Enterprise
Single sign-on melalui SAML dan OIDC
Bawa Ciao di bawah kontrol identitas yang sudah Anda jalankan — SAML atau OIDC, MFA opsional, provisioning just-in-time, dan kebijakan sesi yang ditegakkan di tempat yang seharusnya: di IdP Anda.
Ciao mendukung single sign-on melalui SAML dan OIDC, dengan MFA opsional dan kontrol akses berbasis peran. Berbeda dari alat berbasis password yang menciptakan silo identitas paralel, SSO menempatkan Ciao di balik identity provider yang sudah Anda miliki — sehingga karyawan baru mendapat akses melalui direktori Anda, kebijakan sesi dan autentikasi ulang mengikuti aturan IdP Anda, dan karyawan yang keluar kehilangan akses begitu IdP Anda menonaktifkan mereka.
Dipublikasikan 2026-07-03 · Terakhir diperbarui 2026-07-03
Kenapa SSO biasanya menjadi persyaratan enterprise pertama
Setiap alat yang menyimpan passwordnya sendiri adalah alat yang bisa terlewat oleh proses offboarding Anda. Untuk platform di mana pengguna yang masuk bisa mem-prompt perubahan pada software produksi, risiko itu lebih tajam daripada untuk produk dashboard: akun yang terlantar bukan hanya pertanyaan eksposur data, tapi juga pertanyaan kontrol perubahan. Tinjauan keamanan benar untuk menaruh SSO di dekat puncak daftar persyaratan.
SSO memindahkan autentikasi Ciao ke balik identity provider yang sudah Anda kelola. Tinjauan akses terjadi di satu tempat, kebijakan MFA ditegakkan secara konsisten, dan proses joiner-mover-leaver yang sudah diterima auditor Anda meluas untuk mencakup pengembangan berbantuan AI tanpa penyimpanan akun paralel yang harus direkonsiliasi.
Ada juga manfaat yang lebih tenang bagi orang-orang yang mengerjakan pekerjaannya: satu password lebih sedikit, satu ritual login lebih sedikit, dan akses yang muncul di hari pertama karena direktori — bukan antrean tiket — adalah sumber kebenarannya. Kontrol yang menjadikan jalur aman sebagai jalur yang nyaman adalah kontrol yang benar-benar diikuti orang, dan SSO adalah contoh paling jelas di stack identitas.
Apa yang disediakan Ciao
Kemampuan identitas di bawah ini adalah bagian dari platform enterprise, dan masing-masing bisa diverifikasi selama onboarding atau evaluasi:
- SAML dan OIDC — SSO melalui kedua protokol utama, sehingga Ciao bekerja dengan IdP yang Anda jalankan hari ini, tidak mensyaratkan vendor tertentu.
- MFA opsional — MFA bisa ditegakkan melalui kebijakan IdP Anda, dengan MFA opsional tersedia di sisi Ciao sebagai bagian dari penyiapan identitas.
- Kontrol akses berbasis peran — SSO dipasangkan dengan RBAC, sehingga autentikasi menjawab siapa Anda dan peran menjawab apa yang boleh Anda lakukan — di seluruh workspace dan proyek.
- Provisioning just-in-time — Akun bisa dibuat pada login sukses pertama melalui IdP Anda, sehingga onboarding tidak bergantung pada pembuatan akun manual.
- Aksi admin teraudit — Perubahan identitas dan akses adalah aksi admin, dan aksi admin dicatat dalam jejak audit append-only.
Bagaimana penyiapan bekerja
1. Pilih protokolnya
SAML atau OIDC, berdasarkan preferensi tim IdP Anda. Tidak ada yang 'lebih rendah' — pilih yang paling baik dikelola tooling identitas Anda.
2. Buat aplikasinya di IdP Anda
Daftarkan Ciao di identity provider Anda dengan cara yang sama Anda mendaftarkan aplikasi SSO mana pun, dan tetapkan pengguna atau grup yang seharusnya punya akses.
3. Pertukarkan konfigurasi
Metadata, endpoint, dan sertifikat dipertukarkan antara IdP Anda dan Ciao selama onboarding, dengan tim enterprise memandu bersama engineer identitas Anda.
4. Uji dengan grup pilot
Verifikasi login, pembuatan akun just-in-time, dan penetapan peran dengan grup kecil sebelum membuka akses lebih luas.
5. Luncurkan dan tinjau
Perluas penetapan ke seluruh populasi, lalu konfirmasi di jejak audit bahwa event akses dan aksi admin dicatat sesuai yang diharapkan tinjauan Anda.
Provisioning just-in-time dan apa yang tidak diselesaikannya
Provisioning just-in-time membuat akun Ciao saat pertama kali pengguna login melalui IdP Anda. Itu menghilangkan langkah manual di onboarding dan mencegah akun yang dibuat sebelumnya nganggur tak terpakai. Yang tidak dilakukan JIT adalah deprovisioning: pengguna yang tidak pernah login lagi tetap butuh akses mereka dihapus di IdP, dan otomatisasi siklus hidup lebih baik ditangani oleh SCIM. Sebagian besar deployment enterprise menjalankan SSO dengan JIT untuk kedatangan dan SCIM untuk siklus hidup penuh — halaman SCIM mencakup separuh itu.
Selama evaluasi, uji jalur JIT secara eksplisit: tetapkan pengguna uji di IdP, login sekali, dan konfirmasi akunnya muncul dengan peran yang dimaksudkan pemetaan Anda. Tes lima menit itu memberi tahu Anda lebih banyak daripada diagram arsitektur mana pun.
Kebijakan sesi dan MFA
Panjang sesi, frekuensi autentikasi ulang, dan aturan step-up seharusnya berada di identity provider, tempat tim keamanan Anda sudah menyetelnya, dan SSO berarti sesi Ciao mengikuti kebijakan yang ditegakkan IdP Anda saat login. MFA bekerja dengan cara yang sama: tegakkan itu di kebijakan IdP yang mengatur akses Ciao, dengan MFA opsional tersedia di sisi platform. Hasil praktisnya bagi peninjau adalah satu permukaan kebijakan untuk diaudit, alih-alih pengaturan sesi per-alat yang menyimpang.
Ketika kebijakan Anda berubah — sesi lebih pendek, aturan step-up lebih ketat — Anda mengubahnya sekali, di IdP, dan akses ke Ciao mengikuti tanpa audit pengaturan paralel di sisi platform.
Catatan verifikasi
Klaim identitas murah untuk diverifikasi: konfigurasikan koneksi uji selama evaluasi dan saksikan login, pembuatan akun JIT, dan pemetaan peran terjadi terhadap IdP Anda sendiri. Security pack, tersedia atas permintaan melalui halaman kontak, mendokumentasikan arsitektur identitas secara tertulis, dan laporan SOC 2 Type II di bawah NDA mencakup kontrol manajemen akses teraudit di baliknya.
Kemampuan sekilas
| Kemampuan | Mekanisme | Catatan |
|---|---|---|
| Single sign-on | SAML atau OIDC | Bekerja dengan identity provider yang patuh standar |
| Autentikasi multi-faktor | Kebijakan IdP, ditambah MFA opsional di Ciao | Tegakkan di tempat tim Anda sudah mengelola MFA |
| Pembuatan akun | Just-in-time saat login pertama | Dipasangkan dengan SCIM untuk siklus hidup penuh |
| Otorisasi | Kontrol akses berbasis peran | Cakupan workspace dan proyek |
| Bukti | Jejak audit append-only | Aksi admin dicatat untuk tinjauan |
Pertanyaan yang sering diajukan
Identity provider mana yang didukung?
Identity provider mana pun yang mengimplementasikan SAML atau OIDC — IdP yang umum dijalankan enterprise, seperti Okta, Microsoft Entra ID, dan Google Workspace, semuanya berbicara dengan protokol ini. Konfigurasinya dipandu bersama tim identitas Anda selama onboarding.
Bisakah kami mensyaratkan semua pengguna login hanya melalui SSO?
Menegakkan SSO sebagai satu-satunya jalur login adalah pertanyaan konfigurasi identitas yang ditangani selama onboarding — angkat itu dengan tim enterprise dan penyiapan Anda akan dikonfirmasi terhadap persyaratannya, bukan diasumsikan.
Apa yang terjadi ketika seorang karyawan keluar?
Nonaktifkan mereka di IdP dan mereka tidak bisa lagi mengautentikasi ke Ciao. Dengan provisioning SCIM terpasang, penonaktifan juga menyebar sebagai event siklus hidup, dan aksi admin di sekitarnya dicatat dalam jejak audit append-only.
Apa bedanya JIT dan SCIM?
JIT membuat akun saat pengguna pertama kali login; itu hanya menangani kedatangan. SCIM mendorong event pembuatan, pembaruan, dan penonaktifan dari IdP Anda secara berkelanjutan, mencakup seluruh siklus hidup. Sebagian besar rollout enterprise menggunakan keduanya bersama-sama.
Apakah SSO termasuk, atau add-on?
SSO via SAML dan OIDC adalah bagian dari kumpulan kemampuan enterprise Ciao. Program produksi serius mulai dari 10.000 USD per tahun — konfirmasi cakupan paket dengan tim penjualan sehingga persyaratan identitas ada di perjanjian sejak awal.