Enterprise
Início de sessão único via SAML e OIDC
Traga o Ciao para debaixo dos controlos de identidade que já gere — SAML ou OIDC, MFA opcional, provisionamento just-in-time e políticas de sessão aplicadas onde devem estar: no seu IdP.
O Ciao suporta início de sessão único via SAML e OIDC, com MFA opcional e controlo de acesso baseado em funções. Ao contrário de ferramentas baseadas em palavra-passe que criam um silo de identidade paralelo, o SSO coloca o Ciao atrás do seu fornecedor de identidade existente — para que os novos colaboradores obtenham acesso através do seu diretório, as políticas de sessão e reautenticação sigam as regras do seu IdP, e quem sai perca o acesso no momento em que o seu IdP o desativa.
Publicado 2026-07-03 · Última atualização 2026-07-03
Porque é que o SSO é normalmente o primeiro requisito enterprise
Toda a ferramenta que guarda as suas próprias palavras-passe é uma ferramenta que o seu processo de offboarding pode não apanhar. Para uma plataforma em que um utilizador com sessão iniciada pode pedir alterações a software de produção, esse risco é mais agudo do que num produto de dashboard: uma conta órfã não é apenas uma questão de exposição de dados, mas também uma questão de controlo de alterações. As revisões de segurança têm razão em colocar o SSO perto do topo da lista de requisitos.
O SSO move a autenticação do Ciao para trás do fornecedor de identidade que já governa. As revisões de acesso acontecem num só lugar, a política de MFA é aplicada de forma consistente, e o processo de entradas, mudanças e saídas que os seus auditores já aceitam alarga-se para cobrir o desenvolvimento assistido por IA sem um repositório de contas paralelo para reconciliar.
Há um benefício mais discreto para as pessoas que fazem o trabalho: menos uma palavra-passe, menos um ritual de início de sessão, e acesso que surge logo no primeiro dia porque o diretório — e não uma fila de pedidos — é a fonte de verdade. Os controlos que tornam o caminho seguro no caminho conveniente são os controlos que as pessoas realmente seguem, e o SSO é o exemplo mais claro na pilha de identidade.
O que o Ciao fornece
As capacidades de identidade abaixo fazem parte da plataforma enterprise, e cada uma é verificável durante o onboarding ou a avaliação:
- SAML e OIDC — SSO através de ambos os protocolos principais, para que o Ciao funcione com o IdP que já usa hoje, em vez de exigir um fornecedor específico.
- MFA opcional — O MFA pode ser aplicado através da política do seu IdP, com MFA opcional disponível também do lado do Ciao como parte da configuração de identidade.
- Controlo de acesso baseado em funções — O SSO combina-se com o RBAC, para que a autenticação responda a quem é e as funções respondam ao que pode fazer — em workspaces e projetos.
- Provisionamento just-in-time — As contas podem ser criadas no primeiro início de sessão bem-sucedido através do seu IdP, para que o onboarding não dependa da criação manual de contas.
- Ações administrativas auditadas — As alterações de identidade e acesso são ações administrativas, e as ações administrativas ficam registadas no registo de auditoria apenas de acréscimo.
Como funciona a configuração
1. Escolha o protocolo
SAML ou OIDC, consoante a preferência da sua equipa de IdP. Nenhum deles é a opção 'menor' — escolha o que as suas ferramentas de identidade gerem melhor.
2. Crie a aplicação no seu IdP
Registe o Ciao no seu fornecedor de identidade da mesma forma que regista qualquer aplicação SSO, e atribua os utilizadores ou grupos que devem ter acesso.
3. Troque a configuração
Metadados, endpoints e certificados são trocados entre o seu IdP e o Ciao durante o onboarding, com a equipa enterprise a acompanhar o processo junto dos seus engenheiros de identidade.
4. Teste com um grupo piloto
Verifique o início de sessão, a criação de contas just-in-time e a atribuição de funções com um pequeno grupo antes de alargar o acesso.
5. Alargue e reveja
Alargue a atribuição a toda a população, e depois confirme no registo de auditoria que os eventos de acesso e as ações administrativas ficam registados da forma que a sua revisão espera.
Provisionamento just-in-time e o que ele não resolve
O provisionamento just-in-time cria uma conta Ciao na primeira vez que um utilizador inicia sessão através do seu IdP. Isso remove o passo manual no onboarding e evita que contas pré-criadas fiquem por usar. O que o JIT não faz é desprovisionar: um utilizador que nunca mais inicia sessão continua a precisar que o seu acesso seja removido no IdP, e a automatização do ciclo de vida é melhor tratada pelo SCIM. A maioria das implementações enterprise usa SSO com JIT para a chegada e SCIM para todo o ciclo de vida — a página do SCIM cobre essa segunda metade.
Durante a avaliação, teste explicitamente o percurso JIT: atribua um utilizador de teste no IdP, inicie sessão uma vez, e confirme que a conta chega com a função que o seu mapeamento previa. O teste de cinco minutos diz-lhe mais do que qualquer diagrama de arquitetura.
Políticas de sessão e MFA
A duração da sessão, a frequência de reautenticação e as regras de step-up pertencem ao fornecedor de identidade, onde a sua equipa de segurança já as afina, e o SSO significa que as sessões do Ciao seguem a política que o seu IdP aplica no início de sessão. O MFA funciona da mesma forma: aplique-o na política do IdP que governa o acesso ao Ciao, com MFA opcional disponível também do lado da plataforma. O resultado prático para os revisores é uma única superfície de política a auditar, em vez de definições de sessão por ferramenta que se desalinham ao longo do tempo.
Quando a sua política muda — sessões mais curtas, regras de step-up mais rígidas — muda-a uma vez, no IdP, e o acesso ao Ciao segue-a sem uma auditoria paralela de definições do lado da plataforma.
Notas de verificação
As afirmações de identidade são fáceis de verificar: configure uma ligação de teste durante a avaliação e observe o início de sessão, a criação de contas JIT e o mapeamento de funções a acontecer contra o seu próprio IdP. O dossiê de segurança, disponível a pedido através da página de contacto, documenta a arquitetura de identidade por escrito, e os relatórios SOC 2 Type II sob NDA cobrem os controlos de gestão de acesso auditados por trás dela.
Capacidades num relance
| Capacidade | Mecanismo | Notas |
|---|---|---|
| Início de sessão único | SAML ou OIDC | Funciona com fornecedores de identidade compatíveis com os padrões |
| Autenticação multifator | Política do IdP, mais MFA opcional no Ciao | Aplique onde a sua equipa já governa o MFA |
| Criação de contas | Just-in-time no primeiro início de sessão | Combina-se com o SCIM para o ciclo de vida completo |
| Autorização | Controlo de acesso baseado em funções | Delimitação por workspace e por projeto |
| Evidência | Registo de auditoria apenas de acréscimo | Ações administrativas registadas para revisão |
Perguntas frequentes
Que fornecedores de identidade são suportados?
Qualquer fornecedor de identidade que implemente SAML ou OIDC — os IdP que as empresas normalmente usam, como o Okta, o Microsoft Entra ID e o Google Workspace, falam todos estes protocolos. A configuração é acompanhada com a sua equipa de identidade durante o onboarding.
Podemos exigir que todos os utilizadores iniciem sessão apenas através de SSO?
Impor o SSO como único caminho de início de sessão é uma questão de configuração de identidade tratada durante o onboarding — levante-a junto da equipa enterprise e a sua configuração será confirmada face ao requisito, em vez de presumida.
O que acontece quando um colaborador sai?
Desative-o no IdP e deixa de conseguir autenticar-se no Ciao. Com o provisionamento SCIM em vigor, a desativação também se propaga como um evento de ciclo de vida, e as ações administrativas envolventes ficam registadas no registo de auditoria apenas de acréscimo.
Qual é a diferença entre JIT e SCIM?
O JIT cria uma conta quando um utilizador inicia sessão pela primeira vez; trata apenas da chegada. O SCIM envia eventos de criação, atualização e desativação a partir do seu IdP de forma contínua, cobrindo todo o ciclo de vida. A maioria das implementações enterprise usa os dois em conjunto.
O SSO está incluído, ou é um extra?
O SSO via SAML e OIDC faz parte do conjunto de capacidades enterprise do Ciao. Os programas de produção sérios começam em 10.000 USD por ano — confirme o âmbito do plano com a equipa de vendas para que os requisitos de identidade fiquem no contrato desde o início.