Enterprise

Single sign-on tramite SAML e OIDC

Porta Ciao sotto i controlli di identità che già gestisci — SAML o OIDC, MFA opzionale, provisioning just-in-time e policy di sessione applicate dove appartengono: al tuo IdP.

Ciao supporta il single sign-on tramite SAML e OIDC, con MFA opzionale e controllo degli accessi basato sui ruoli. A differenza degli strumenti basati su password che creano un silo di identità parallelo, l'SSO mette Ciao dietro il tuo identity provider esistente — così i nuovi arrivati ottengono l'accesso tramite la tua directory, le policy di sessione e ri-autenticazione seguono le regole del tuo IdP, e chi se ne va perde l'accesso nel momento in cui il tuo IdP lo disattiva.

Ideale perTeam IT e identitàRevisori di sicurezza che valutano il controllo degli accessiOnboarding enterprise

Pubblicato 2026-07-03 · Ultimo aggiornamento 2026-07-03

Perché l'SSO è di solito il primo requisito enterprise

Ogni strumento che mantiene le proprie password è uno strumento che il tuo processo di offboarding può perdere. Per una piattaforma dove un utente autenticato può richiedere modifiche al software di produzione, quel rischio è più acuto che per un prodotto dashboard: un account orfano non è solo una questione di esposizione dei dati ma anche una questione di controllo dei cambiamenti. Le revisioni di sicurezza hanno ragione a mettere l'SSO in cima alla lista dei requisiti.

L'SSO sposta l'autenticazione per Ciao dietro l'identity provider che già governi. Le revisioni degli accessi avvengono in un unico posto, la policy MFA viene applicata in modo coerente, e il processo di joiner-mover-leaver che i tuoi auditor già accettano si estende per coprire lo sviluppo assistito da AI senza un archivio di account parallelo da riconciliare.

C'è un beneficio più silenzioso per le persone che fanno il lavoro: una password in meno, un rituale di login in meno, e un accesso che appare il primo giorno perché la directory — non una coda di ticket — è la fonte di verità. I controlli che rendono il percorso sicuro anche quello conveniente sono i controlli che le persone effettivamente seguono, e l'SSO è l'esempio più chiaro nello stack di identità.

Cosa fornisce Ciao

Le capacità di identità qui sotto fanno parte della piattaforma enterprise, e ognuna è verificabile durante l'onboarding o la valutazione:

  • SAML e OIDC — SSO tramite entrambi i principali protocolli, così Ciao funziona con l'IdP che già gestisci oggi piuttosto che richiedere un fornitore specifico.
  • MFA opzionale — L'MFA può essere applicata tramite la policy del tuo IdP, con MFA opzionale disponibile lato Ciao come parte della configurazione dell'identità.
  • Controllo degli accessi basato sui ruoli — L'SSO si abbina con RBAC, così l'autenticazione risponde a chi sei e i ruoli rispondono a cosa puoi fare — su workspace e progetti.
  • Provisioning just-in-time — Gli account possono essere creati al primo accesso riuscito tramite il tuo IdP, così l'onboarding non dipende dalla creazione manuale degli account.
  • Azioni amministrative sottoposte ad audit — Le modifiche a identità e accesso sono azioni amministrative, e le azioni amministrative vengono registrate nel registro di controllo append-only.

Come funziona la configurazione

  1. 1. Scegli il protocollo

    SAML o OIDC, in base a cosa preferisce il tuo team IdP. Nessuno dei due è l'opzione 'minore' — scegli quello che il tuo strumento di identità gestisce meglio.

  2. 2. Crea l'applicazione nel tuo IdP

    Registra Ciao nel tuo identity provider nel modo in cui registri qualsiasi applicazione SSO, e assegna gli utenti o gruppi che dovrebbero avere accesso.

  3. 3. Scambia la configurazione

    Metadati, endpoint e certificati vengono scambiati tra il tuo IdP e Ciao durante l'onboarding, con il team enterprise che ti accompagna insieme ai tuoi ingegneri di identità.

  4. 4. Prova con un gruppo pilota

    Verifica l'accesso, la creazione di account just-in-time e l'assegnazione dei ruoli con un piccolo gruppo prima di aprire l'accesso più ampiamente.

  5. 5. Distribuisci e revisiona

    Estendi l'assegnazione all'intera popolazione, poi conferma nel registro di controllo che gli eventi di accesso e le azioni amministrative vengono registrati nel modo in cui la tua revisione si aspetta.

Provisioning just-in-time e cosa non risolve

Il provisioning just-in-time crea un account Ciao la prima volta che un utente accede tramite il tuo IdP. Questo rimuove il passaggio manuale all'onboarding e impedisce agli account pre-creati di restare inutilizzati. Ciò che il JIT non fa è il deprovisioning: un utente che non accede mai più ha comunque bisogno che il suo accesso venga rimosso all'IdP, e l'automazione del ciclo di vita è gestita meglio da SCIM. La maggior parte dei deploy enterprise esegue SSO con JIT per l'arrivo e SCIM per l'intero ciclo di vita — la pagina SCIM copre quella metà.

Durante la valutazione, prova esplicitamente il percorso JIT: assegna un utente di test nell'IdP, accedi una volta, e conferma che l'account arriva con il ruolo che la tua mappatura intendeva. Il test di cinque minuti ti dice più di qualsiasi diagramma architetturale.

Policy di sessione e MFA

La durata della sessione, la frequenza di ri-autenticazione e le regole di step-up appartengono all'identity provider, dove il tuo team di sicurezza già le regola, e l'SSO significa che le sessioni Ciao seguono la policy che il tuo IdP applica all'accesso. L'MFA funziona allo stesso modo: applicala nella policy IdP che governa l'accesso a Ciao, con MFA opzionale disponibile lato piattaforma. Il risultato pratico per i revisori è una singola superficie di policy da verificare invece di impostazioni di sessione per strumento che divergono.

Quando la tua policy cambia — sessioni più brevi, regole di step-up più rigide — la cambi una volta, all'IdP, e l'accesso a Ciao segue senza un audit parallelo delle impostazioni lato piattaforma.

Note di verifica

Le affermazioni sull'identità sono economiche da verificare: configura una connessione di test durante la valutazione e osserva l'accesso, la creazione di account JIT e la mappatura dei ruoli avvenire contro il tuo stesso IdP. Il security pack, disponibile su richiesta tramite la pagina dei contatti, documenta l'architettura dell'identità per iscritto, e i report SOC 2 Type II sotto NDA coprono i controlli di gestione degli accessi sottoposti ad audit dietro di essa.

Capacità a colpo d'occhio

CapacitàMeccanismoNote
Single sign-onSAML o OIDCFunziona con identity provider conformi agli standard
Autenticazione a più fattoriPolicy IdP, più MFA opzionale su CiaoApplica dove il tuo team già governa l'MFA
Creazione dell'accountJust-in-time al primo accessoSi abbina con SCIM per il ciclo di vita completo
AutorizzazioneControllo degli accessi basato sui ruoliDelimitazione per workspace e progetto
ProvaRegistro di controllo append-onlyAzioni amministrative registrate per la revisione

Domande frequenti

Quali identity provider sono supportati?

Qualsiasi identity provider che implementi SAML o OIDC — gli IdP che le imprese tipicamente gestiscono, come Okta, Microsoft Entra ID e Google Workspace, parlano tutti questi protocolli. La configurazione viene percorsa insieme al tuo team di identità durante l'onboarding.

Possiamo richiedere che tutti gli utenti accedano solo tramite SSO?

Imporre l'SSO come unico percorso di accesso è una domanda di configurazione dell'identità gestita durante l'onboarding — sollevala con il team enterprise e la tua configurazione verrà confermata contro il requisito invece di essere presunta.

Cosa succede quando un dipendente se ne va?

Disattivalo all'IdP e non potrà più autenticarsi su Ciao. Con il provisioning SCIM in atto, la disattivazione si propaga anche come evento del ciclo di vita, e le azioni amministrative circostanti vengono registrate nel registro di controllo append-only.

Qual è la differenza tra JIT e SCIM?

JIT crea un account quando un utente accede per la prima volta; gestisce solo l'arrivo. SCIM invia eventi di creazione, aggiornamento e disattivazione dal tuo IdP in modo continuo, coprendo l'intero ciclo di vita. La maggior parte dei deploy enterprise usa entrambi insieme.

L'SSO è incluso, o un componente aggiuntivo?

L'SSO tramite SAML e OIDC fa parte del set di capacità enterprise di Ciao. I programmi di produzione seri partono da 10.000 USD all'anno — conferma l'ambito del piano con le vendite così i requisiti di identità sono nell'accordo fin dall'inizio.

Pagine correlate

Ottieni il security pack.

Single Sign-On: SAML e OIDC | Ciao