Aprender · Gestionar una organización · 3 min de lectura

Miembros y dominios

Wodo crece al ritmo de lo formal que quiera ser tu organización con la identidad. Hay dos modelos, y pasas del primero al segundo cuando estés listo — no antes.

El modelo de invitación (cómo empieza toda organización)

Las personas se unen porque alguien las invitó: a la organización, a un espacio, a un documento. Cualquiera puede ser invitado con cualquier dirección de correo. Esto es lo adecuado para equipos pequeños, agencias y cualquier grupo cuya membresía es una cuestión de confianza, no de nómina.

En este modelo, cada persona es dueña de su propia cuenta. Puedes eliminar a alguien de tu organización, pero la cuenta es suya.

El modelo de dominio verificado

Si quieres que tu organización sea la autoridad sobre las cuentas @tuempresa.com — inicio de sesión centralizado a través de tu propio proveedor de identidad, compañeros que se incorporan sin rondas de invitación, una historia de baja limpia — verificas el dominio: publicas un registro DNS que demuestra que lo controlas (más una comprobación de inicio de sesión de que realmente operas buzones allí). Por orden de llegada por dominio; los proveedores públicos como gmail.com no se pueden verificar.

La verificación desbloquea varias funciones, cada una con su propio interruptor:

  • Gestionado vs. externo. La lista de miembros distingue ahora a las personas cuya identidad tú gobiernas (Gestionado — tu dominio) del resto (Externo). Los niveles de acceso no cambian; sí la visibilidad.
  • Inicio de sesión forzado. Conecta tu propio proveedor de identidad — Okta, Entra ID, cualquier OIDC — y el inicio de sesión para los usuarios de tu dominio debe pasar por él. Desactiva a alguien en tu IdP y no podrá acceder a Wodo. Sin passkey ni ruta alternativa que lo evite.
  • Incorporación automática. Opcionalmente, cualquier persona que inicie sesión con una dirección de dominio verificado se une a tu organización automáticamente — sin rondas de invitación para nuevos compañeros.
  • Baja autoritativa. Los miembros gestionados pueden ser eliminados y sus cuentas desactivadas por la organización — el flujo de salida que el cumplimiento normativo exige, y que el modelo de invitación deliberadamente no ofrece.

Las redes de seguridad

Bloquear el inicio de sesión a tu propio IdP genera un temor obvio: ¿y si la configuración del IdP se rompe? Una ruta de recuperación dedicada (/sso-recovery) permite que un administrador demuestre su identidad mediante un código enviado a todos los administradores, acceda únicamente a los ajustes de SSO, y corrija o desactive la configuración. Cada uso queda auditado y se notifica a todos los administradores.

Y la verificación del dominio se comprueba de forma continua. Si tu registro DNS desaparece, los administradores reciben avisos durante seis semanas antes de que caduque la gobernanza — nada se interrumpe bruscamente porque una migración de DNS eliminó un registro TXT.

Como todo lo de aquí: el SSO forzado y la gestión de dominios son funcionalidades incluidas, no un nivel enterprise. Consulta los precios.