Descripción general
Los eventos webhook de seguridad notifican a su SIEM o herramientas de monitoreo cuando ocurren acciones de IAM en Gu1: ciclo de vida de miembros, cambios de roles, inicio/cierre de sesión, logins fallidos, acciones admin sobre contraseñas y ciertos parámetros de seguridad. Configúrelos como cualquier otro webhook en Configuración → Webhooks y suscríbase solo a los eventossecurity.* que necesite.
Forma del payload (todos los eventos de seguridad)
Cada webhook de seguridad usa el sobre estándar más un payload interno normalizado:| Campo | Descripción |
|---|---|
actionAt | Fecha/hora de la acción (ISO 8601) |
actor | Usuario que realizó la acción (id = UUID en DB Gu1 cuando existe) |
affectedUser | Usuario afectado (cuando aplica) |
description | Resumen legible |
changes | Mapa de campos modificados. Para permisos de rol: { added, removed, current }. Otros campos: { previous, current }. |
context | IP, user agent, ámbito de settings, metadata de rol |
Eventos disponibles
Miembros (security.member.*)
| Evento | Cuándo se dispara |
|---|---|
security.member.invited | Un admin invita a un nuevo miembro |
security.member.created | El miembro acepta la invitación / se crea en la org |
security.member.removed | Miembro eliminado de la organización |
security.member.activated | Miembro habilitado / reactivado |
security.member.deactivated | Miembro deshabilitado |
security.member.profile_updated | Admin actualiza nombre (firstName / lastName) |
security.member.password_reset | Admin resetea contraseña del miembro |
security.member.password_generated | Admin genera contraseña temporal |
security.member.team_added | Miembro agregado a un equipo |
security.member.team_removed | Miembro quitado de un equipo |
security.member.team_role_changed | Cambia el rol del miembro dentro del equipo |
security.member.channel_granted | Se otorga acceso a un canal (org hija) |
security.member.channel_revoked | Se revoca acceso a un canal |
security.member.environment_granted | Se otorga acceso al ambiente production o sandbox |
security.member.environment_revoked | Se revoca acceso al ambiente production o sandbox |
context.teamType (p. ej. production, sandbox) y context.teamRole aplican en eventos de equipo. Para acceso a entornos, context.environment es "production" o "sandbox", con context.environmentOrganizationId y context.environmentOrganizationName. Para canales, los webhooks se emiten en la org padre; context.channelOrganizationId identifica el canal.
Roles y RBAC (security.role.*, security.rbac.*)
| Evento | Cuándo se dispara |
|---|---|
security.role.created | Rol granular creado |
security.role.updated | Rol modificado (incluye diff de permisos cuando hay datos) |
security.role.deleted | Rol eliminado |
security.role.assigned | Rol asignado a usuario |
security.role.revoked | Rol revocado de usuario |
security.rbac.granular_toggled | RBAC granular habilitado o deshabilitado |
Autenticación (security.auth.*)
| Evento | Cuándo se dispara |
|---|---|
security.auth.login_succeeded | Inicio de sesión exitoso (web Gu1) |
security.auth.logout | Cierre de sesión |
security.auth.login_failed | Intento fallido (cuando el email resuelve a una org) |
Configuración de seguridad
| Evento | Cuándo se dispara |
|---|---|
security.settings.updated | Modo sandbox, settings generales/de riesgo u otros cambios auditados (context.scope indica el ámbito) |
Limitaciones
No están cubiertos hoy por webhooks de seguridad Gu1:- Cambio de contraseña self-service del usuario en Clerk (solo IdP)
- Cambios MFA / SSO en Clerk
- Autenticación API key M2M (distinta del login de usuario)
- Revocaciones de sesión hechas solo en el dashboard Clerk
security.member.password_*.