Идентификация и доступ
SSO, провижининг через SCIM и беспарольная разблокировка.
Вход через OIDC в ваш IdP, SCIM 2.0 для автоматического создания пользователей и групп, и passkey WebAuthn-PRF, которые разблокируют ваше хранилище с E2EE без ввода парольной фразы. Заявки о группах IdP автоматически сопоставляются с вашими командами и ролями.
IdP
Okta / Entra / Google
OIDC + SCIM
login + provisioning
Synaptyx
teams · roles · passkey unlock
Как это работает
1
Пользователь нажимает «Войти через SSO»
Стандартный OIDC discovery по домену рабочей почты.
2
Редирект OIDC
Переход к вашему IdP - Okta, Entra, Google, любой OIDC.
3
SCIM синхронизирует и создаёт JIT
Пользователь создаётся при первом входе. Заявки о группах маппятся в ваши команды и роли.
4
Passkey разблокирует E2EE
WebAuthn-PRF выводит ключ-обёртку. Парольная фраза не вводится. Ваш мастер-ключ никогда не покидает устройство.
Подробнее
Провижининг SCIM 2.0
Отключение в вашем IdP распространяется за секунды. Никакого осиротевшего доступа. Стандартные эндпоинты /scim/v2/Users и /Groups.
Маппинг группа → команда/роль
Заявки о группах IdP автоматически сопоставляются с вашими командами и ролями в Synaptyx - настраивается для каждой компании и применяется при каждом входе через SSO, как для новых (JIT), так и для возвращающихся пользователей.
Авторазблокировка WebAuthn-PRF
Passkey выдаёт детерминированный вывод PRF. HKDF выводит ключ-обёртку для вашего хранилища с E2EE. Мы не видим ни passkey, ни производный ключ.
Пример маппинга SCIM
config · scim_mapping.yaml
oidc_claims:
user_id: sub
email: email
display: name
groups: groups
group_mapping:
# IdP group → team role
acme-platform-eng → platform admin
acme-backend-eng → backend member
acme-design → design member
acme-security-team → [platform, backend] viewer
defaults:
role: viewer
team: unassigned
Отключение в вашем IdP = мгновенный отзыв доступа здесь.
Отключите пользователя в Okta в пятницу днём - его доступ исчезнет ещё до того, как он закроет ноутбук. Никаких проверок «не забыл ли кто-то убрать…» в понедельник.
Сравнение
| Synaptyx | Ручное управление пользователями | SSO без SCIM | |
|---|---|---|---|
| JIT-провижининг | при первом входе | создание вручную | вход работает · без профиля |
| Авто-деправижининг | push по SCIM | вручную | устаревает до ручной правки |
| Маппинг группа → роль | заявки о группах IdP авто-сопоставляются с ролями и командами | назначение вручную | только роль по умолчанию |
| Беспарольная разблокировка | WebAuthn-PRF | только пароль | откат к паролю |
| Совместимость с E2EE | сохраняет zero-knowledge | неприменимо | часто ломает E2EE |
Частые вопросы
Любой OIDC IdP с SCIM 2.0. Протестированы: Okta, Microsoft Entra ID (Azure AD), Google Workspace, JumpCloud, OneLogin, Auth0. Другие OIDC-провайдеры должны работать - заведите issue, если нет.
Нет - OIDC работает и сам по себе, с JIT-провижинингом при первом входе. Но без SCIM вы теряете авто-деправижининг и синхронизацию групп. Большинство корпоративных клиентов включают SCIM.
MFA обрабатывает ваш IdP - мы делегируем это ему. Если ваш IdP требует MFA при входе или step-up для чувствительных действий, эти политики переносятся.
WebAuthn-PRF возвращает детерминированный секрет, выведенный внутри аутентификатора. Мы используем HKDF, чтобы развернуть его в ключ-обёртку вашего хранилища - целиком на стороне клиента. Мы видим только зашифрованный блоб хранилища.
Готовы управлять своей AI-инфраструктурой?
Запросите доступ за пару минут - или обсудите с нами вашу установку в air-gap.