Enterprise

Início de sessão único via SAML e OIDC

Traga o Ciao para debaixo dos controlos de identidade que já gere — SAML ou OIDC, MFA opcional, provisionamento just-in-time e políticas de sessão aplicadas onde devem estar: no seu IdP.

O Ciao suporta início de sessão único via SAML e OIDC, com MFA opcional e controlo de acesso baseado em funções. Ao contrário de ferramentas baseadas em palavra-passe que criam um silo de identidade paralelo, o SSO coloca o Ciao atrás do seu fornecedor de identidade existente — para que os novos colaboradores obtenham acesso através do seu diretório, as políticas de sessão e reautenticação sigam as regras do seu IdP, e quem sai perca o acesso no momento em que o seu IdP o desativa.

Ideal paraEquipas de TI e identidadeRevisores de segurança a avaliar o controlo de acessoOnboarding enterprise

Publicado 2026-07-03 · Última atualização 2026-07-03

Porque é que o SSO é normalmente o primeiro requisito enterprise

Toda a ferramenta que guarda as suas próprias palavras-passe é uma ferramenta que o seu processo de offboarding pode não apanhar. Para uma plataforma em que um utilizador com sessão iniciada pode pedir alterações a software de produção, esse risco é mais agudo do que num produto de dashboard: uma conta órfã não é apenas uma questão de exposição de dados, mas também uma questão de controlo de alterações. As revisões de segurança têm razão em colocar o SSO perto do topo da lista de requisitos.

O SSO move a autenticação do Ciao para trás do fornecedor de identidade que já governa. As revisões de acesso acontecem num só lugar, a política de MFA é aplicada de forma consistente, e o processo de entradas, mudanças e saídas que os seus auditores já aceitam alarga-se para cobrir o desenvolvimento assistido por IA sem um repositório de contas paralelo para reconciliar.

Há um benefício mais discreto para as pessoas que fazem o trabalho: menos uma palavra-passe, menos um ritual de início de sessão, e acesso que surge logo no primeiro dia porque o diretório — e não uma fila de pedidos — é a fonte de verdade. Os controlos que tornam o caminho seguro no caminho conveniente são os controlos que as pessoas realmente seguem, e o SSO é o exemplo mais claro na pilha de identidade.

O que o Ciao fornece

As capacidades de identidade abaixo fazem parte da plataforma enterprise, e cada uma é verificável durante o onboarding ou a avaliação:

  • SAML e OIDC — SSO através de ambos os protocolos principais, para que o Ciao funcione com o IdP que já usa hoje, em vez de exigir um fornecedor específico.
  • MFA opcional — O MFA pode ser aplicado através da política do seu IdP, com MFA opcional disponível também do lado do Ciao como parte da configuração de identidade.
  • Controlo de acesso baseado em funções — O SSO combina-se com o RBAC, para que a autenticação responda a quem é e as funções respondam ao que pode fazer — em workspaces e projetos.
  • Provisionamento just-in-time — As contas podem ser criadas no primeiro início de sessão bem-sucedido através do seu IdP, para que o onboarding não dependa da criação manual de contas.
  • Ações administrativas auditadas — As alterações de identidade e acesso são ações administrativas, e as ações administrativas ficam registadas no registo de auditoria apenas de acréscimo.

Como funciona a configuração

  1. 1. Escolha o protocolo

    SAML ou OIDC, consoante a preferência da sua equipa de IdP. Nenhum deles é a opção 'menor' — escolha o que as suas ferramentas de identidade gerem melhor.

  2. 2. Crie a aplicação no seu IdP

    Registe o Ciao no seu fornecedor de identidade da mesma forma que regista qualquer aplicação SSO, e atribua os utilizadores ou grupos que devem ter acesso.

  3. 3. Troque a configuração

    Metadados, endpoints e certificados são trocados entre o seu IdP e o Ciao durante o onboarding, com a equipa enterprise a acompanhar o processo junto dos seus engenheiros de identidade.

  4. 4. Teste com um grupo piloto

    Verifique o início de sessão, a criação de contas just-in-time e a atribuição de funções com um pequeno grupo antes de alargar o acesso.

  5. 5. Alargue e reveja

    Alargue a atribuição a toda a população, e depois confirme no registo de auditoria que os eventos de acesso e as ações administrativas ficam registados da forma que a sua revisão espera.

Provisionamento just-in-time e o que ele não resolve

O provisionamento just-in-time cria uma conta Ciao na primeira vez que um utilizador inicia sessão através do seu IdP. Isso remove o passo manual no onboarding e evita que contas pré-criadas fiquem por usar. O que o JIT não faz é desprovisionar: um utilizador que nunca mais inicia sessão continua a precisar que o seu acesso seja removido no IdP, e a automatização do ciclo de vida é melhor tratada pelo SCIM. A maioria das implementações enterprise usa SSO com JIT para a chegada e SCIM para todo o ciclo de vida — a página do SCIM cobre essa segunda metade.

Durante a avaliação, teste explicitamente o percurso JIT: atribua um utilizador de teste no IdP, inicie sessão uma vez, e confirme que a conta chega com a função que o seu mapeamento previa. O teste de cinco minutos diz-lhe mais do que qualquer diagrama de arquitetura.

Políticas de sessão e MFA

A duração da sessão, a frequência de reautenticação e as regras de step-up pertencem ao fornecedor de identidade, onde a sua equipa de segurança já as afina, e o SSO significa que as sessões do Ciao seguem a política que o seu IdP aplica no início de sessão. O MFA funciona da mesma forma: aplique-o na política do IdP que governa o acesso ao Ciao, com MFA opcional disponível também do lado da plataforma. O resultado prático para os revisores é uma única superfície de política a auditar, em vez de definições de sessão por ferramenta que se desalinham ao longo do tempo.

Quando a sua política muda — sessões mais curtas, regras de step-up mais rígidas — muda-a uma vez, no IdP, e o acesso ao Ciao segue-a sem uma auditoria paralela de definições do lado da plataforma.

Notas de verificação

As afirmações de identidade são fáceis de verificar: configure uma ligação de teste durante a avaliação e observe o início de sessão, a criação de contas JIT e o mapeamento de funções a acontecer contra o seu próprio IdP. O dossiê de segurança, disponível a pedido através da página de contacto, documenta a arquitetura de identidade por escrito, e os relatórios SOC 2 Type II sob NDA cobrem os controlos de gestão de acesso auditados por trás dela.

Capacidades num relance

CapacidadeMecanismoNotas
Início de sessão únicoSAML ou OIDCFunciona com fornecedores de identidade compatíveis com os padrões
Autenticação multifatorPolítica do IdP, mais MFA opcional no CiaoAplique onde a sua equipa já governa o MFA
Criação de contasJust-in-time no primeiro início de sessãoCombina-se com o SCIM para o ciclo de vida completo
AutorizaçãoControlo de acesso baseado em funçõesDelimitação por workspace e por projeto
EvidênciaRegisto de auditoria apenas de acréscimoAções administrativas registadas para revisão

Perguntas frequentes

Que fornecedores de identidade são suportados?

Qualquer fornecedor de identidade que implemente SAML ou OIDC — os IdP que as empresas normalmente usam, como o Okta, o Microsoft Entra ID e o Google Workspace, falam todos estes protocolos. A configuração é acompanhada com a sua equipa de identidade durante o onboarding.

Podemos exigir que todos os utilizadores iniciem sessão apenas através de SSO?

Impor o SSO como único caminho de início de sessão é uma questão de configuração de identidade tratada durante o onboarding — levante-a junto da equipa enterprise e a sua configuração será confirmada face ao requisito, em vez de presumida.

O que acontece quando um colaborador sai?

Desative-o no IdP e deixa de conseguir autenticar-se no Ciao. Com o provisionamento SCIM em vigor, a desativação também se propaga como um evento de ciclo de vida, e as ações administrativas envolventes ficam registadas no registo de auditoria apenas de acréscimo.

Qual é a diferença entre JIT e SCIM?

O JIT cria uma conta quando um utilizador inicia sessão pela primeira vez; trata apenas da chegada. O SCIM envia eventos de criação, atualização e desativação a partir do seu IdP de forma contínua, cobrindo todo o ciclo de vida. A maioria das implementações enterprise usa os dois em conjunto.

O SSO está incluído, ou é um extra?

O SSO via SAML e OIDC faz parte do conjunto de capacidades enterprise do Ciao. Os programas de produção sérios começam em 10.000 USD por ano — confirme o âmbito do plano com a equipa de vendas para que os requisitos de identidade fiquem no contrato desde o início.

Páginas relacionadas

Obtenha o pacote de segurança.

Início de Sessão Único: SAML e OIDC | Ciao