Identidade para humanos, agentes e máquinas

Auth para a era da IA.
Humanos, agentes e máquinas.

Um modelo único de identidade para todo mundo que chama o seu produto — humanos fazendo login, agentes agindo em nome deles e serviços se autenticando com mTLS ou tokens M2M. Mesmo SDK, mesma auditoria, mesmo motor de política.

Falar com vendas →

Construído por engenheiros do Rio

Conversa com

Por que Authaz

Auth não foi desenhado para o que você está construindo.

Produtos AI-native nascem multi-tenant no dia um, com agentes chamando APIs em nome de usuários e superfície de feature que compõe toda semana. As ferramentas de auth que você usaria foram feitas para outra década.

— 01

Multi-tenant no dia um

Seu produto nasceu com workspaces, não com modo single-user. A maioria dos vendors empurra tenancy para um tier pago — a Authaz trata organizações e membros como primitivas de primeira classe.

— 02

Agentes e serviços são identidades de primeira classe

Seu produto faz chamadas em nome de humanos — via modelos, agentes, automações e serviços de backend. IAM mainstream não tem resposta clara para 'qual agente (ou serviço) agiu como qual usuário, com qual escopo?' A Authaz modela humanos, agentes e máquinas sob a mesma primitiva — com mTLS, tokens M2M e delegação escopada embutidos.

— 03

Autorização cresce junto com você

Cada feature traz mais um scope, mais um papel, mais um condicional. Faz na unha e ossifica; escolhe o vendor errado e te persegue para sempre. RBAC, ReBAC e política por organização como primitivas gerenciadas.

— 04

Velocidade é o moat

Startups da era da IA ganham entregando mais rápido do que os incumbentes reagem. Auth não pode ser o que freia seu trem de release — instale o SDK, suba o login, vá para a próxima feature.

Feito para

Times construindo a próxima geração de SaaS.

Se o seu produto tem humanos fazendo login, agentes chamando APIs em nome deles ou serviços se autenticando entre si com mTLS ou tokens M2M — Authaz é a plataforma de auth que você não precisa peitar.

AI SaaS e plataformas de agentes

Identidade de agente, tokens escopados para chamadas de LLM, auditoria por ação — para produtos onde 'quem fez o quê, em nome de quem' é a pergunta difícil.

Plataformas de API e workloads de máquina

Tráfego serviço-a-serviço, clientes pinados via mTLS e tokens M2M escopados — modelados do mesmo jeito que sessões humanas, com a mesma política por tenant e a mesma trilha de auditoria.

SaaS multi-tenant moderno

Workspaces, papéis de membro e SSO gerenciado pelo cliente — modelados certo de cara, sem empurrar tenancy para depois.

Startups vibe-coded

Código construído com IA entregando toda semana. Instale o SDK, suba o login, foque na parte do produto que só você consegue construir.

Plataformas B2B graduando para enterprise

Quando o primeiro cliente grande pedir SAML, SCIM, auditoria e step-up, você já tem. Sem replataforming, sem conta de add-on.

Casos de uso

Padrões que vão soar familiares.

AI SaaS

Identidade de agente, tokens escopados por chamada e trilha de auditoria limpa para cada ação que um modelo executa em nome de um usuário.

Produtos multi-workspace

Usuários pertencem a várias organizações. Trocar de workspace troca papéis, tokens e política — automaticamente.

APIs serviço-a-serviço

Serviços de backend, integrações com parceiros e jobs agendados — autenticados com mTLS ou tokens M2M escopados, auditados na mesma fidelidade que ações de usuário.

Marketplaces

Compradores, vendedores e operadores da plataforma em três lados do mesmo modelo de identidade — sem stacks de auth separadas.

Autenticação

Toda forma de autenticar. Humano, agente ou máquina.

Senha, passkey, magic link, OAuth, SAML, MFA, tokens M2M, clientes mTLS e identidades de agente — uma API, uma trilha de auditoria, um lugar para configurar. Seja quem (ou o que) estiver chamando, você tem as mesmas primitivas.

MÉTODOS · ÚLTIMAS 24H

Autorização

Autorização pertence à plataforma.

A maioria dos vendors de auth para no login. A Authaz segue adiante — RBAC, ReBAC, política por tenant e um log de decisões que trata usuários, agentes e serviços como sujeitos de primeira classe. A mesma regra decide se um humano, um agente ou um serviço de backend pode agir. Sem middleware custom, sem tabelas de papel feitas em casa.

policy.zslive

policy "doc:edit" {
allow if subject.role == "admin"
allow if subject.id == resource.owner
allow if resource.shared_with.has(subject.id)
deny if resource.archived
}

policy "billing:*" {
allow if subject.role in ["admin", "billing"]
}

decisions · livestreaming

p99 1.4ms

allow

doc:edit

usr_val@acme.com

just now

allow

doc:read

agent:codex

1s ago

deny

billing:pay

usr_rod@acme.com

2s ago

allow

org:invite

usr_sam@acme.com

4s ago

allow

doc:share

usr_lee@acme.com

6s ago

deny

admin:kick

usr_new@acme.com

9s ago

Modelo multi-tenant

Como identidade mapeia de verdade em SaaS B2B.

Isolamento de tenant não é uma flag no seu token — é como cada camada pensa o acesso. Tokens, política e auditoria carregam contexto de organização por padrão.

Tenant: Acme

Membros

val@acme.comrod@acme.com+ 240

Papéis

adminbillingmember

Recursos

docsbillingaudit

Tenant: Globex

Membros

lee@globex.iosam@globex.io+ 1.2k

Papéis

ownersupportviewer

Recursos

projectsbillingaudit

JWT · org=acme · roles=[admin]

policy.zs · escopo por org

Um modelo único de identidade. Cada token, política e linha de auditoria carrega contexto de organização — sem bookkeeping no lado da aplicação.

Como funciona

Dentro do caminho de auth.

Toda request entra na borda regional mais próxima, pega contexto do tenant no resolver, passa pela política e grava uma linha de auditoria — tudo em menos de cinquenta milissegundos.

Fluxo de request multi-tenantp99 < 50ms

01 · Edge

TLS termina na região mais próxima. Request recebe um trace id.

02 · Resolver

Tenant detectado por domínio ou token. Contexto de org anexado.

03 · Política

RBAC, ReBAC e regras de step-up avaliadas. Decisão logada.

04 · Auditoria

Ação, sujeito, recurso, decisão — escritos de forma imutável.

Fluxos comuns

1e-mail digitado
2IdP roteado
3MFA verificado
4JWT emitidook

Troca de org

1selecionar org
2escopo atualizado
3novo token
4política recarregadaok

Convidar membro

1admin envia
2e-mail entregue
3convite aceito
4papel atribuídook

Configuração

Entregue sua stack de auth inteira a partir de um arquivo.

Defina providers, MFA, sessões, signup e branding em YAML versionado. authaz apply compara seu arquivo com o tenant em produção e aplica a mudança — do local pro staging pro prod, sem clicar em dashboard.

$curl -sSL install.authaz.io | sh·macOS · Linux · Windows

authaz.yamlsincronizado

apiVersion: authaz/v1
kind: Application
metadata:
  name: acme
  etag: "5f3a2b1c"
spec:
  authentication:
    providers:
      emailPassword:
        enabled: true
        minLength: 12
        rejectBreached: true
        lockout: { maxAttempts: 5, durationMinutes: 15 }
      magicLink:
        enabled: true
        codeType: numeric
        codeLength: 6
        codeExpiryMinutes: 15
      oauth:
        - provider: google
          scopes: [openid, profile, email]
    mfa:
      mode: required
      allowedMethods: [totp, webauthn]
      primaryMethod: totp
      gracePeriodDays: 7
      requireForAdmins: true
    session:
      timeoutMinutes: 480
      idleTimeoutMinutes: 30
      maxConcurrentSessions: 5
  branding:
    preset: professional

terminal · authaz applyexit 0 · 1.4s

$ authaz apply --file authaz.yaml

  + spec.authentication.providers.magicLink: enabled
  ~ spec.authentication.mfa.mode: optional → required
  + spec.authentication.mfa.allowedMethods: [totp, webauthn]
  + spec.authentication.mfa.requireForAdmins: true
  ~ spec.authentication.session.timeoutMinutes: 720 → 480
  + spec.authentication.providers.oauth[google]: enabled
  ~ spec.branding.preset: indigo → professional

7 mudança(s)
Aplicar essas mudanças? s

✓ Aplicação acme atualizada
ETag: 9c4e1a8b…
7 mudança(s) aplicada(s).

authaz validate — validação de schema e rangesauthaz apply --dry-run — ver o diff antesauthaz export — round-trip do tenant em produçãoProtegido por ETag · concorrência otimista

Experiência do desenvolvedor

API-firstAPI RESTSDKsWebhooksTerraform (em breve)

Verifique uma sessão em cinco linhas.

SDKs nas linguagens que você usa. Mesmas primitivas, mesmo formato, mesma documentação. Sem dança de dez chamadas para pegar o id do usuário.

import{ authaz } from "@authaz/server"; export async function GET(req: Request) { const session = await authaz.sessions .verify(req.headers.get("authorization")); if (!session) return new Response("", { status: 401 }); return Response.json({ user: session.subject, org: session.org, roles: session.roles, }); }

response · 200 ok37ms

{ "user": { "id": "usr_01HZX7...", "email": "val@acme.com", "verified": true }, "org": { "id": "org_acme", "slug": "acme", "plan": "enterprise" }, "roles": ["admin", "billing"] }

Webhooks e eventos

Encaixe sua stack na identidade, não o contrário.

Assine uma vez. Replay sob demanda. Toda mudança de identidade no seu tenant dispara um evento tipado que você roteia para Slack, seu CRM ou seus próprios serviços.

events

user.created

Novo usuário provisionado, com método, IP e contexto do IdP.

organization.invited

Convite emitido — token, papel e o convidador no mesmo payload.

mfa.enabled

Fator MFA ativado para um usuário. Útil para dashboards de compliance.

session.revoked

Sessão encerrada programaticamente — por admin, por política ou pelo usuário.

policy.denied

Uma decisão de autorização retornou deny. Stream direto para o seu SIEM.

POST /seu-webhook · assinado (HMAC-SHA256)200 OK

{ "id": "evt_01HZX9...", "type": "organization.invited", "created_at": 1746518400, "data": { "org_id": "org_acme", "email": "sam@acme.com", "role": "admin", "invited_by": "usr_val@acme.com", "valid": true } }

Chaves de idempotência, retries exponenciais, janela de replay de 30 dias.

Desenvolvimento local

Construa contra auth de verdade, localmente.

Tenants de sandbox vêm pré-populados com usuários, orgs e papéis. Callbacks locais funcionam de cara — sem coreografia de ngrok pra fazer login.

Tenants de sandbox

Suba tenants isolados com dados-semente. Resete para zero em uma chamada de CLI.

Callbacks locais

http://localhost é permitido em tenants de dev. Sem gambiarra de reverse proxy.

Ambientes de teste

Pre-staging, staging e prod tenants compartilham o mesmo schema e o mesmo formato de SDK.

terminal · ~/dev

$ authaz tenants create --seed dev
$ authaz dev --port 3000 --tenant my-dev
→ Login URL: http://localhost:3000/auth/callback

Auditoria & compliance

Cada ação registrada. Nada para construir.

Sessões, desafios, decisões de política, ações de admin — imutável, filtrável, exportável. Seu SIEM, seu S3, sua escolha.

2,4MEventos · hoje

99,987%Sucesso de ingestão

42msLatência p99 de ingestão

184Bloqueados · última 1h

horárioeventoator · contextoresultado

17:42:11.204USER.AUTHENTICATEDval@acme.comPasskey · iPhone 15 · São Paulo, BR · 200.144.x.xok

17:42:09.819MFA.CHALLENGEDval@acme.comTOTP via Authenticator · 1.4s responseok

17:42:04.331PASSWORD.FAILEDrisk · mediumrod@acme.com3rd attempt · Chrome on Windows · Lagos, NG · new devicefail

17:41:58.002POLICY.DENIEDrod@acme.combilling:pay · subject.role ∉ ['admin','billing']deny

17:41:44.556PASSKEY.REGISTEREDadmin@acme.comTouch ID · MacBook Pro · synced via iCloud Keychainok

17:41:31.100AGENT.TOKEN_ISSUEDsvc:codexscope: doc:read,doc:write · ttl 3600s · client_id ag_01HZ…ok

17:41:18.722OAUTH.LINKEDval@acme.comGoogle Workspace · acme.com · refresh_token rotatedok

17:41:12.784SESSION.REVOKEDsam@acme.comManual revoke by admin@acme.com · 4 devices invalidatedok

17:41:02.119EMAIL.VERIFIEDnew@acme.comMagic-link · clicked 11s after send · same IP as requestok

17:40:59.003PASSWORD.CHANGEDlee@acme.comSelf-service · entropy 78 bits · breached-password check passedok

17:40:47.501ACCOUNT.LOCKEDrisk · highbot@acme.com20 failed attempts in 60s · auto-lock 15m · ASN AS14061deny

17:40:33.207USER.SIGNED_OUTkim@acme.comIdle timeout · last active 30m agook

White-label

Faça dela a sua.

Domínio próprio, marca própria, IdPs do seu cliente — cada tela de login parece parte do produto do seu cliente, não uma escala num fornecedor.

centered

🔒 https://login.sunny.com/sign-in

Bem-vindo de volta

Entre na sua conta Sunny

E-mail

you@sunny.com

Senha

••••••••••••

Sunny — O jeito mais amigável de organizar o seu dia.

Domínio próprio

CNAME para o seu subdomínio. SSL e renovações por nossa conta.

IdPs do cliente

Microsoft Entra, Google Workspace, SAML ou OIDC.

Logo personalizado

Telas de login, e-mails e telas de consentimento.

Cores da marca

Cor primária e acento iguais em toda a UI de auth.

Templates de e-mail

Verificação, boas-vindas e reset customizáveis.

Página universal de login com a sua marca e domínio.

Feito para SaaS B2B

A wedge que a maioria das plataformas de identidade perde.

SaaS B2B vive ou morre em três coisas: organizações, acesso de membros e permissões com escopo por tenant. Authaz é construído em torno disso — não como add-ons pagos em torno disso.

Sem tenant sprawl

Estado de org e membros em um lugar. Sem tabelas-fantasma, sem Notion como fonte da verdade.

Sem labirinto de add-on enterprise

SAML, SCIM, auditoria, step-up — mesmo SDK, mesmo tier, desde o dia um.

Sem gestão de org fragmentada

Convites, papéis e SSO gerenciado pelo cliente ficam sobre uma única primitiva.

Sem reconstruir autorização

RBAC, ReBAC e política por tenant são gerenciadas e auditadas — não espalhadas pelo seu código.

Pronto para enterprise

Tudo que enterprise pede. Entregue, não em roadmap.

As features que seus maiores clientes perguntam — SAML, SCIM, auditoria, FGA, multi-região — embutidas no mesmo SDK que cuida do signup do seu primeiro usuário.

SAML SSO

Iniciado pelo IdP e pelo SP. Por tenant. Modo de teste incluso.

Provisionamento SCIM

Usuários e grupos sincronizados do Okta, Entra ou JumpCloud — sem webhooks.

Logs de auditoria

Imutáveis, filtráveis, exportáveis para seu SIEM ou S3.

Autorização fine-grained

RBAC, ReBAC e política por organização em um motor.

Isolamento de organização

Limites de tenant aplicados em token, política e auditoria.

Autenticação multifator

TOTP, passkeys e chaves de hardware. Política por tenant.

Step-up auth

Reverifique identidade antes de ações privilegiadas e fluxos de alto risco.

Controle de sessão

Revogue por dispositivo, agente ou IP. Limite sessões concorrentes por papel.

Domínios próprios

E-mail próprio

Envie verificação pelo SES, Postmark ou seu provedor — mantenha a reputação do remetente.

Multi-região

Active-active entre regiões, failover automático, latência de decisão sub-50ms.

Webhooks e eventos

user.created, organization.invited, mfa.enabled — encadeie suas automações.

Segurança e compliance

O security review vira um checklist, não um projeto.

Authaz é desenhado para SOC 2 e para o questionário de segurança do seu maior cliente. Criptografia, isolamento e rotação não são add-ons — são defaults.

Criptografia em repouso e em trânsito

AES-256-GCM em repouso. TLS 1.2+ em todo tráfego.

Tokens JWE / JWS

Payloads criptografados quando claims são sensíveis. Assinados em todo lugar.

Isolamento de tenant

Lógico e criptográfico. Chaves por tenant para payloads sensíveis.

Rotação de chave automática

Chaves de assinatura de token rotacionam no schedule. Sem ops manual.

Monitoramento 24/7

Detecção de anomalias nos fluxos de auth. Alertas para credential stuffing, replay e exfiltration.

Rate limiting por tenant

Um tenant barulhento não pode degradar seus outros clientes.

Ver visão geral de segurança →

Confiabilidade

O sign-in segue funcionando — mesmo quando a AWS não funciona.

Active-active entre regiões. Failover automático. O caminho de auth é a última coisa na sua stack que você quer instável.

active-active

Multi-região por padrão

failover automático

Perda de região invisível para seus usuários

99,99%

Meta de SLA de uptime

por tenant

Replicação e rate limits, isolados por cliente

Ver status →

Migração

Já está no Auth0, Cognito ou auth próprio?

A maioria dos times que migra para a Authaz vem de um destes três lugares. Temos um caminho para cada — e engenheiros que já fizeram a migração antes.

← Auth0

Migrando do Auth0

Largue a conta de add-on enterprise. Traga usuários, tenants e regras sem forçar re-login.

← Cognito

Migrando do Cognito

Troque o labirinto de configuração por um modelo declarativo único — mesmos MAU, menos ops.

← Auth próprio

Substituindo auth próprio

Entregue senha, sessões e auditoria. Fique com a regra de negócio. Tenha primitivas enterprise em dias.

Preços

Previsível do primeiro usuário ao décimo milésimo tenant.

Preço por MAU. Segurança incluída em todo tier. SAML não fica atrás de paywall.

Pro

US$ 25

por mês

Escale com features enterprise embutidas.

Até 50 mil MAU
SAML SSO + multi-tenant
Retenção de auditoria de 7 dias

Business

Um control plane de identidade para SaaS B2B.

A Authaz está sendo construída como a infraestrutura de enterprise readiness para software B2B — identidade de cliente, de workforce e de máquina sob um único modelo. Mesmas primitivas. Mesma auditoria. Um contrato.

IAM de cliente

Seus usuários finais e organizações

Signup, login, SSO gerenciado pelo cliente, autorização por tenant. A superfície de SaaS B2B, hoje.

IAM de workforce

Seu time e suas ferramentas internas

Dashboards admin, consoles de suporte, tooling de engenharia. Mesma espinha de identidade do produto voltado ao cliente.

Identidade de máquina e workload

Agentes, serviços, credenciais escopadas

Tokens M2M, identidades de agente, service accounts. Auditados na mesma fidelidade das ações de usuário — sem uma stack separada.

A maioria dos times roda três stacks de identidade: uma para clientes, uma para funcionários, uma para serviços. A Authaz colapsa as três numa só — mesmo modelo, mesmo SDK, mesma auditoria.

Novidades

Ver todas →

15 abr 2026

Sessões escopadas por agente

Tokens escopados e trilha de auditoria para agentes de IA.

09 abr 2026

Passkeys atadas ao dispositivo

Exija chaves de hardware para ações marcadas como admin.

02 abr 2026

Exportação de auditoria por tenant

Streams por tenant para S3, Datadog ou o seu SIEM.

26 mar 2026

Setup SAML de IdP em um clique

Fluxo self-serve para IdPs fornecidos pelo comprador.

Prova

Times entregando auth, em vez de construir auth.

"Tive SSO, passkeys e MFA no ar até o domingo à tarde. Eu estava construindo um produto, não um sistema de auth."

Fundador indie

SaaS B2B

"O primeiro fornecedor de auth cujos docs batem com o que o SDK realmente faz. Só isso já economizou uma sprint pra gente."

Staff engineer

Empresa de dev-tools

"Uma Fortune 500 pediu SAML e auditoria pronta pra SOC 2 na mesma call. A gente disse sim. Entregou em três dias."

CTO

SaaS Series B

< 50ms

Decisão de auth, p99 global

11+

Métodos de auth, uma API

SOC 2

Tipo II, no roadmap

em números

< 50ms

decisão de auth, p99 global

11+

métodos de auth, uma API

multi-região

active-active, sobrevive à queda de uma região AWS inteira

Quando uma região AWS inteira cai, seu fluxo de sign-in continua no ar. Active-active entre regiões — do primeiro usuário ao décimo milésimo tenant, sem reescritas no caminho.

Pare de construir auth do zero.
Entregue a parte do produto que é da era da IA.

Instale o SDK. Autentique usuários, escope agentes, assine chamadas serviço-a-serviço com mTLS ou tokens M2M — audite cada ação. Volte a construir a parte do produto que só você consegue construir.

Sem spam, nunca.

Acesso antecipado

Benefícios de lançamento

Suporte prioritário

Programa para startups — preço de lançamento para times qualificadosLista de espera aberta — rollouts semanais de acesso antecipado

Auth para a era da IA.Humanos, agentes e máquinas.

Auth não foi desenhado para o que você está construindo.

Times construindo a próxima geração de SaaS.

Padrões que vão soar familiares.

Toda forma de autenticar. Humano, agente ou máquina.

Autorização pertence à plataforma.

Como identidade mapeia de verdade em SaaS B2B.

Dentro do caminho de auth.

Entregue sua stack de auth inteira a partir de um arquivo.

Verifique uma sessão em cinco linhas.

Encaixe sua stack na identidade, não o contrário.

Construa contra auth de verdade, localmente.

Cada ação registrada. Nada para construir.

Faça dela a sua.

A wedge que a maioria das plataformas de identidade perde.

Tudo que enterprise pede. Entregue, não em roadmap.

O security review vira um checklist, não um projeto.

O sign-in segue funcionando — mesmo quando a AWS não funciona.

Já está no Auth0, Cognito ou auth próprio?

Previsível do primeiro usuário ao décimo milésimo tenant.

Um control plane de identidade para SaaS B2B.

Novidades

Times entregando auth, em vez de construir auth.

Pare de construir auth do zero.Entregue a parte do produto que é da era da IA.

Auth para a era da IA.
Humanos, agentes e máquinas.

Pare de construir auth do zero.
Entregue a parte do produto que é da era da IA.