Politicas disponibles
Las politicas de seguridad permiten controlar como los miembros de tu organizacion acceden a goMeetalk.
🕐 Duracion maxima de sesion
Tiempo maximo que una sesion puede estar activa antes de requerir nuevo login.
⏱️ Timeout por inactividad
Tiempo de inactividad antes de cerrar la sesion automaticamente.
🔐 Requerir SSO
Obliga a los miembros a usar SSO. El login con contrasena queda bloqueado para usuarios no-Owner. El Owner mantiene acceso de emergencia (break-glass) con contrasena, que se registra en audit log.
📧 Dominios permitidos
Los dominios permitidos se configuran en la seccion SSO (allowed_domains en org_sso_configs). Solo emails de estos dominios pueden unirse via SSO.
🌐 IP Allowlist
Permite acceso solo desde rangos de IP especificos (CIDR). Nota: esta funcionalidad esta disponible en backend pero su exposicion en UI esta sujeta a rollout progresivo.
🔄 Revocar sesiones al cambiar rol
Cierra todas las sesiones activas cuando se cambia el rol de un usuario.
Disponibilidad por plan
| Politica | Business | Enterprise |
|---|---|---|
| Duracion de sesion | ✓ | ✓ |
| Timeout inactividad | ✓ | ✓ |
| Requerir SSO | ✓ | ✓ |
| Dominios permitidos | ✓ | ✓ |
| IP Allowlist | - | ✓ |
| Revocar en cambio de rol | ✓ | ✓ |
Configurar politicas
- Ve a Perfil > Workspace > Politicas
- Selecciona la politica a configurar
- Elige el valor deseado
- Haz clic en "Guardar"
Los cambios se aplican inmediatamente a las nuevas sesiones. Las sesiones existentes se verifican en el siguiente request.
Cuidado con IP Allowlist
Si configuras IP allowlist incorrectamente, puedes bloquearte a ti mismo. Asegurate de incluir tu IP actual antes de activar. Contacta a soporte si quedas bloqueado.
Como funcionan las politicas
Evaluacion de politicas
Las politicas se evaluan en cada request autenticado:
- Se obtienen todas las politicas de las organizaciones del usuario
- Se aplica la politica mas restrictiva (ej: el timeout mas corto)
- Si la sesion no cumple, se cierra y el usuario debe re-autenticarse
Ejemplo: Usuario en 2 organizaciones
- Org A: timeout 4 horas
- Org B: timeout 1 hora
- Resultado: Se aplica 1 hora (la mas restrictiva)
Soft-fail
Si hay un error al evaluar politicas (ej: base de datos no disponible), goMeetalk permite el acceso para no bloquear a los usuarios. Esto se registra en el audit log.
SSO obligatorio
Cuando activas "Requerir SSO":
- Los usuarios no-Owner no pueden usar email + contrasena
- El backend bloquea el login con contrasena para usuarios no-Owner cuando SSO es requerido
- Excepcion Owner: El Owner puede usar contrasena como mecanismo de emergencia (break-glass). Este acceso se registra como
auth.sso_required_owner_bypassen audit log. - Las sesiones existentes con contrasena siguen activas hasta que expiren
- Recomendamos revocar sesiones manualmente al activar
Dominios permitidos
Los dominios permitidos se gestionan como parte de la configuracion SSO (allowed_domains):
- Solo emails con dominios en allowed_domains pueden unirse via SSO
- Los usuarios existentes con otros dominios mantienen acceso
- JIT provisioning via SSO respeta la lista de allowed_domains
Audit log de politicas
Todos los cambios de politicas se registran:
org.policies.updated- Cambio en politica de sesionorg.policies.sso_required_enabled- SSO obligatorio activadoorg.policies.updated- Cambio en IP allowlistorg.policies.updated- Cambio en dominios permitidosauth.sso_required_owner_bypass- Acceso de emergencia Owner con contrasena