Identiteetti ja pääsynhallinta
SSO, SCIM-provisiointi ja salasanaton avaus.
OIDC-kirjautuminen IdP:hesi, SCIM 2.0 käyttäjien ja ryhmien automaattiseen provisiointiin sekä WebAuthn-PRF-salausavaimet, jotka avaavat E2EE-holvisi ilman salasanan kirjoittamista. IdP-ryhmävaatimukset kartoitetaan automaattisesti tiimeihisi ja rooleihisi.
IdP
Okta / Entra / Google
OIDC + SCIM
login + provisioning
Synaptyx
teams · roles · passkey unlock
Miten se toimii
1
Käyttäjä klikkaa "Kirjaudu SSO:lla"
Normaali OIDC-etsintä työsähköpostidomainista.
2
OIDC-uudelleenohjaus
Siirrytään IdP:hesi - Okta, Entra, Google, mikä tahansa OIDC.
3
SCIM synkronoi ja JIT-provisioi
Käyttäjä luodaan ensimmäisellä kirjautumisella. Ryhmävaatimukset kartoitetaan tiimeihisi ja rooleihin.
4
Salausavain avaa E2EE:n
WebAuthn-PRF johtaa käärintäavaimen. Ei kirjoitettavaa salasanaa. Pääavaimesi ei poistu laitteelta.
Syvät sukellukset
SCIM 2.0 -provisiointi
Poistuminen IdP:stä leviää sekunteissa. Ei orpoja pääsyjä. Standardit /scim/v2/Users ja /Groups -päätepisteet.
Ryhmä - tiimi/rooli-kartoitus
IdP-ryhmävaatimukset kartoitetaan automaattisesti Synaptyx-tiimeihisi ja -rooleihisi - määritetään yrityskohtaisesti ja sovelletaan jokaisella SSO-kirjautumisella sekä uusille (JIT) että palaaville käyttäjille.
WebAuthn-PRF automaattiavaus
Salausavain tuottaa deterministisen PRF-tuloksen. HKDF johtaa E2EE-holvisi käärintäavaimen. Emme näe salausavainta emmekä johdettua avainta.
SCIM-kartoitusesimerkki
config · scim_mapping.yaml
oidc_claims:
user_id: sub
email: email
display: name
groups: groups
group_mapping:
# IdP group → team role
acme-platform-eng → platform admin
acme-backend-eng → backend member
acme-design → design member
acme-security-team → [platform, backend] viewer
defaults:
role: viewer
team: unassigned
Poistuminen IdP:stä = välitön peruutus täällä.
Poista käyttäjä Oktasta perjantai-iltapäivänä - heidän pääsynsä on poissa ennen kuin he sulkevat kannettavan. Ei "muistiinko kukaan poistaa..." -tarkistusta maanantaina.
Vertailu
| Synaptyx | Manuaalinen käyttäjähallinta | SSO ilman SCIM:ia | |
|---|---|---|---|
| JIT-provisiointi | ensimmäisellä kirjautumisella | luodaan käsin | kirjautuminen toimii - ei profiilia |
| Automaattinen poisprovisiointi | SCIM push | manuaalisesti | vanha kunnes käsin |
| Ryhmä - rooli-kartoitus | IdP-ryhmävaatimukset kartoittuvat automaattisesti rooleihin ja tiimeihin | osoitetaan käsin | vain oletusrooli |
| Salasanaton avaus | WebAuthn-PRF | vain salasana | salasanavarauma |
| E2EE-yhteensopivuus | säilyttää zero-knowledge-periaatteen | ei sovellettavissa | rikkoo usein E2EE:n |
UKK
Mikä tahansa OIDC IdP SCIM 2.0:lla. Testattu: Okta, Microsoft Entra ID (Azure AD), Google Workspace, JumpCloud, OneLogin, Auth0. Muiden OIDC-toimittajien pitäisi toimia - avaa ongelmaraportti jos ei.
Ei - pelkkä OIDC toimii JIT-provisioinnin kanssa ensimmäisellä kirjautumisella. Ilman SCIM:ia menetät kuitenkin automaattisen poisprovisioinnin ja ryhmäsynkronoinnin. Useimmat yritysasiakkaat ottavat SCIM:in käyttöön.
IdP:si hoitaa MFA:n - me delegoimme. Jos IdP:si pakottaa MFA:n kirjautuessa tai askelkierrosta arkaluonteisille toiminnoille, nämä käytännöt siirtyvät mukana.
WebAuthn-PRF palauttaa deterministisen salaisuuden, joka on johdettu autentikaattorin sisällä. Käytämme HKDF:ää laajentaaksemme sen holvisi käärintäavaimeksi - kokonaan asiakaspuolella. Näemme vain salatun holvin.
Valmis hallitsemaan tekoäly-infrastruktuuriasi?
Pyydä pääsyä minuuteissa - tai kerro meille air-gap-käyttöönotostasi.