Enterprise

Aprovisionamiento SCIM desde tu proveedor de identidad

Altas, cambios y bajas fluyen desde tu IdP automáticamente: sin administración manual de cuentas, sin acceso huérfano esperando convertirse en un hallazgo de auditoría.

El aprovisionamiento SCIM conecta Ciao con tu proveedor de identidad para que las cuentas de usuario se creen, actualicen y desactiven automáticamente conforme cambia tu directorio. A diferencia de la administración manual de cuentas, SCIM elimina el paso humano donde suele fallar la baja: cuando un usuario se desactiva en tu IdP, el cambio se propaga a Ciao, y las acciones de administración circundantes llegan al registro de auditoría de solo adición que pueden inspeccionar tus revisores.

Ideal paraEquipos de TI e identidadResponsables de revisión de accesoRevisores de seguridad que evalúan la baja

Publicado 2026-07-03 · Última actualización 2026-07-03

Las cuentas huérfanas son hallazgos de auditoría a punto de ocurrir

Toda revisión de acceso las encuentra: cuentas de personas que cambiaron de rol o se fueron hace meses, todavía activas porque la baja dependía de un ticket que nadie llegó a presentar. En la mayoría de herramientas SaaS eso es un problema de exposición. En una plataforma donde un usuario con sesión iniciada puede pedir cambios en software de producción, es también un problema de control de cambios: una cuenta que nadie posee, con la capacidad de proponer cambios a sistemas de los que depende tu negocio.

SCIM existe para eliminar el paso manual. Tu proveedor de identidad ya es la fuente de verdad de quién trabaja aquí y a qué grupo pertenece; SCIM hace de Ciao un suscriptor de esa verdad en lugar de una lista separada que un administrador debe recordar reconciliar.

Los auditores han convergido en la misma visión: las revisiones de acceso que dependen de la reconciliación manual acumulan hallazgos, y la automatización del ciclo de vida es la solución aceptada. Si tu organización ya ejecuta SCIM para sus otros sistemas de importancia, extenderlo a la plataforma que construye y despliega software es el movimiento coherente, y si Ciao fuera tu primera integración SCIM, los pasos de despliegue de abajo son deliberadamente conservadores.

Qué cubre el aprovisionamiento SCIM

La cobertura abarca los eventos de ciclo de vida que realmente prueban tus revisiones de acceso:

  • Creación de cuentas — Los usuarios asignados a Ciao en tu IdP obtienen cuentas aprovisionadas automáticamente: sin cola de peticiones, sin creación manual.
  • Actualizaciones de atributos — Los cambios de nombre y perfil fluyen desde el directorio, así el registro de la cuenta sigue a la persona sin intervención administrativa.
  • Mapeo de grupo a rol — Los grupos del IdP se pueden mapear a roles de Ciao, así el control de acceso basado en roles se dirige por la estructura de directorio que tu equipo ya gobierna.
  • Desactivación — Cuando tu IdP desactiva a un usuario, su acceso a Ciao se elimina como parte del flujo de ciclo de vida: el paso que más a menudo se salta la baja manual.
  • Un registro de auditoría — Los cambios de aprovisionamiento son acciones de administración, y las acciones de administración se registran en el registro de auditoría de solo adición junto con prompts, merges y despliegues.

Cómo funciona un despliegue

  1. 1. Empieza desde el SSO

    SCIM asume que el SSO vía SAML u OIDC ya está en marcha, así la autenticación y el aprovisionamiento comparten una fuente de identidad.

  2. 2. Conecta el IdP

    Configura la integración SCIM en tu proveedor de identidad durante la incorporación, con el equipo enterprise trabajando junto a tus ingenieros de identidad.

  3. 3. Mapea grupos a roles

    Decide qué grupos del IdP corresponden a qué roles y alcances de proyecto de Ciao, y registra el mapeo: se convierte en parte de tu documentación de control de acceso.

  4. 4. Pilota con un grupo

    Asigna un grupo pequeño, luego verifica que los eventos de creación, actualización y desactivación llegan como se espera antes de ampliar. Incluye al menos una desactivación en el piloto: es el evento que más importa y el que los equipos más olvidan probar.

  5. 5. Verifica en el registro de auditoría

    Confirma que los eventos de aprovisionamiento aparecen como acciones de administración en el registro de solo adición, así tus revisiones de acceso tienen evidencia en lugar de suposiciones.

SCIM, SSO, RBAC y el registro de auditoría como un solo sistema

Estos cuatro controles están diseñados para revisarse juntos. El SSO responde cómo se autentica la gente; SCIM responde cómo llegan a existir y dejan de existir las cuentas; el control de acceso basado en roles responde qué puede hacer una persona autenticada; y el registro de auditoría de solo adición registra qué hizo realmente: prompts, merges, despliegues y acciones de administración. Un revisor puede trazar a una sola persona desde el grupo del directorio hasta el rol de Ciao y hasta una acción específica registrada, que es la historia de trazabilidad que en realidad piden la mayoría de marcos de control de acceso.

En la práctica, la combinación cambia la textura de una revisión de acceso. En lugar de entrevistar a administradores sobre lo que creen que pasó, el revisor lee lo que pasó: el evento del directorio, el rol resultante, las acciones tomadas bajo él. El tiempo de revisión pasa de recopilar evidencia a emitir juicio, que es donde debe estar.

Eventos de ciclo de vida y su efecto

Úsalo como la lista de verificación de tu piloto: ejecuta cada evento con un usuario de prueba y verifica el efecto.

Evento de ciclo de vidaQué pasa en CiaoDónde verificarlo
Usuario asignado en el IdPCuenta aprovisionada con el rol mapeadoAcciones de administración en el registro de auditoría
Cambian los atributosEl registro de la cuenta se actualiza desde el directorioDetalle de cuenta y registro de auditoría
Cambia la membresía de grupoEl rol y alcance mapeados siguen al directorioConfiguración de RBAC y registro de auditoría
Usuario desactivado en el IdPEl acceso a Ciao se elimina vía el flujo de ciclo de vidaRegistro de auditoría y revisión de acceso
Contenido del workspaceLas apps y el código siguen siendo propiedad del workspaceExportación de código disponible en cualquier momento

Notas de verificación

El aprovisionamiento es un control que tu equipo debería probar, no dar por hecho. Durante la evaluación, ejecuta el ciclo de vida de principio a fin con un usuario de prueba (asigna, actualiza, desactiva) y observa los resultados en el registro de auditoría. Los detalles de integración para tu IdP se cubren durante la incorporación, y el paquete de seguridad, disponible a petición vía la página de contacto, documenta la arquitectura de identidad por escrito.

Si tu despliegue tiene restricciones inusuales (cuentas compartidas por eliminar, contratistas en un IdP separado, migraciones por fases) ponlas por escrito al equipo enterprise antes del piloto, así la configuración se diseña contra tu realidad en lugar de ajustarse después.

Preguntas frecuentes

¿Qué proveedores de identidad pueden impulsar el aprovisionamiento SCIM?

SCIM es un estándar, y los proveedores de identidad que las empresas suelen ejecutar (Okta, Microsoft Entra ID y similares) lo implementan. Confirma tu IdP específico y configuración con el equipo enterprise durante la incorporación.

¿Qué pasa con el trabajo de una persona cuando se le desaprovisiona?

Se le elimina el acceso; el trabajo no desaparece. Las aplicaciones y el código pertenecen al workspace, con propiedad del 100% del código y exportación a tu propio repositorio disponible en cualquier momento: dar de baja a una persona nunca deja varado el software.

¿SCIM reemplaza al aprovisionamiento just-in-time?

Resuelven mitades distintas. JIT crea una cuenta en el primer inicio de sesión; SCIM gestiona el ciclo de vida continuo incluidas las actualizaciones y la desactivación. Muchos despliegues usan JIT durante el piloto y SCIM para el despliegue completo.

¿Se registran las acciones de aprovisionamiento y desaprovisionamiento?

Sí. Son acciones de administración, registradas en el registro de auditoría de solo adición junto con prompts, merges y despliegues, así las revisiones de acceso pueden citar eventos registrados en lugar de capturas de pantalla.

¿Cómo validamos SCIM antes de desplegarlo en toda la empresa?

Pilota con un grupo de prueba: asigna, cambia atributos, mueve grupos, desactiva, y verifica cada evento en el registro de auditoría. El equipo enterprise apoya el piloto, y el paquete de seguridad documenta la arquitectura de identidad bajo revisión.

Páginas relacionadas

Consigue el paquete de seguridad.

Aprovisionamiento de usuarios SCIM | Ciao