> ## Documentation Index
> Fetch the complete documentation index at: https://docs.acrity.io/llms.txt
> Use this file to discover all available pages before exploring further.

# Credenciais e tokens

> Como configurar credenciais, aplicativos conectados, conectores e rotação de segredos na Acrity.

Configurar credenciais e tokens exige um admin de workspace. Você os configura pelo Console para que a Acrity possa ler mudanças, publicar resultados de review e integrar provedores de gestão de trabalho.

## Onde configurar

| Necessidade             | Local no Console         | Quando usar                                                                                                                           |
| ----------------------- | ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------- |
| OAuth ou GitHub App     | `Aplicativos conectados` | fluxo recomendado para GitHub, GitLab, Bitbucket, Azure DevOps, Jira, Linear e ClickUp quando o provedor suporta autorização delegada |
| Credencial manual       | `Credenciais`            | tokens ou credenciais criados fora do fluxo OAuth                                                                                     |
| VCS privado/on-prem     | `Conectores`             | quando o VCS está em rede privada ou quando o token de VCS deve permanecer no ambiente do cliente                                     |
| Uso programático da API | `API Keys`               | integrações internas, automações e MCP                                                                                                |
| Webhooks de saída       | `Webhooks`               | envio de eventos da Acrity para sistemas externos                                                                                     |

## Como os segredos são armazenados

Segredos de credenciais, tokens OAuth e overrides sensíveis são armazenados criptografados em banco com AES-256-GCM. Dados de API key usam um modelo diferente: a chave completa é mostrada uma única vez e a Acrity armazena apenas um hash HMAC-SHA-256 com pepper para verificação.

Tokens de conectores seguem o princípio de exibição única. O token completo aparece no momento de criação ou rotação; depois disso, a Acrity mantém um hash SHA-256 para verificação, não o plaintext reutilizável.

<Warning>
  Copie os segredos exibidos uma única vez para o cofre de segredos da sua empresa. A Acrity não mostra novamente o valor completo.
</Warning>

## Aplicativos conectados

Use `Aplicativos conectados` quando quiser um fluxo guiado de autorização. Esse fluxo reduz erro manual, permite reautorização no Console e mostra quando a instalação precisa de nova permissão.

Fluxo recomendado:

<Steps>
  <Step title="Abrir o workspace">
    Selecione o workspace correto no Console.
  </Step>

  <Step title="Ir para Aplicativos conectados">
    Escolha o provedor e inicie a instalação ou autorização.
  </Step>

  <Step title="Conceder permissões no provedor">
    Confirme a organização, a conta, os repositórios ou os projetos autorizados.
  </Step>

  <Step title="Vincular aos repositórios">
    Volte ao Console e conecte os repositórios ou vincule a integração de PM no detalhe do repositório.
  </Step>
</Steps>

## Credenciais manuais

Use `Credenciais` quando o provedor exigir um token manual, quando a organização já possuir credenciais dedicadas ou quando um fluxo OAuth não for adequado.

Ao criar uma credencial:

1. Escolha o provedor.
2. Defina um nome que ajude na auditoria, como `github-app-prod` ou `jira-service-account`.
3. Preencha os campos exigidos pelo provedor.
4. Valide a credencial antes de vinculá-la a repositórios.
5. Use a credencial apenas nos repositórios que precisam dela.

## Conectores

Use `Conectores` quando o VCS está em rede privada ou quando a política interna exige que o token de VCS permaneça no ambiente do cliente. O conector é instalado na infraestrutura do cliente e mantém a ponte necessária com a Acrity.

No Console, um admin de workspace cria o conector, escolhe o provedor, baixa o artefato de instalação e copia os segredos exibidos uma única vez. A página do conector mostra status, heartbeat, repositórios descobertos e ações de rotação.

## Rotação

Rotacione segredos quando:

* uma pessoa com acesso ao segredo sair do time;
* um token for copiado para um local inseguro;
* o provedor exigir renovação;
* uma integração deixar de ser usada;
* a política interna definir um ciclo periódico.

Depois de rotacionar, valide a credencial ou o conector e acompanhe o status dos repositórios vinculados.
