SSO + SCIM: el pase obligatorio antes de cualquier conversación enterprise
Sin SSO SAML/OIDC y sin SCIM v2, una demo enterprise se cae antes del RFP. Cómo lo tenemos resuelto en FUVIHUB.
La conversación enterprise no empieza en el producto. Empieza en IT. Si el CIO no puede habilitarlo desde su IdP, si no puede auditar membresías desde su SCIM, si no puede revocar sin soporte humano, la demo no pasa del primer filtro.
FUVIHUB soporta SAML y OIDC sobre la misma `SsoConnection`: una sola integración cubre las dos variantes. El dominio se verifica primero por TXT (prefijo `_veil-domain`, alias legacy preservado por diseño) antes de activar el login.
SCIM v2 está implementado con Group membership, role binding aditivo y pack binding opcional. La extensión de schema se publica como `urn:fuvihub:params:scim:schemas:extension:group:1.0` — otra vez, legacy wire contract preservado por compatibilidad.
Los tokens de SCIM se rotan con ventana de gracia. El operador emite un nuevo token, el IdP lo pone en su rotación, y durante los siguientes `SCIM_TOKEN_ROTATION_GRACE_MINUTES` (60 por defecto) ambos tokens son válidos. Después, solo el nuevo. Cero downtime.
El resto de la conversación enterprise — políticas de organización, retención configurable, audit exportable, SLA medible — se sigue llevando. Pero el pase de IT se resuelve aquí.