Enterprise

Inicio de sesión único vía SAML y OIDC

Lleva Ciao bajo los controles de identidad que ya gestionas: SAML u OIDC, MFA opcional, aprovisionamiento just-in-time y políticas de sesión aplicadas donde corresponde: en tu IdP.

Ciao admite inicio de sesión único vía SAML y OIDC, con MFA opcional y control de acceso basado en roles. A diferencia de las herramientas basadas en contraseñas que crean un silo de identidad paralelo, el SSO pone a Ciao detrás de tu proveedor de identidad existente, así los nuevos miembros obtienen acceso a través de tu directorio, las políticas de sesión y reautenticación siguen las reglas de tu IdP, y quienes se van pierden el acceso en el momento en que tu IdP los desactiva.

Ideal paraEquipos de TI e identidadRevisores de seguridad que evalúan el control de accesoIncorporación enterprise

Publicado 2026-07-03 · Última actualización 2026-07-03

Por qué el SSO suele ser el primer requisito enterprise

Toda herramienta que guarda sus propias contraseñas es una herramienta que tu proceso de baja puede pasar por alto. Para una plataforma donde un usuario con sesión iniciada puede pedir cambios en software de producción, ese riesgo es más agudo que en un producto de dashboard: una cuenta huérfana no es solo una cuestión de exposición de datos sino también de control de cambios. Las revisiones de seguridad tienen razón al poner el SSO cerca de lo más alto de la lista de requisitos.

El SSO traslada la autenticación de Ciao detrás del proveedor de identidad que ya gobiernas. Las revisiones de acceso ocurren en un solo lugar, la política de MFA se aplica de forma consistente, y el proceso de altas, cambios y bajas que ya aceptan tus auditores se extiende para cubrir el desarrollo asistido por IA sin un almacén de cuentas paralelo que reconciliar.

Hay un beneficio más silencioso para quienes hacen el trabajo: una contraseña menos, un ritual de inicio de sesión menos, y acceso que aparece el primer día porque el directorio, no una cola de tickets, es la fuente de verdad. Los controles que hacen del camino seguro el camino cómodo son los controles que la gente realmente sigue, y el SSO es el ejemplo más claro en la pila de identidad.

Lo que ofrece Ciao

Las capacidades de identidad de abajo son parte de la plataforma enterprise, y cada una es verificable durante la incorporación o la evaluación:

  • SAML y OIDC — SSO vía ambos protocolos principales, así Ciao funciona con el IdP que ya gestionas hoy en lugar de exigir un proveedor específico.
  • MFA opcional — El MFA se puede aplicar a través de la política de tu IdP, con MFA opcional disponible en el lado de Ciao como parte de la configuración de identidad.
  • Control de acceso basado en roles — El SSO se combina con RBAC, así la autenticación responde a quién eres y los roles responden a qué puedes hacer, en workspaces y proyectos.
  • Aprovisionamiento just-in-time — Las cuentas se pueden crear en el primer inicio de sesión exitoso a través de tu IdP, así la incorporación no depende de la creación manual de cuentas.
  • Acciones de administración auditadas — Los cambios de identidad y acceso son acciones de administración, y las acciones de administración se registran en el registro de auditoría de solo adición.

Cómo funciona la configuración

  1. 1. Elige el protocolo

    SAML u OIDC, según lo que prefiera tu equipo de IdP. Ninguno es la opción «menor»: elige el que mejor gestione tu herramienta de identidad.

  2. 2. Crea la aplicación en tu IdP

    Registra Ciao en tu proveedor de identidad de la forma en que registras cualquier aplicación SSO, y asigna a los usuarios o grupos que deban tener acceso.

  3. 3. Intercambia configuración

    Metadatos, endpoints y certificados se intercambian entre tu IdP y Ciao durante la incorporación, con el equipo enterprise guiándolo junto a tus ingenieros de identidad.

  4. 4. Prueba con un grupo piloto

    Verifica el inicio de sesión, la creación de cuenta just-in-time y la asignación de roles con un grupo pequeño antes de ampliar el acceso.

  5. 5. Despliega y revisa

    Extiende la asignación a toda la población, luego confirma en el registro de auditoría que los eventos de acceso y las acciones de administración se registran como espera tu revisión.

Aprovisionamiento just-in-time y lo que no resuelve

El aprovisionamiento just-in-time crea una cuenta de Ciao la primera vez que un usuario inicia sesión a través de tu IdP. Eso elimina el paso manual en la incorporación y evita que cuentas precreadas queden sin usar. Lo que JIT no hace es desaprovisionar: un usuario que nunca vuelve a iniciar sesión sigue necesitando que se le elimine el acceso en el IdP, y la automatización del ciclo de vida se gestiona mejor con SCIM. La mayoría de despliegues enterprise ejecutan SSO con JIT para las altas y SCIM para el ciclo de vida completo; la página de SCIM cubre esa mitad.

Durante la evaluación, prueba explícitamente la vía de JIT: asigna un usuario de prueba en el IdP, inicia sesión una vez, y confirma que la cuenta llega con el rol que pretendía tu mapeo. La prueba de cinco minutos te dice más que cualquier diagrama de arquitectura.

Políticas de sesión y MFA

La duración de sesión, la frecuencia de reautenticación y las reglas de step-up pertenecen al proveedor de identidad, donde tu equipo de seguridad ya las ajusta, y el SSO significa que las sesiones de Ciao siguen la política que aplica tu IdP al iniciar sesión. El MFA funciona igual: aplícalo en la política del IdP que gobierna el acceso a Ciao, con MFA opcional disponible en el lado de la plataforma. El resultado práctico para los revisores es una única superficie de política que auditar en lugar de configuraciones de sesión por herramienta que se desvían.

Cuando tu política cambia (sesiones más cortas, reglas de step-up más estrictas), la cambias una vez, en el IdP, y el acceso a Ciao la sigue sin una auditoría de configuración paralela en el lado de la plataforma.

Notas de verificación

Las afirmaciones de identidad son baratas de verificar: configura una conexión de prueba durante la evaluación y observa el inicio de sesión, la creación de cuenta JIT y el mapeo de roles ocurrir contra tu propio IdP. El paquete de seguridad, disponible a petición vía la página de contacto, documenta la arquitectura de identidad por escrito, y los informes SOC 2 Tipo II bajo NDA cubren los controles auditados de gestión de acceso detrás de ella.

Capacidades de un vistazo

CapacidadMecanismoNotas
Inicio de sesión únicoSAML u OIDCFunciona con proveedores de identidad compatibles con estándares
Autenticación multifactorPolítica del IdP, más MFA opcional en CiaoAplícala donde tu equipo ya gestiona el MFA
Creación de cuentasJust-in-time en el primer inicio de sesiónSe combina con SCIM para el ciclo de vida completo
AutorizaciónControl de acceso basado en rolesAlcance por workspace y proyecto
EvidenciaRegistro de auditoría de solo adiciónAcciones de administración registradas para revisión

Preguntas frecuentes

¿Qué proveedores de identidad son compatibles?

Cualquier proveedor de identidad que implemente SAML u OIDC; los IdP que las empresas suelen usar, como Okta, Microsoft Entra ID y Google Workspace, hablan todos estos protocolos. La configuración se guía junto a tu equipo de identidad durante la incorporación.

¿Podemos exigir que todos los usuarios inicien sesión solo por SSO?

Exigir el SSO como única vía de inicio de sesión es una cuestión de configuración de identidad que se gestiona durante la incorporación; plantéala con el equipo enterprise y tu configuración se confirmará contra el requisito en lugar de asumirse.

¿Qué pasa cuando un empleado se va?

Desactívalo en el IdP y ya no podrá autenticarse en Ciao. Con el aprovisionamiento SCIM en marcha, la desactivación también se propaga como evento de ciclo de vida, y las acciones de administración circundantes se registran en el registro de auditoría de solo adición.

¿Cuál es la diferencia entre JIT y SCIM?

JIT crea una cuenta cuando un usuario inicia sesión por primera vez; solo gestiona la llegada. SCIM envía eventos de creación, actualización y desactivación desde tu IdP de forma continua, cubriendo todo el ciclo de vida. La mayoría de despliegues enterprise usan ambos juntos.

¿El SSO está incluido, o es un complemento?

El SSO vía SAML y OIDC es parte del conjunto de capacidades enterprise de Ciao. Los programas de producción serios empiezan en 10.000 USD al año; confirma el alcance del plan con ventas para que los requisitos de identidad estén en el acuerdo desde el principio.

Páginas relacionadas

Consigue el paquete de seguridad.

Inicio de sesión único: SAML y OIDC | Ciao