Перейти к содержимому
Synaptyx
Идентификация и доступ

SSO, провижининг через SCIM и беспарольная разблокировка.

Вход через OIDC в ваш IdP, SCIM 2.0 для автоматического создания пользователей и групп, и passkey WebAuthn-PRF, которые разблокируют ваше хранилище с E2EE без ввода парольной фразы. Заявки о группах IdP автоматически сопоставляются с вашими командами и ролями.

IdP
Okta / Entra / Google
OIDC + SCIM
login + provisioning
Synaptyx
teams · roles · passkey unlock

Как это работает

1
Пользователь нажимает «Войти через SSO»
Стандартный OIDC discovery по домену рабочей почты.
2
Редирект OIDC
Переход к вашему IdP - Okta, Entra, Google, любой OIDC.
3
SCIM синхронизирует и создаёт JIT
Пользователь создаётся при первом входе. Заявки о группах маппятся в ваши команды и роли.
4
Passkey разблокирует E2EE
WebAuthn-PRF выводит ключ-обёртку. Парольная фраза не вводится. Ваш мастер-ключ никогда не покидает устройство.

Подробнее

Провижининг SCIM 2.0
Отключение в вашем IdP распространяется за секунды. Никакого осиротевшего доступа. Стандартные эндпоинты /scim/v2/Users и /Groups.
Маппинг группа → команда/роль
Заявки о группах IdP автоматически сопоставляются с вашими командами и ролями в Synaptyx - настраивается для каждой компании и применяется при каждом входе через SSO, как для новых (JIT), так и для возвращающихся пользователей.
Авторазблокировка WebAuthn-PRF
Passkey выдаёт детерминированный вывод PRF. HKDF выводит ключ-обёртку для вашего хранилища с E2EE. Мы не видим ни passkey, ни производный ключ.

Пример маппинга SCIM

config · scim_mapping.yaml
oidc_claims: user_id: sub email: email display: name groups: groups group_mapping: # IdP group → team role acme-platform-eng platform admin acme-backend-eng backend member acme-design design member acme-security-team [platform, backend] viewer defaults: role: viewer team: unassigned

Отключение в вашем IdP = мгновенный отзыв доступа здесь.

Отключите пользователя в Okta в пятницу днём - его доступ исчезнет ещё до того, как он закроет ноутбук. Никаких проверок «не забыл ли кто-то убрать…» в понедельник.

Сравнение

SynaptyxРучное управление пользователямиSSO без SCIM
JIT-провижинингпри первом входесоздание вручнуювход работает · без профиля
Авто-деправижинингpush по SCIMвручнуюустаревает до ручной правки
Маппинг группа → рользаявки о группах IdP авто-сопоставляются с ролями и командаминазначение вручнуютолько роль по умолчанию
Беспарольная разблокировкаWebAuthn-PRFтолько парольоткат к паролю
Совместимость с E2EEсохраняет zero-knowledgeнеприменимочасто ломает E2EE

Частые вопросы

Любой OIDC IdP с SCIM 2.0. Протестированы: Okta, Microsoft Entra ID (Azure AD), Google Workspace, JumpCloud, OneLogin, Auth0. Другие OIDC-провайдеры должны работать - заведите issue, если нет.
Нет - OIDC работает и сам по себе, с JIT-провижинингом при первом входе. Но без SCIM вы теряете авто-деправижининг и синхронизацию групп. Большинство корпоративных клиентов включают SCIM.
MFA обрабатывает ваш IdP - мы делегируем это ему. Если ваш IdP требует MFA при входе или step-up для чувствительных действий, эти политики переносятся.
WebAuthn-PRF возвращает детерминированный секрет, выведенный внутри аутентификатора. Мы используем HKDF, чтобы развернуть его в ключ-обёртку вашего хранилища - целиком на стороне клиента. Мы видим только зашифрованный блоб хранилища.

Готовы управлять своей AI-инфраструктурой?

Запросите доступ за пару минут - или обсудите с нами вашу установку в air-gap.

Начать