SSO SAML cloud cost management
Vinculá una Auth0 Enterprise Connection per-tenant (Okta, Azure AD, Google Workspace, Ping, OneLogin, SAML/OIDC genérico), reclamá tus dominios de email y opcionalmente forzá SSO para que las credenciales personales sean rechazadas. Provisioná y desprovisioná miembros automáticamente con un bearer token SCIM 2.0 que tu IdP rota.
La mayoría de herramientas FinOps directamente saltean SSO o venden una sola connection compartida de Auth0 entre todos los clientes — lo que significa que tu IdP en realidad no es dueño del lifecycle de tus usuarios. Lumicost vincula cada workspace a su propia Auth0 Enterprise Connection, rutea logins por dominio de email reclamado y expone un endpoint SCIM 2.0 para que Okta / Azure AD / Google Workspace desprovisione asientos en el momento en que alguien se va. SAML, OIDC y JIT user creation funcionan out of the box.
Vinculá tu workspace a una connection SAML u OIDC dedicada — Okta, Azure AD, Google Workspace, Ping, OneLogin, JumpCloud, SAMLp genérico. Sin connection multi-tenant compartida. Owner / Admin requerido para configurar.
Listá los dominios de email que tu tenant posee (acme.com, corp.acme.com). Los logins desde esos dominios se rutean directo a tu Identity Provider — sin connection picker, sin filtración del boundary del tenant.
Activá un solo toggle para bloquear cualquier login que no haya pasado por tu connection vinculada. Tokens personales de Google o password son rechazados en el API gateway, incluso si el usuario tenía sesión previa.
Generá un token SCIM per-tenant, pegalo en Okta / Azure AD / OneLogin y tu IdP pasa a ser la fuente de verdad para membresías y roles. Rotá o deshabilitá el token desde la UI; el token previo queda revocado de inmediato.
Cada cambio de config (binding, claim de dominio, toggle de enforcement, rotación de SCIM, alta/baja de miembros vía SCIM) emite una fila al mismo audit log append-only que usan SOC 2, ISO 27001, HIPAA, FedRAMP y el exporter SIEM. Tu auditor y tu SOC ven exactamente los mismos eventos.
La tuya. Cada tenant se vincula a una Auth0 Enterprise Connection dedicada que vos (o nosotros) configuramos una vez en el dashboard de Auth0. No hay un pool de SSO compartido — los metadatos del IdP, certificados y claim mappings quedan aislados por workspace.
Cualquier cosa que Auth0 Enterprise soporte: SAML 2.0, OIDC, WS-Federation. Eso cubre Okta, Azure AD / Entra ID, Google Workspace, Ping Identity, OneLogin, JumpCloud, ADFS y cualquier IdP SAMLp genérico. No imponemos un vendor específico.
Desde /settings/sso generás un bearer token SCIM (el plaintext se muestra una sola vez). Lo pegás en la config SCIM de tu IdP junto con la URL del endpoint SCIM que exponemos. Tu IdP entonces maneja Users (POST/PATCH/DELETE) y opcionalmente Groups → roles de Lumicost. Rotar el token revoca el anterior de inmediato.
El enforcement solo bloquea logins del tenant vinculado. El Owner original que configuró SSO puede deshabilitar el enforcement desde la UI mientras mantenga una sesión válida en Lumicost, y nuestro equipo de soporte puede hacer break-glass para deshabilitar enforcement a pedido de un contacto de billing verificado. Recomendamos dejar al menos un Owner con una vía de recuperación antes de activar enforcement.
Conecta credenciales solo lectura y obtén tus primeros insights en 24 horas.