances de OIDC
  • No necesita Classic Login ni endpoints legados
  • Su inquilino no tiene Rules activas que deban ejecutarse para flujos de inicio de sesión de terceros. Rules no es compatible con las aplicaciones de terceros en modo estricto y producirá un error. Si usa Rules, considere migrar a Actions o usar el modo permisivo.
Si identifica problemas de compatibilidad, lea Solucionar problemas de aplicaciones de terceros.
4. Completa la migración
Una vez que hayas validado la compatibilidad, completa la migración desactivando la opción Create Permissive Third-Party Clients by Default:
Create Permissive Third-Party Clients Bt Default
En el Auth0 Dashboard:
  1. Ve a Settings > Advanced.
  2. Desplázate hasta la sección Migrations.
  3. Desactiva Create Permissive Third-Party Clients by Default.
  4. Selecciona Save.
Después de completar la migración, cuando crees aplicaciones de terceros mediante POST /api/v2/clients, puedes:
  • Omitir el parámetro third_party_security_mode (los controles mejorados se aplican de forma predeterminada), o
  • Establecer explícitamente third_party_security_mode: "strict"
Después del 23 de octubre de 2026: la opción Create Permissive Third-Party Clients by Default se desactivará automáticamente para todos los inquilinos elegibles. Para crear aplicaciones con el comportamiento actual, debes especificar explícitamente third_party_security_mode: "permissive" en la solicitud POST al endpoint /api/v2/clients.

Opción B: Conservar el comportamiento actual como predeterminado

Si necesita seguir creando aplicaciones de terceros con el comportamiento actual como predeterminado, puede mantener activado el interruptor Crear clientes permisivos de terceros de forma predeterminada hasta que esté listo para adoptar controles de seguridad mejorados.
Esta opción conserva sus flujos de trabajo actuales, pero no ofrece las ventajas de seguridad de los controles mejorados. Auth0 recomienda encarecidamente adoptar controles de seguridad mejorados para todas las aplicaciones de terceros nuevas.
Antes de la fecha límite
El interruptor Create Permissive Third-Party Clients by Default permanece habilitado (no es necesario realizar ninguna acción en el propio interruptor). Sin embargo, debe preparar sus flujos de trabajo para especificar explícitamente el modo de seguridad después de la fecha límite. Actualice el código de creación de la aplicación para pasar explícitamente third_party_security_mode: "permissive": Pruebe este enfoque antes de la fecha límite para asegurarse de que sus flujos de trabajo procesen correctamente el parámetro explícito.
Después de la fecha límite
El 23 de octubre de 2026, el interruptor Create Permissive Third-Party Clients by Default se desactivará automáticamente. Para seguir creando aplicaciones con el comportamiento actual, debe establecer explícitamente third_party_security_mode: "permissive" en cada solicitud POST /api/v2/clients. Si omite el parámetro third_party_security_mode, se aplicarán controles de seguridad mejorados de forma predeterminada.

Paso 2: Elija cómo gestionar Registro dinámico de clientes

Si utiliza Registro dinámico de clientes, configure por separado el modo de seguridad de los clientes de DCR. Esto es independiente del cambio del valor predeterminado de Management API y puede configurarlo en cualquier momento.
Antes de habilitar los controles de seguridad mejorados para DCR, asegúrese de haber configurado los permisos predeterminados de la API para las aplicaciones de terceros. Sin permisos predeterminados, los clientes de DCR no podrán acceder a ninguna API.

Revise el comportamiento actual de DCR

Verifique la configuración actual del modo de seguridad de DCR:
  1. Vaya a Settings > Advanced. En Dynamic Client Registration (DCR) Security Mode, verifique el valor actual.
Configuración avanzada del inquilino en Auth0 Dashboard con el menú desplegable de DCR Security Mode

Configurar el modo de seguridad de DCR

Elija el modo de seguridad que desea para los clientes registrados dinámicamente: Opción A: Controles de seguridad mejorados para clientes de DCR (recomendado)
Antes de habilitar el modo estricto para DCR, configure los permisos predeterminados de la API para las aplicaciones de terceros. Sin permisos predeterminados, los clientes de DCR no podrán acceder a ninguna API.
Establezca dynamic_client_registration_security_mode en strict: Opción B: Mantener el comportamiento actual para los clientes de DCR Mantenga dynamic_client_registration_security_mode en permissive o establézcalo en ese valor: Para obtener más información, consulte Registro dinámico de clientes.

Comparación de funcionalidades

La siguiente tabla compara las capacidades disponibles en cada modo de seguridad:
FuncionalidadControles de seguridad mejoradosComportamiento existente
Tipos de grantauthorization_code, refresh_token, client_credentialsTodos los tipos de grant disponibles
PKCEObligatorioOpcional
OIDCNo disponible. Está previsto para una futura versión.Compatible
Autorización de APISiempre requiere un client grant explícitoSigue la política de acceso de la API
Classic LoginNo compatibleCompatible
Endpoints legadosNo disponiblesDisponibles
Formato del ID de clientePrefijo tpc_Formato estándar
Propiedades configurablesConjunto limitado de propiedadesTodas las propiedades
Capacidades futurasLímites de frecuencia y futuras capacidades mejoradas de seguridad y administraciónNo disponibles
Creación desde el DashboardSiempre usa controles de seguridad mejoradosNo disponible desde el Dashboard

Escenarios comunes

Escenario 1: Integraciones de partner que usan OAuth moderno

Situación: Tiene integraciones de partner que usan el flujo de código de autorización con PKCE y acceden a sus API. Recomendación: Adopte controles de seguridad mejorados (Opción A). Esta opción es totalmente compatible con las implementaciones modernas de OAuth y aporta beneficios de seguridad adicionales. Pasos:
  1. Configure los permisos predeterminados de API para sus API
  2. Pruebe a crear una aplicación de partner con third_party_security_mode: "strict"
  3. Complete la migración desactivando el interruptor de migración

Escenario 2: Aplicaciones que requieren OIDC

Situación: Sus aplicaciones de terceros requieren alcances de OIDC (openid, profile, email) o ID Token. Recomendación: La compatibilidad con OIDC para aplicaciones de terceros está prevista para una versión futura. Hasta entonces, conserve el comportamiento actual (Opción B) o migre a tokens de acceso con alcances de API. Pasos:
  • Si debe usar OIDC, mantenga activado el selector de migración y pase explícitamente third_party_security_mode: "permissive" al crear aplicaciones
  • Como alternativa, actualice sus integraciones para usar alcances de API en lugar de alcances de OIDC

Escenario 3: Registro dinámico de clientes (MCP, agentes de IA)

Situación: Utiliza DCR para agentes de IA, servidores MCP o aplicaciones del portal para desarrolladores. Recomendación: Configure dynamic_client_registration_security_mode: "strict" y establezca permisos predeterminados de API. Los clientes MCP (Claude Code, VS Code) son compatibles con controles de seguridad mejorados. Pasos:
  1. Configure los permisos predeterminados de API
  2. Establezca dynamic_client_registration_security_mode: "strict" mediante la Management API
  3. Realice una prueba con un registro de DCR
  4. Verifique que los clientes DCR puedan obtener tokens de acceso

Escenario 4: Aplicaciones que usan Classic Login

Situación: Sus aplicaciones de terceros usan Classic Login en lugar de Universal Login. Recomendación: Classic Login no es compatible con aplicaciones de terceros con controles de seguridad mejorados. Migre a Universal Login o mantenga el comportamiento existente. Pasos:
  • Recomendado: Migre a Universal Login antes de adoptar controles de seguridad mejorados
  • Alternativa: Mantenga habilitado el selector de migración y use explícitamente third_party_security_mode: "permissive"

Solución de problemas

Para obtener más información sobre cómo resolver errores comunes durante la migración, consulte Solución de problemas de aplicaciones de terceros.

Preguntas frecuentes

¿Puedo cambiar el modo de seguridad de una aplicación existente?

No. El third_party_security_mode se establece cuando se crea la aplicación y no se puede modificar después. Para usar otro modo de seguridad, cree una aplicación nueva.

¿Qué ocurre con mis aplicaciones de terceros actuales?

Nada. Las aplicaciones de terceros existentes seguirán funcionando exactamente igual que hoy. Esta migración solo afecta la configuración predeterminada de las aplicaciones que se creen a partir de ahora.

¿Puedo usar ambos modos de seguridad en el mismo inquilino?

Sí. Puede tener algunas aplicaciones de terceros con controles de seguridad mejorados y otras con el comportamiento actual. El modo de seguridad se configura por aplicación.

¿Qué sucede con Registro dinámico de clientes?

DCR se controla mediante una configuración independiente del inquilino, dynamic_client_registration_security_mode. Esto es independiente de la deprecación y requiere una decisión de configuración propia. Para obtener más información, consulte Registro dinámico de clientes.

¿Puedo crear aplicaciones con el comportamiento actual después de la fecha límite?

Sí, pero solo mediante la Management API. Establezca explícitamente third_party_security_mode: "permissive" al crear cada aplicación. Auth0 Dashboard no permite crear aplicaciones con el comportamiento actual.

¿Las funciones futuras serán compatibles con el comportamiento actual?

Algunas funciones futuras (como los límites de frecuencia a nivel de aplicación) solo estarán disponibles para las aplicaciones con controles de seguridad mejorados.

Más información