Siirry sisältöön
Synaptyx
Identiteetti ja pääsynhallinta

SSO, SCIM-provisiointi ja salasanaton avaus.

OIDC-kirjautuminen IdP:hesi, SCIM 2.0 käyttäjien ja ryhmien automaattiseen provisiointiin sekä WebAuthn-PRF-salausavaimet, jotka avaavat E2EE-holvisi ilman salasanan kirjoittamista. IdP-ryhmävaatimukset kartoitetaan automaattisesti tiimeihisi ja rooleihisi.

IdP
Okta / Entra / Google
OIDC + SCIM
login + provisioning
Synaptyx
teams · roles · passkey unlock

Miten se toimii

1
Käyttäjä klikkaa "Kirjaudu SSO:lla"
Normaali OIDC-etsintä työsähköpostidomainista.
2
OIDC-uudelleenohjaus
Siirrytään IdP:hesi - Okta, Entra, Google, mikä tahansa OIDC.
3
SCIM synkronoi ja JIT-provisioi
Käyttäjä luodaan ensimmäisellä kirjautumisella. Ryhmävaatimukset kartoitetaan tiimeihisi ja rooleihin.
4
Salausavain avaa E2EE:n
WebAuthn-PRF johtaa käärintäavaimen. Ei kirjoitettavaa salasanaa. Pääavaimesi ei poistu laitteelta.

Syvät sukellukset

SCIM 2.0 -provisiointi
Poistuminen IdP:stä leviää sekunteissa. Ei orpoja pääsyjä. Standardit /scim/v2/Users ja /Groups -päätepisteet.
Ryhmä - tiimi/rooli-kartoitus
IdP-ryhmävaatimukset kartoitetaan automaattisesti Synaptyx-tiimeihisi ja -rooleihisi - määritetään yrityskohtaisesti ja sovelletaan jokaisella SSO-kirjautumisella sekä uusille (JIT) että palaaville käyttäjille.
WebAuthn-PRF automaattiavaus
Salausavain tuottaa deterministisen PRF-tuloksen. HKDF johtaa E2EE-holvisi käärintäavaimen. Emme näe salausavainta emmekä johdettua avainta.

SCIM-kartoitusesimerkki

config · scim_mapping.yaml
oidc_claims: user_id: sub email: email display: name groups: groups group_mapping: # IdP group → team role acme-platform-eng platform admin acme-backend-eng backend member acme-design design member acme-security-team [platform, backend] viewer defaults: role: viewer team: unassigned

Poistuminen IdP:stä = välitön peruutus täällä.

Poista käyttäjä Oktasta perjantai-iltapäivänä - heidän pääsynsä on poissa ennen kuin he sulkevat kannettavan. Ei "muistiinko kukaan poistaa..." -tarkistusta maanantaina.

Vertailu

SynaptyxManuaalinen käyttäjähallintaSSO ilman SCIM:ia
JIT-provisiointiensimmäisellä kirjautumisellaluodaan käsinkirjautuminen toimii - ei profiilia
Automaattinen poisprovisiointiSCIM pushmanuaalisestivanha kunnes käsin
Ryhmä - rooli-kartoitusIdP-ryhmävaatimukset kartoittuvat automaattisesti rooleihin ja tiimeihinosoitetaan käsinvain oletusrooli
Salasanaton avausWebAuthn-PRFvain salasanasalasanavarauma
E2EE-yhteensopivuussäilyttää zero-knowledge-periaatteenei sovellettavissarikkoo usein E2EE:n

UKK

Mikä tahansa OIDC IdP SCIM 2.0:lla. Testattu: Okta, Microsoft Entra ID (Azure AD), Google Workspace, JumpCloud, OneLogin, Auth0. Muiden OIDC-toimittajien pitäisi toimia - avaa ongelmaraportti jos ei.
Ei - pelkkä OIDC toimii JIT-provisioinnin kanssa ensimmäisellä kirjautumisella. Ilman SCIM:ia menetät kuitenkin automaattisen poisprovisioinnin ja ryhmäsynkronoinnin. Useimmat yritysasiakkaat ottavat SCIM:in käyttöön.
IdP:si hoitaa MFA:n - me delegoimme. Jos IdP:si pakottaa MFA:n kirjautuessa tai askelkierrosta arkaluonteisille toiminnoille, nämä käytännöt siirtyvät mukana.
WebAuthn-PRF palauttaa deterministisen salaisuuden, joka on johdettu autentikaattorin sisällä. Käytämme HKDF:ää laajentaaksemme sen holvisi käärintäavaimeksi - kokonaan asiakaspuolella. Näemme vain salatun holvin.

Valmis hallitsemaan tekoäly-infrastruktuuriasi?

Pyydä pääsyä minuuteissa - tai kerro meille air-gap-käyttöönotostasi.

Aloita