Autenticación
Método de inicio de sesión
Percus usa Google OAuth 2.0 como único proveedor de autenticación, gestionado a través de NextAuth.js 5. No existen credenciales de usuario/contraseña — toda la autenticación se delega a la infraestructura de identidad de Google.
Esto significa:
- Percus nunca almacena ni gestiona contraseñas.
- La exposición por brechas de contraseñas no aplica a las cuentas de Percus.
- La autenticación de múltiples factores se controla a nivel de la cuenta de Google.
Gestión de sesiones
Tras un inicio de sesión exitoso con Google, NextAuth.js emite un token de sesión JWT almacenado en una cookie HTTP-only y segura. El token contiene:
| Claim | Descripción |
|---|---|
sub | ID del usuario (UUID interno de Percus) |
email | Correo de Google del usuario |
org_roles | Mapa de organizationId → rol para todas las organizaciones a las que pertenece el usuario |
system_role | "Owner" para los administradores de plataforma de Percus; ausente en todos los demás usuarios |
El token de sesión se valida en cada solicitud. Los cambios de rol toman efecto en la próxima solicitud tras refrescar la sesión.
Incorporación por invitación
Los usuarios no pueden auto-registrarse. El acceso a una organización se otorga únicamente mediante una invitación explícita emitida por un OrganizationAdmin. El usuario invitado se autentica con su cuenta de Google y queda asociado al rol asignado en el momento de la invitación.
Qué no gestiona Percus
| Aspecto | Quién lo gestiona |
|---|---|
| Fortaleza y rotación de contraseñas | Google (no aplica — sin contraseñas) |
| Aplicación de MFA | Administrador de Google Workspace o configuración individual de la cuenta de Google |
| Política de SSO (ej. forzar cuenta corporativa de Google) | Administrador de Google Workspace del cliente |
| Política de duración de sesión | Configuración de NextAuth.js (controlada por la plataforma) |