Saltar al contenido
Synaptyx
Identidad y acceso

SSO, aprovisionamiento SCIM y desbloqueo sin contraseña.

Inicio de sesión OIDC con tu IdP, SCIM 2.0 para aprovisionar usuarios y grupos de forma automática, y passkeys WebAuthn-PRF que desbloquean tu bóveda E2EE sin escribir una frase de contraseña. Las reclamaciones de grupo del IdP se asignan automáticamente a tus equipos y roles.

IdP
Okta / Entra / Google
OIDC + SCIM
login + provisioning
Synaptyx
teams · roles · passkey unlock

Cómo funciona

1
El usuario hace clic en "Iniciar sesión con SSO"
Descubrimiento OIDC estándar a partir del dominio del correo de trabajo.
2
Redirección OIDC
Hacia tu IdP: Okta, Entra, Google, cualquiera con OIDC.
3
SCIM sincroniza y aprovisiona JIT
El usuario se crea en el primer inicio de sesión. Las reclamaciones de grupo se asignan a tus equipos y roles.
4
La passkey desbloquea el E2EE
WebAuthn-PRF deriva la clave de envoltura. Sin escribir una frase de contraseña. Tu clave maestra nunca sale del dispositivo.

Análisis a fondo

Aprovisionamiento SCIM 2.0
La baja en tu IdP se propaga en segundos. Sin accesos huérfanos. Endpoints estándar /scim/v2/Users y /Groups.
Asignación de grupo a equipo/rol
Las reclamaciones de grupo del IdP se asignan automáticamente a tus equipos y roles de Synaptyx: se configuran por empresa y se aplican en cada inicio de sesión SSO, tanto para usuarios nuevos (JIT) como recurrentes.
Desbloqueo automático con WebAuthn-PRF
La passkey produce una salida PRF determinista. HKDF deriva la clave de envoltura de tu bóveda E2EE. No vemos ni la passkey ni la clave derivada.

Ejemplo de asignación SCIM

config · scim_mapping.yaml
oidc_claims: user_id: sub email: email display: name groups: groups group_mapping: # IdP group → team role acme-platform-eng platform admin acme-backend-eng backend member acme-design design member acme-security-team [platform, backend] viewer defaults: role: viewer team: unassigned

La baja en tu IdP = revocación instantánea aquí.

Desactiva a un usuario en Okta un viernes por la tarde: su acceso desaparece antes de que cierre el portátil. Sin la duda del lunes de "¿alguien se acordó de quitar…?".

Comparativa

SynaptyxGestión manual de usuariosSSO sin SCIM
Aprovisionamiento JITen el primer inicio de sesióncreación manualel login funciona · sin perfil
Desaprovisionamiento automáticoenvío SCIMmanualobsoleto hasta hacerlo a mano
Asignación de grupo a rollas reclamaciones de grupo del IdP se asignan automáticamente a roles y equiposasignación a manosolo rol por defecto
Desbloqueo sin contraseñaWebAuthn-PRFsolo contraseñareserva con contraseña
Compatibilidad con E2EEpreserva el conocimiento ceroN/Da menudo rompe el E2EE

Preguntas frecuentes

Cualquier IdP con OIDC y SCIM 2.0. Probados: Okta, Microsoft Entra ID (Azure AD), Google Workspace, JumpCloud, OneLogin, Auth0. Otros proveedores OIDC deberían funcionar; abre una incidencia si no es así.
No: OIDC por sí solo funciona, con aprovisionamiento JIT en el primer inicio de sesión. Pero sin SCIM pierdes el desaprovisionamiento automático y la sincronización de grupos. La mayoría de los clientes empresariales activan SCIM.
Tu IdP gestiona la MFA: nosotros delegamos. Si tu IdP exige MFA al iniciar sesión o verificación adicional para acciones sensibles, esas políticas se aplican igualmente.
WebAuthn-PRF devuelve un secreto determinista derivado dentro del autenticador. Usamos HKDF para expandirlo hasta la clave de envoltura de tu bóveda, todo del lado del cliente. Nosotros solo vemos el blob cifrado de la bóveda.

¿Listo para gobernar tu infraestructura de IA?

Solicita acceso en minutos, o habla con nosotros sobre tu despliegue aislado de la red.

Comenzar