Identidad y acceso
SSO, aprovisionamiento SCIM y desbloqueo sin contraseña.
Inicio de sesión OIDC con tu IdP, SCIM 2.0 para aprovisionar usuarios y grupos de forma automática, y passkeys WebAuthn-PRF que desbloquean tu bóveda E2EE sin escribir una frase de contraseña. Las reclamaciones de grupo del IdP se asignan automáticamente a tus equipos y roles.
IdP
Okta / Entra / Google
OIDC + SCIM
login + provisioning
Synaptyx
teams · roles · passkey unlock
Cómo funciona
1
El usuario hace clic en "Iniciar sesión con SSO"
Descubrimiento OIDC estándar a partir del dominio del correo de trabajo.
2
Redirección OIDC
Hacia tu IdP: Okta, Entra, Google, cualquiera con OIDC.
3
SCIM sincroniza y aprovisiona JIT
El usuario se crea en el primer inicio de sesión. Las reclamaciones de grupo se asignan a tus equipos y roles.
4
La passkey desbloquea el E2EE
WebAuthn-PRF deriva la clave de envoltura. Sin escribir una frase de contraseña. Tu clave maestra nunca sale del dispositivo.
Análisis a fondo
Aprovisionamiento SCIM 2.0
La baja en tu IdP se propaga en segundos. Sin accesos huérfanos. Endpoints estándar /scim/v2/Users y /Groups.
Asignación de grupo a equipo/rol
Las reclamaciones de grupo del IdP se asignan automáticamente a tus equipos y roles de Synaptyx: se configuran por empresa y se aplican en cada inicio de sesión SSO, tanto para usuarios nuevos (JIT) como recurrentes.
Desbloqueo automático con WebAuthn-PRF
La passkey produce una salida PRF determinista. HKDF deriva la clave de envoltura de tu bóveda E2EE. No vemos ni la passkey ni la clave derivada.
Ejemplo de asignación SCIM
config · scim_mapping.yaml
oidc_claims:
user_id: sub
email: email
display: name
groups: groups
group_mapping:
# IdP group → team role
acme-platform-eng → platform admin
acme-backend-eng → backend member
acme-design → design member
acme-security-team → [platform, backend] viewer
defaults:
role: viewer
team: unassigned
La baja en tu IdP = revocación instantánea aquí.
Desactiva a un usuario en Okta un viernes por la tarde: su acceso desaparece antes de que cierre el portátil. Sin la duda del lunes de "¿alguien se acordó de quitar…?".
Comparativa
| Synaptyx | Gestión manual de usuarios | SSO sin SCIM | |
|---|---|---|---|
| Aprovisionamiento JIT | en el primer inicio de sesión | creación manual | el login funciona · sin perfil |
| Desaprovisionamiento automático | envío SCIM | manual | obsoleto hasta hacerlo a mano |
| Asignación de grupo a rol | las reclamaciones de grupo del IdP se asignan automáticamente a roles y equipos | asignación a mano | solo rol por defecto |
| Desbloqueo sin contraseña | WebAuthn-PRF | solo contraseña | reserva con contraseña |
| Compatibilidad con E2EE | preserva el conocimiento cero | N/D | a menudo rompe el E2EE |
Preguntas frecuentes
Cualquier IdP con OIDC y SCIM 2.0. Probados: Okta, Microsoft Entra ID (Azure AD), Google Workspace, JumpCloud, OneLogin, Auth0. Otros proveedores OIDC deberían funcionar; abre una incidencia si no es así.
No: OIDC por sí solo funciona, con aprovisionamiento JIT en el primer inicio de sesión. Pero sin SCIM pierdes el desaprovisionamiento automático y la sincronización de grupos. La mayoría de los clientes empresariales activan SCIM.
Tu IdP gestiona la MFA: nosotros delegamos. Si tu IdP exige MFA al iniciar sesión o verificación adicional para acciones sensibles, esas políticas se aplican igualmente.
WebAuthn-PRF devuelve un secreto determinista derivado dentro del autenticador. Usamos HKDF para expandirlo hasta la clave de envoltura de tu bóveda, todo del lado del cliente. Nosotros solo vemos el blob cifrado de la bóveda.
¿Listo para gobernar tu infraestructura de IA?
Solicita acceso en minutos, o habla con nosotros sobre tu despliegue aislado de la red.