SSO empresarial (OIDC)
El SSO empresarial permite que cada cuenta de StatusInspector configure su propio proveedor de identidad (IdP) corporativo —Google Workspace, Microsoft Entra ID (Azure AD), Okta, etc.— para que los miembros del equipo accedan con sus credenciales corporativas sin contraseña local separada.
El SSO empresarial es una funcionalidad planificada para cuentas Enterprise. Si necesitas SSO para tu organización, contacta con tu responsable de cuenta.
Cómo funciona
StatusInspector usa OpenID Connect (OIDC) como protocolo base. La diferencia con el login social de Google (disponible para todos los planes) es que el SSO empresarial autentica en el contexto de tu organización: el sistema valida que el usuario pertenece al tenant corporativo configurado por tu cuenta, no simplemente que tiene una cuenta de Google válida.
Flujo de autenticación (tenant discovery)
- El usuario introduce su email corporativo en la pantalla de login.
- StatusInspector identifica la cuenta por dominio del email (ej.
empresa.com → cuenta X). - Carga el proveedor OIDC configurado para esa cuenta.
- Redirige al IdP corporativo para autenticación.
- El IdP devuelve el token; StatusInspector valida
issuer,audience, firma y claims. - Si la identidad corresponde al tenant configurado, se inicia la sesión.
Políticas de acceso
| Política | Comportamiento |
|---|---|
| SSO opcional | Los miembros pueden entrar con contraseña local, Google OAuth o SSO corporativo. |
| SSO forzado | Solo se permite SSO para esa cuenta. El login local queda deshabilitado para todos los miembros (salvo cuenta de emergencia). |
Requisitos para configurar SSO
Para configurar SSO necesitas:
- Un IdP corporativo compatible con OIDC (Google Workspace, Azure AD, Okta, Auth0, etc.)
- Los valores:
issuer,client_id,client_secret,authorization_endpoint,token_endpoint,jwks_uri - El redirect URI que debes registrar en tu IdP:
https://statusinspector.com/auth/sso/callback
JIT (Just-in-Time provisioning)
Cuando un usuario se autentica con SSO por primera vez, StatusInspector puede crear automáticamente su acceso a la cuenta (JIT provisioning) si la política lo permite, sin necesidad de invitación previa.
Diferencia con el login de Google OAuth
| Google OAuth (social) | SSO empresarial (OIDC) | |
|---|---|---|
| Disponibilidad | Todos los planes | Enterprise |
| Autenticación | Cualquier cuenta Google | Solo cuentas del tenant corporativo |
| Configuración | Global (en Google Cloud) | Por cuenta en StatusInspector |
| Enforce SSO | No | Sí |
| Tenant validation | No | Sí (iss, aud, domain claim) |
Seguridad
El SSO empresarial implementa:
- Validación estricta de JWT (
iss,aud,exp,iat,nonce, firma JWKS) stateynonceobligatorios por intento (previene CSRF)- Secretos del IdP cifrados en reposo
- Rate limiting en endpoints de autenticación
- Registro de auditoría de intentos de acceso (éxito y fallo con motivo)
- Cuenta de emergencia ("break-glass") para administración si el IdP falla
Roadmap
La implementación planificada prioriza OIDC primero. SAML 2.0, SCIM (aprovisionamiento automático) y mapeo de grupos del IdP a roles RBAC internos están previstos para fases posteriores.
Ver también: Equipo y roles para el modelo de roles actual.