Conectar IdPs

Un IdP (Identity Provider) externo le permite a tus usuarios loguearse con su cuenta de Google, GitHub, Apple, o el IdP corporativo de su empresa (SAML / OIDC). Para tu workspace, agregar un IdP es:

Dashboard → IdPs → Add provider → elegí

Vas a necesitar client_id y client_secret del provider. Cómo obtenerlos varía:

Google

1. Google Cloud Console → APIs & Services → Credentials.
2. Create Credentials → OAuth client ID → Web application.
3. Authorized redirect URIs: pegá el callback que el dashboard te muestra al elegir Google. Forma: https://<tu-slug>.auth.prysmid.com/idps/callback.
4. Save → copiá client_id y client_secret.
5. En el dashboard de Prysm:ID, pegá ambos. Test → activate.

Scopes default: openid email profile. Si necesitás más (calendar, drive, etc), pasalos como parámetros adicionales — pero recordá que cada scope nuevo requiere consent del usuario.

GitHub

1. GitHub → Settings → Developer settings → OAuth Apps → New OAuth App.
2. Application name: tu producto. Homepage URL: tu landing.
3. Authorization callback URL: https://<tu-slug>.auth.prysmid.com/idps/callback.
4. Generate client_secret → copiá.
5. Dashboard de Prysm:ID → pegá → activate.

GitHub no devuelve email por default si el user lo tiene privado. Pedí scope user:email y resolvelo en tu lado.

Apple

1. Apple Developer Console → Certificates, Identifiers & Profiles → Identifiers → Services IDs → New.
2. Configurá un Sign in with Apple Services ID. Return URL (Web): https://<tu-slug>.auth.prysmid.com/idps/callback.
3. Generá una Sign in with Apple key (Keys → New). Descargá el .p8 (única vez).
4. Anotá: Team ID (Membership → Team ID), Key ID, Services ID (= client_id).
5. Dashboard Prysm:ID → Add Apple → pegá Team ID + Key ID + Services ID + contenido del .p8. Test → activate.

Apple Sign In requiere HTTPS público para el callback (no funciona contra localhost). Para development, usá un dominio Cloudflare Tunnel o un workspace de prueba.

SAML

Para IdPs SAML (Okta, OneLogin, etc):

1. En tu IdP, creá una “SAML application”.
2. ACS URL (Assertion Consumer Service): https://<tu-slug>.auth.prysmid.com/saml/acs.
3. Entity ID: https://<tu-slug>.auth.prysmid.com/saml/metadata.
4. NameID format: EmailAddress (recomendado).
5. Attributes: como mínimo email. Opcionales: firstName, lastName, groups.
6. Tu IdP te da una metadata URL o un XML download.
7. Dashboard Prysm:ID → Add SAML → pegá la metadata URL o subí el XML.

Consejo

SAML es plan Pro+. Si estás en Free, el botón aparece deshabilitado con un upsell a Pro. La razón es operacional: SAML es por-tenant config, requiere validation, support more denso.

Después de agregar el IdP

Aparece como botón en la pantalla de login de tu instance. Tu user ve:

[ Login with Google ]
[ Login with GitHub ]
[ Login with Acme SSO ]   ← tu IdP corporativo
─── or ───
email: [          ]
password: [       ]

El orden es modificable: drag & drop en la lista de IdPs. El que va primero gana ≥40% de conversion (es lo más prominente).

IdPs por tenant (Pro+)

Si tu cliente enterprise quiere “solo SU IdP” para SU tenant, no para todo tu workspace:

Dashboard → workspace → tenants → <tenant> → IdPs → Add tenant IdP

Esos overrides aplican solo en flows OIDC con tenant_hint=<tenant>. Tus otros tenants no ven ese IdP.

Quitar un IdP

IdPs → ⋯ → Remove. Sesiones existentes siguen vivas hasta expirar (tokens emitidos antes son válidos hasta exp). Nuevos logins por ese IdP ya no funcionan.

Si era el único IdP del workspace, te avisamos: dejarías el workspace sin método de login excepto email/password. El MCP server requiere confirmación humana para esta operación específica.