@open-mercato/enterprise 0.4.6-develop-15c18897fc → 0.4.6-develop-34aa847ce6

package/src/modules/sso/i18n/es.json

@@ -0,0 +1,146 @@
+{
+  "common.activating": "Activando...",
+  "common.add": "Agregar",
+  "common.back": "Volver",
+  "common.cancel": "Cancelar",
+  "common.copied": "Copiado al portapapeles",
+  "common.copy": "Copiar",
+  "common.create": "Crear",
+  "common.creating": "Creando...",
+  "common.delete": "Eliminar",
+  "common.disabled": "Deshabilitado",
+  "common.dismiss": "Descartar",
+  "common.edit": "Editar",
+  "common.enabled": "Habilitado",
+  "common.loading": "Cargando...",
+  "common.next": "Siguiente",
+  "common.notFound": "No encontrado",
+  "common.remove": "Eliminar",
+  "common.save": "Guardar",
+  "common.saving": "Guardando...",
+  "settings.sections.auth": "Autenticación",
+  "sso.admin.action.activate": "Activar",
+  "sso.admin.action.deactivate": "Desactivar",
+  "sso.admin.action.test": "Verificar descubrimiento",
+  "sso.admin.activated": "Configuración SSO activada",
+  "sso.admin.activity.empty": "Aún no hay actividad de inicio de sesión SSO. La actividad aparecerá aquí cuando los usuarios comiencen a iniciar sesión a través de SSO.",
+  "sso.admin.banner.activateNow": "Activar ahora",
+  "sso.admin.banner.created": "Su configuración SSO ha sido creada. ¿Desea activarla ahora?",
+  "sso.admin.banner.notYet": "Aún no",
+  "sso.admin.column.created": "Creado",
+  "sso.admin.column.domains": "Dominios",
+  "sso.admin.column.name": "Nombre",
+  "sso.admin.column.protocol": "Protocolo",
+  "sso.admin.column.status": "Estado",
+  "sso.admin.create.title": "Configurar SSO",
+  "sso.admin.created": "Configuración SSO creada",
+  "sso.admin.deactivated": "Configuración SSO desactivada",
+  "sso.admin.delete.confirm": "¿Está seguro? Esto eliminará la configuración SSO. Los usuarios con identidades SSO vinculadas deberán usar inicio de sesión con contraseña.",
+  "sso.admin.delete.success": "Configuración SSO eliminada",
+  "sso.admin.delete.title": "Eliminar configuración SSO",
+  "sso.admin.detail.backToList": "Volver a SSO",
+  "sso.admin.detail.title": "Configuración SSO",
+  "sso.admin.domains.empty": "No hay dominios configurados. Agregue al menos un dominio antes de activar SSO.",
+  "sso.admin.empty.cta": "Configurar SSO",
+  "sso.admin.empty.description": "Configure el inicio de sesión único para permitir a sus usuarios autenticarse con su proveedor de identidad.",
+  "sso.admin.empty.title": "SSO no configurado",
+  "sso.admin.error.activationFailed": "Error al actualizar el estado de activación",
+  "sso.admin.error.alreadyExists": "Ya existe una configuración SSO para esta organización",
+  "sso.admin.error.createFailed": "Error al crear la configuración SSO",
+  "sso.admin.error.deleteActive": "No se puede eliminar una configuración SSO activa — desactívela primero",
+  "sso.admin.error.deleteFailed": "Error al eliminar la configuración SSO",
+  "sso.admin.error.domainAddFailed": "Error al agregar dominio",
+  "sso.admin.error.domainRemoveFailed": "Error al eliminar dominio",
+  "sso.admin.error.loadFailed": "Error al cargar la configuración SSO",
+  "sso.admin.error.noDomainsForActivation": "Agregue al menos un dominio de correo electrónico permitido antes de activar",
+  "sso.admin.error.saveFailed": "Error al guardar la configuración SSO",
+  "sso.admin.error.testFailed": "La prueba de conexión falló",
+  "sso.admin.field.autoLinkByEmail": "Vinculación automática por correo electrónico",
+  "sso.admin.field.autoLinkByEmailDesc": "Vincular automáticamente usuarios existentes por dirección de correo electrónico coincidente",
+  "sso.admin.field.changeSecret": "Cambiar",
+  "sso.admin.field.clientId": "ID de cliente",
+  "sso.admin.field.clientSecret": "Secreto de cliente",
+  "sso.admin.field.issuer": "URL del emisor",
+  "sso.admin.field.jitDisabledByScim": "No disponible — La sincronización de directorio SCIM está activa. Revoque los tokens SCIM para habilitar JIT.",
+  "sso.admin.field.jitEnabled": "Aprovisionamiento Just-in-Time",
+  "sso.admin.field.jitEnabledDesc": "Crear automáticamente cuentas de usuario en el primer inicio de sesión SSO",
+  "sso.admin.field.name": "Nombre de configuración",
+  "sso.admin.field.protocol": "Protocolo",
+  "sso.admin.field.secretPlaceholder": "Ingrese nuevo secreto para reemplazar el existente",
+  "sso.admin.field.secretRequired": "Ingrese el secreto de cliente",
+  "sso.admin.field.secretSet": "El secreto de cliente está configurado",
+  "sso.admin.new": "Nueva configuración SSO",
+  "sso.admin.roles.description": "Asigne nombres de roles de aplicación IdP a roles locales. En cada inicio de sesión SSO, los roles de origen SSO se sincronizan — los roles que el IdP ya no envía se eliminan, mientras que los roles asignados manualmente se conservan.",
+  "sso.admin.roles.empty": "No hay asignaciones de roles configuradas. Los nombres de roles del IdP se compararán directamente con los nombres de roles locales.",
+  "sso.admin.roles.error.duplicate": "Este rol de IdP ya está asignado",
+  "sso.admin.roles.error.emptyIdpRole": "El nombre del rol de IdP es obligatorio",
+  "sso.admin.roles.error.emptyLocalRole": "Seleccione un rol local",
+  "sso.admin.roles.error.saveFailed": "Error al guardar las asignaciones de roles",
+  "sso.admin.roles.idpRole": "Nombre del rol de IdP",
+  "sso.admin.roles.idpRolePlaceholder": "ej. OpenMercato.Admin",
+  "sso.admin.roles.localRole": "Rol local",
+  "sso.admin.roles.saved": "Asignaciones de roles guardadas",
+  "sso.admin.saved": "Configuración SSO guardada",
+  "sso.admin.scim.endpointCopied": "URL del endpoint SCIM copiada",
+  "sso.admin.scim.endpointUrl": "URL del endpoint SCIM",
+  "sso.admin.scim.error.createFailed": "Error al crear el token SCIM",
+  "sso.admin.scim.error.revokeFailed": "Error al revocar el token",
+  "sso.admin.scim.generateToken": "Generar token",
+  "sso.admin.scim.googleNotSupported": "Google Workspace no admite el aprovisionamiento SCIM. Los usuarios se aprovisionan mediante Just-In-Time (JIT) en el primer inicio de sesión.",
+  "sso.admin.scim.jitActiveWarning": "El aprovisionamiento SCIM no está disponible mientras JIT está habilitado. Deshabilite JIT en la pestaña General para configurar SCIM.",
+  "sso.admin.scim.log.error": "Error",
+  "sso.admin.scim.log.operation": "Operación",
+  "sso.admin.scim.log.resource": "Recurso",
+  "sso.admin.scim.log.status": "Estado",
+  "sso.admin.scim.log.time": "Hora",
+  "sso.admin.scim.noTokens": "El aprovisionamiento SCIM no está configurado. Genere un token bearer para permitir que su proveedor de identidad sincronice usuarios automáticamente.",
+  "sso.admin.scim.recentActivity": "Actividad de aprovisionamiento reciente",
+  "sso.admin.scim.revoke.action": "Revocar",
+  "sso.admin.scim.revoke.confirm": "¿Está seguro? Este token ya no autenticará solicitudes SCIM.",
+  "sso.admin.scim.revoke.title": "Revocar token",
+  "sso.admin.scim.revoked": "Token revocado",
+  "sso.admin.scim.tokenActive": "Activo",
+  "sso.admin.scim.tokenCopied": "Token copiado al portapapeles",
+  "sso.admin.scim.tokenCreated": "Su token SCIM ha sido creado. Cópielo ahora — no se mostrará de nuevo.",
+  "sso.admin.scim.tokenNamePlaceholder": "Nombre del token (ej., Entra ID Producción)",
+  "sso.admin.scim.tokenRevoked": "Revocado",
+  "sso.admin.scim.tokens": "Tokens bearer",
+  "sso.admin.search": "Buscar por nombre o emisor...",
+  "sso.admin.section.allowedDomains": "Dominios permitidos",
+  "sso.admin.section.oidcSettings": "Configuración OIDC",
+  "sso.admin.status.active": "Activo",
+  "sso.admin.status.inactive": "Inactivo",
+  "sso.admin.tab.activity": "Actividad",
+  "sso.admin.tab.domains": "Dominios",
+  "sso.admin.tab.general": "General",
+  "sso.admin.tab.roles": "Asignación de roles",
+  "sso.admin.tab.scim": "Aprovisionamiento",
+  "sso.admin.test.failed": "Descubrimiento fallido",
+  "sso.admin.test.success": "Descubrimiento exitoso — el emisor es accesible",
+  "sso.admin.title": "Inicio de sesión único",
+  "sso.admin.wizard.credentials.callbackUrl": "URI de redirección (copie a su IdP)",
+  "sso.admin.wizard.credentials.namePlaceholder": "ej., Zitadel Producción",
+  "sso.admin.wizard.credentials.title": "Credenciales OIDC",
+  "sso.admin.wizard.domain.duplicate": "Dominio ya agregado",
+  "sso.admin.wizard.domain.invalid": "Formato de dominio inválido",
+  "sso.admin.wizard.domain.limit": "Máximo 20 dominios por configuración",
+  "sso.admin.wizard.domains.description": "Los usuarios con direcciones de correo electrónico que coincidan con estos dominios serán redirigidos a su proveedor SSO.",
+  "sso.admin.wizard.domains.placeholder": "ejemplo.com",
+  "sso.admin.wizard.domains.title": "Dominios de correo electrónico permitidos",
+  "sso.admin.wizard.options.title": "Opciones",
+  "sso.admin.wizard.protocol.oidcDesc": "Funciona con Zitadel, Microsoft Entra ID, Google Workspace, Okta y más",
+  "sso.admin.wizard.protocol.samlDesc": "Próximamente",
+  "sso.admin.wizard.protocol.title": "Seleccionar protocolo",
+  "sso.admin.wizard.review.note": "La configuración se creará como inactiva. Puede activarla desde la página de detalle después de verificar que todo esté correcto.",
+  "sso.admin.wizard.review.save": "Crear configuración",
+  "sso.admin.wizard.review.testing": "Probando...",
+  "sso.admin.wizard.review.title": "Revisar y guardar",
+  "sso.login.continueWithSso": "Continuar con SSO",
+  "sso.login.errors.emailNotVerified": "Su dirección de correo electrónico no está verificada por el proveedor de identidad. Por favor verifique su correo electrónico e intente de nuevo.",
+  "sso.login.errors.failed": "El inicio de sesión SSO falló. Por favor intente de nuevo.",
+  "sso.login.errors.idpError": "El proveedor de identidad devolvió un error. Por favor intente de nuevo o contacte a su administrador.",
+  "sso.login.errors.missingConfig": "SSO no está configurado para esta cuenta.",
+  "sso.login.errors.missingParams": "La devolución de llamada SSO fue incompleta. Por favor intente de nuevo.",
+  "sso.login.errors.stateMissing": "La sesión SSO expiró. Por favor intente de nuevo.",
+  "sso.login.ssoEnabled": "SSO está habilitado para esta cuenta"
+}

package/src/modules/sso/i18n/pl.json

@@ -0,0 +1,146 @@
+{
+  "common.activating": "Aktywowanie...",
+  "common.add": "Dodaj",
+  "common.back": "Wstecz",
+  "common.cancel": "Anuluj",
+  "common.copied": "Skopiowano do schowka",
+  "common.copy": "Kopiuj",
+  "common.create": "Utwórz",
+  "common.creating": "Tworzenie...",
+  "common.delete": "Usuń",
+  "common.disabled": "Wyłączone",
+  "common.dismiss": "Zamknij",
+  "common.edit": "Edytuj",
+  "common.enabled": "Włączone",
+  "common.loading": "Ładowanie...",
+  "common.next": "Dalej",
+  "common.notFound": "Nie znaleziono",
+  "common.remove": "Usuń",
+  "common.save": "Zapisz",
+  "common.saving": "Zapisywanie...",
+  "settings.sections.auth": "Autoryzacja",
+  "sso.admin.action.activate": "Aktywuj",
+  "sso.admin.action.deactivate": "Dezaktywuj",
+  "sso.admin.action.test": "Zweryfikuj Discovery",
+  "sso.admin.activated": "Konfiguracja SSO aktywowana",
+  "sso.admin.activity.empty": "Brak aktywności logowania SSO. Aktywność pojawi się tutaj, gdy użytkownicy zaczną logować się przez SSO.",
+  "sso.admin.banner.activateNow": "Aktywuj teraz",
+  "sso.admin.banner.created": "Konfiguracja SSO została utworzona. Czy chcesz ją teraz aktywować?",
+  "sso.admin.banner.notYet": "Jeszcze nie",
+  "sso.admin.column.created": "Utworzono",
+  "sso.admin.column.domains": "Domeny",
+  "sso.admin.column.name": "Nazwa",
+  "sso.admin.column.protocol": "Protokół",
+  "sso.admin.column.status": "Status",
+  "sso.admin.create.title": "Skonfiguruj SSO",
+  "sso.admin.created": "Konfiguracja SSO została utworzona",
+  "sso.admin.deactivated": "Konfiguracja SSO dezaktywowana",
+  "sso.admin.delete.confirm": "Czy na pewno? Spowoduje to usunięcie konfiguracji SSO. Użytkownicy z powiązanymi tożsamościami SSO będą musieli logować się hasłem.",
+  "sso.admin.delete.success": "Konfiguracja SSO została usunięta",
+  "sso.admin.delete.title": "Usuń konfigurację SSO",
+  "sso.admin.detail.backToList": "Powrót do SSO",
+  "sso.admin.detail.title": "Konfiguracja SSO",
+  "sso.admin.domains.empty": "Brak skonfigurowanych domen. Dodaj co najmniej jedną domenę przed aktywacją SSO.",
+  "sso.admin.empty.cta": "Skonfiguruj SSO",
+  "sso.admin.empty.description": "Skonfiguruj Single Sign-On, aby umożliwić użytkownikom logowanie przez dostawcę tożsamości.",
+  "sso.admin.empty.title": "Brak konfiguracji SSO",
+  "sso.admin.error.activationFailed": "Nie udało się zmienić statusu aktywacji",
+  "sso.admin.error.alreadyExists": "Konfiguracja SSO już istnieje dla tej organizacji",
+  "sso.admin.error.createFailed": "Nie udało się utworzyć konfiguracji SSO",
+  "sso.admin.error.deleteActive": "Nie można usunąć aktywnej konfiguracji SSO — najpierw ją dezaktywuj",
+  "sso.admin.error.deleteFailed": "Nie udało się usunąć konfiguracji SSO",
+  "sso.admin.error.domainAddFailed": "Nie udało się dodać domeny",
+  "sso.admin.error.domainRemoveFailed": "Nie udało się usunąć domeny",
+  "sso.admin.error.loadFailed": "Nie udało się załadować konfiguracji SSO",
+  "sso.admin.error.noDomainsForActivation": "Dodaj co najmniej jedną dozwoloną domenę e-mail przed aktywacją",
+  "sso.admin.error.saveFailed": "Nie udało się zapisać konfiguracji SSO",
+  "sso.admin.error.testFailed": "Test połączenia nie powiódł się",
+  "sso.admin.field.autoLinkByEmail": "Automatyczne łączenie po e-mailu",
+  "sso.admin.field.autoLinkByEmailDesc": "Automatycznie łącz istniejących użytkowników po adresie e-mail",
+  "sso.admin.field.changeSecret": "Zmień",
+  "sso.admin.field.clientId": "Client ID",
+  "sso.admin.field.clientSecret": "Client Secret",
+  "sso.admin.field.issuer": "Adres URL wystawcy",
+  "sso.admin.field.jitDisabledByScim": "Niedostępne — synchronizacja katalogów SCIM jest aktywna. Odwołaj tokeny SCIM, aby włączyć JIT.",
+  "sso.admin.field.jitEnabled": "Provisioning Just-in-Time",
+  "sso.admin.field.jitEnabledDesc": "Automatycznie twórz konta użytkowników przy pierwszym logowaniu SSO",
+  "sso.admin.field.name": "Nazwa konfiguracji",
+  "sso.admin.field.protocol": "Protokół",
+  "sso.admin.field.secretPlaceholder": "Wprowadź nowy secret, aby zastąpić istniejący",
+  "sso.admin.field.secretRequired": "Wprowadź client secret",
+  "sso.admin.field.secretSet": "Client secret jest skonfigurowany",
+  "sso.admin.new": "Nowa konfiguracja SSO",
+  "sso.admin.roles.description": "Mapuj nazwy ról IdP na lokalne role. Przy każdym logowaniu SSO role źródłowe SSO są synchronizowane — role nieotrzymane od IdP są usuwane, role przypisane ręcznie są zachowane.",
+  "sso.admin.roles.empty": "Brak skonfigurowanych mapowań ról. Nazwy ról IdP będą dopasowywane bezpośrednio do nazw lokalnych ról.",
+  "sso.admin.roles.error.duplicate": "Ta rola IdP jest już zmapowana",
+  "sso.admin.roles.error.emptyIdpRole": "Nazwa roli IdP jest wymagana",
+  "sso.admin.roles.error.emptyLocalRole": "Wybierz lokalną rolę",
+  "sso.admin.roles.error.saveFailed": "Nie udało się zapisać mapowań ról",
+  "sso.admin.roles.idpRole": "Nazwa roli IdP",
+  "sso.admin.roles.idpRolePlaceholder": "np. OpenMercato.Admin",
+  "sso.admin.roles.localRole": "Lokalna rola",
+  "sso.admin.roles.saved": "Mapowania ról zapisane",
+  "sso.admin.saved": "Konfiguracja SSO zapisana",
+  "sso.admin.scim.endpointCopied": "Adres URL endpointu SCIM skopiowany",
+  "sso.admin.scim.endpointUrl": "Adres URL endpointu SCIM",
+  "sso.admin.scim.error.createFailed": "Nie udało się utworzyć tokena SCIM",
+  "sso.admin.scim.error.revokeFailed": "Nie udało się odwołać tokena",
+  "sso.admin.scim.generateToken": "Wygeneruj token",
+  "sso.admin.scim.googleNotSupported": "Google Workspace nie obsługuje provisioningu SCIM. Użytkownicy są tworzeni przez Just-In-Time (JIT) przy pierwszym logowaniu.",
+  "sso.admin.scim.jitActiveWarning": "Provisioning SCIM jest niedostępny, gdy provisioning JIT jest włączony. Wyłącz JIT w zakładce Ogólne, aby skonfigurować SCIM.",
+  "sso.admin.scim.log.error": "Błąd",
+  "sso.admin.scim.log.operation": "Operacja",
+  "sso.admin.scim.log.resource": "Zasób",
+  "sso.admin.scim.log.status": "Status",
+  "sso.admin.scim.log.time": "Czas",
+  "sso.admin.scim.noTokens": "Provisioning SCIM nie jest skonfigurowany. Wygeneruj token bearer, aby umożliwić dostawcy tożsamości automatyczną synchronizację użytkowników.",
+  "sso.admin.scim.recentActivity": "Ostatnia aktywność provisioningu",
+  "sso.admin.scim.revoke.action": "Odwołaj",
+  "sso.admin.scim.revoke.confirm": "Czy na pewno? Ten token nie będzie już uwierzytelniał żądań SCIM.",
+  "sso.admin.scim.revoke.title": "Odwołaj token",
+  "sso.admin.scim.revoked": "Token odwołany",
+  "sso.admin.scim.tokenActive": "Aktywny",
+  "sso.admin.scim.tokenCopied": "Token skopiowany do schowka",
+  "sso.admin.scim.tokenCreated": "Twój token SCIM został utworzony. Skopiuj go teraz — nie będzie ponownie wyświetlony.",
+  "sso.admin.scim.tokenNamePlaceholder": "Nazwa tokena (np. Entra ID Produkcja)",
+  "sso.admin.scim.tokenRevoked": "Odwołany",
+  "sso.admin.scim.tokens": "Tokeny Bearer",
+  "sso.admin.search": "Szukaj po nazwie lub wystawcy...",
+  "sso.admin.section.allowedDomains": "Dozwolone domeny",
+  "sso.admin.section.oidcSettings": "Ustawienia OIDC",
+  "sso.admin.status.active": "Aktywny",
+  "sso.admin.status.inactive": "Nieaktywny",
+  "sso.admin.tab.activity": "Aktywność",
+  "sso.admin.tab.domains": "Domeny",
+  "sso.admin.tab.general": "Ogólne",
+  "sso.admin.tab.roles": "Mapowanie ról",
+  "sso.admin.tab.scim": "Provisioning",
+  "sso.admin.test.failed": "Weryfikacja Discovery nie powiodła się",
+  "sso.admin.test.success": "Weryfikacja Discovery udana — wystawca jest osiągalny",
+  "sso.admin.title": "Single Sign-On",
+  "sso.admin.wizard.credentials.callbackUrl": "Redirect URI (skopiuj do swojego IdP)",
+  "sso.admin.wizard.credentials.namePlaceholder": "np. Zitadel Produkcja",
+  "sso.admin.wizard.credentials.title": "Dane uwierzytelniające OIDC",
+  "sso.admin.wizard.domain.duplicate": "Domena już dodana",
+  "sso.admin.wizard.domain.invalid": "Nieprawidłowy format domeny",
+  "sso.admin.wizard.domain.limit": "Maksymalnie 20 domen na konfigurację",
+  "sso.admin.wizard.domains.description": "Użytkownicy z adresami e-mail pasującymi do tych domen będą przekierowywani do dostawcy SSO.",
+  "sso.admin.wizard.domains.placeholder": "example.com",
+  "sso.admin.wizard.domains.title": "Dozwolone domeny e-mail",
+  "sso.admin.wizard.options.title": "Opcje",
+  "sso.admin.wizard.protocol.oidcDesc": "Działa z Zitadel, Microsoft Entra ID, Google Workspace, Okta i innymi",
+  "sso.admin.wizard.protocol.samlDesc": "Wkrótce",
+  "sso.admin.wizard.protocol.title": "Wybierz protokół",
+  "sso.admin.wizard.review.note": "Konfiguracja zostanie utworzona jako nieaktywna. Możesz ją aktywować na stronie szczegółów po zweryfikowaniu poprawności ustawień.",
+  "sso.admin.wizard.review.save": "Utwórz konfigurację",
+  "sso.admin.wizard.review.testing": "Testowanie...",
+  "sso.admin.wizard.review.title": "Przegląd i zapis",
+  "sso.login.continueWithSso": "Kontynuuj przez SSO",
+  "sso.login.errors.emailNotVerified": "Twój adres e-mail nie został zweryfikowany przez dostawcę tożsamości. Zweryfikuj swój e-mail i spróbuj ponownie.",
+  "sso.login.errors.failed": "Logowanie SSO nie powiodło się. Spróbuj ponownie.",
+  "sso.login.errors.idpError": "Dostawca tożsamości zwrócił błąd. Spróbuj ponownie lub skontaktuj się z administratorem.",
+  "sso.login.errors.missingConfig": "SSO nie jest skonfigurowane dla tego konta.",
+  "sso.login.errors.missingParams": "Callback SSO był niekompletny. Spróbuj ponownie.",
+  "sso.login.errors.stateMissing": "Sesja SSO wygasła. Spróbuj ponownie.",
+  "sso.login.ssoEnabled": "SSO jest włączone dla tego konta"
+}

package/src/modules/sso/index.ts

@@ -0,0 +1,7 @@
+export const metadata = {
+  id: 'sso',
+  version: '0.1.0',
+  enterprise: true,
+} as const
+
+export { features } from './acl'

package/src/modules/sso/lib/domains.ts

@@ -0,0 +1,31 @@
+const DOMAIN_REGEX = /^[a-z0-9]([a-z0-9-]{0,61}[a-z0-9])?(\.[a-z0-9]([a-z0-9-]{0,61}[a-z0-9])?)*$/
+
+const MAX_DOMAINS_PER_CONFIG = 20
+
+export function normalizeDomain(domain: string): string {
+  return domain.trim().toLowerCase()
+}
+
+export function validateDomain(domain: string): { valid: boolean; error?: string } {
+  const normalized = normalizeDomain(domain)
+
+  if (!normalized) return { valid: false, error: 'Domain cannot be empty' }
+  if (normalized.length > 253) return { valid: false, error: 'Domain exceeds maximum length of 253 characters' }
+  if (!DOMAIN_REGEX.test(normalized)) return { valid: false, error: 'Invalid domain format — only DNS hostnames are accepted' }
+  if (!normalized.includes('.')) return { valid: false, error: 'Domain must include at least one dot (e.g., example.com)' }
+
+  return { valid: true }
+}
+
+export function uniqueDomains(domains: string[]): string[] {
+  return [...new Set(domains.map(normalizeDomain).filter(Boolean))]
+}
+
+export function checkDomainLimit(currentCount: number, adding: number): { ok: boolean; error?: string } {
+  if (currentCount + adding > MAX_DOMAINS_PER_CONFIG) {
+    return { ok: false, error: `Maximum ${MAX_DOMAINS_PER_CONFIG} domains per SSO configuration` }
+  }
+  return { ok: true }
+}
+
+export { MAX_DOMAINS_PER_CONFIG }

package/src/modules/sso/lib/oidc-provider.ts

@@ -0,0 +1,196 @@
+import * as client from 'openid-client'
+import type { SsoConfig } from '../data/entities'
+import type { SsoIdentityPayload, SsoProtocolProvider } from './types'
+
+export class OidcProvider implements SsoProtocolProvider {
+  readonly protocol = 'oidc' as const
+
+  async buildAuthUrl(
+    config: SsoConfig,
+    params: {
+      state: string
+      nonce: string
+      redirectUri: string
+      codeVerifier?: string
+      clientSecret?: string
+    },
+  ): Promise<string> {
+    const oidcConfig = await this.discover(config, params.clientSecret)
+
+    const codeChallenge = params.codeVerifier
+      ? await client.calculatePKCECodeChallenge(params.codeVerifier)
+      : undefined
+
+    const authUrl = client.buildAuthorizationUrl(oidcConfig, {
+      redirect_uri: params.redirectUri,
+      scope: 'openid email profile',
+      state: params.state,
+      nonce: params.nonce,
+      ...(codeChallenge
+        ? { code_challenge: codeChallenge, code_challenge_method: 'S256' }
+        : {}),
+    })
+
+    return authUrl.href
+  }
+
+  async handleCallback(
+    config: SsoConfig,
+    params: {
+      callbackParams: Record<string, string>
+      redirectUri: string
+      expectedState: string
+      expectedNonce: string
+      codeVerifier?: string
+      clientSecret?: string
+    },
+  ): Promise<SsoIdentityPayload> {
+    const oidcConfig = await this.discover(config, params.clientSecret)
+
+    const callbackUrl = new URL(params.redirectUri)
+    for (const [key, value] of Object.entries(params.callbackParams)) {
+      callbackUrl.searchParams.set(key, value)
+    }
+
+    const tokens = await client.authorizationCodeGrant(oidcConfig, callbackUrl, {
+      pkceCodeVerifier: params.codeVerifier,
+      expectedState: params.expectedState,
+      expectedNonce: params.expectedNonce,
+    })
+
+    const claims = tokens.claims()
+    if (!claims) {
+      throw new Error('No ID token claims received from IdP')
+    }
+
+    const mergedClaims = await mergeWithUserInfoClaims(oidcConfig, tokens, claims)
+
+    const subject = String(mergedClaims.sub ?? claims.sub ?? '')
+    const rawEmail = mergedClaims.email as string | undefined
+    const upnCandidate = (mergedClaims.upn ?? mergedClaims.unique_name) as string | undefined
+    const upnAsEmail = typeof upnCandidate === 'string' && upnCandidate.includes('@') ? upnCandidate : undefined
+    const email = rawEmail ?? upnAsEmail
+    if (!email) {
+      throw new Error('IdP did not return an email claim (checked: email, upn, unique_name)')
+    }
+
+    const emailVerified = mergedClaims.email_verified === true
+    const groups = extractIdentityGroups(mergedClaims)
+
+  
+
+    return {
+      subject,
+      email,
+      emailVerified,
+      name: (mergedClaims.name as string) ?? undefined,
+      groups,
+    }
+  }
+
+  async validateConfig(
+    config: SsoConfig,
+    params?: { clientSecret?: string },
+  ): Promise<{ ok: boolean; error?: string }> {
+    try {
+      await this.discover(config, params?.clientSecret)
+      return { ok: true }
+    } catch (err) {
+      return {
+        ok: false,
+        error: err instanceof Error ? err.message : 'Discovery failed',
+      }
+    }
+  }
+
+  private async discover(
+    config: SsoConfig,
+    clientSecret?: string,
+  ): Promise<client.Configuration> {
+    if (!config.issuer) {
+      throw new Error('SSO config is missing issuer URL')
+    }
+    if (!config.clientId) {
+      throw new Error('SSO config is missing client ID')
+    }
+
+    return client.discovery(
+      new URL(config.issuer),
+      config.clientId,
+      clientSecret ?? undefined,
+    )
+  }
+}
+
+async function mergeWithUserInfoClaims(
+  oidcConfig: client.Configuration,
+  tokens: client.TokenEndpointResponse,
+  claims: Record<string, unknown>,
+): Promise<Record<string, unknown>> {
+  const accessToken = tokens.access_token
+  if (!accessToken) return claims
+
+  try {
+    const userInfo = await client.fetchUserInfo(
+      oidcConfig,
+      accessToken,
+      client.skipSubjectCheck,
+    )
+    return { ...(userInfo as Record<string, unknown>), ...claims }
+  } catch {
+    return claims
+  }
+}
+
+export function extractIdentityGroups(claims: Record<string, unknown>): string[] | undefined {
+  const groups = new Set<string>()
+
+  const add = (value: unknown) => {
+    for (const group of coerceClaimValues(value)) {
+      groups.add(group)
+    }
+  }
+
+  add(claims.groups)
+  add(claims.roles)
+  add(claims.role)
+
+  for (const [key, value] of Object.entries(claims)) {
+    if (!key.endsWith(':roles')) continue
+    add(value)
+  }
+
+  return groups.size > 0 ? Array.from(groups) : undefined
+}
+
+export function coerceClaimValues(value: unknown): string[] {
+  if (typeof value === 'string') {
+    const normalized = value.trim()
+    return normalized ? [normalized] : []
+  }
+
+  if (Array.isArray(value)) {
+    return value.flatMap((entry) => coerceClaimValues(entry))
+  }
+
+  if (value && typeof value === 'object') {
+    const entries = Object.entries(value as Record<string, unknown>)
+    const out = new Set<string>()
+    for (const [key, nested] of entries) {
+      const normalizedKey = key.trim()
+      if (normalizedKey) out.add(normalizedKey)
+      if (typeof nested === 'string') {
+        const normalizedNested = nested.trim()
+        if (normalizedNested) out.add(normalizedNested)
+      } else if (nested && typeof nested === 'object') {
+        const nestedName = (nested as Record<string, unknown>).name
+        if (typeof nestedName === 'string' && nestedName.trim()) {
+          out.add(nestedName.trim())
+        }
+      }
+    }
+    return Array.from(out)
+  }
+
+  return []
+}

package/src/modules/sso/lib/registry.ts

@@ -0,0 +1,13 @@
+import type { SsoProtocolProvider } from './types'
+
+export class SsoProviderRegistry {
+  private providers = new Map<string, SsoProtocolProvider>()
+
+  register(provider: SsoProtocolProvider): void {
+    this.providers.set(provider.protocol, provider)
+  }
+
+  resolve(protocol: string): SsoProtocolProvider | undefined {
+    return this.providers.get(protocol)
+  }
+}

package/src/modules/sso/lib/scim-filter.ts

@@ -0,0 +1,62 @@
+/**
+ * Minimal SCIM filter parser supporting `eq` operator with `and` combinator.
+ * Supports: userName, externalId, displayName, active
+ */
+
+export interface ScimFilterCondition {
+  attribute: string
+  value: string
+}
+
+export function parseScimFilter(filter: string | null | undefined): ScimFilterCondition[] {
+  if (!filter || !filter.trim()) return []
+
+  const conditions: ScimFilterCondition[] = []
+  const parts = filter.split(/\s+and\s+/i)
+
+  for (const part of parts) {
+    const match = part.trim().match(/^(\S+)\s+eq\s+"([^"]*)"$/i)
+    if (!match) continue
+
+    const [, attribute, value] = match
+    const normalizedAttr = attribute.toLowerCase()
+
+    const allowed = ['username', 'externalid', 'displayname', 'active']
+    if (!allowed.includes(normalizedAttr)) continue
+
+    conditions.push({ attribute: normalizedAttr, value })
+  }
+
+  return conditions
+}
+
+export function scimFilterToWhere(
+  conditions: ScimFilterCondition[],
+  ssoConfigId: string,
+  organizationId: string,
+): Record<string, unknown> {
+  const where: Record<string, unknown> = {
+    ssoConfigId,
+    organizationId,
+    deletedAt: null,
+  }
+
+  for (const { attribute, value } of conditions) {
+    switch (attribute) {
+      case 'username':
+        where.idpEmail = value
+        break
+      case 'externalid':
+        where.externalId = value
+        break
+      case 'displayname':
+        where.idpName = value
+        break
+      case 'active':
+        // Handled at application level (requires SsoUserDeactivation lookup)
+        break
+    }
+  }
+
+  return where
+}