Como uma Agência Fez Onboarding de 80 Contas de Clientes Sem Um Único Login Compartilhado

O ponto de ruptura chegou, como costuma chegar, como uma planilha. Uma agência de media buying que havia crescido de um punhado de clientes para um portfólio extenso mantinha uma aba chamada "Logins" — uma linha por cliente, colunas para usuário, senha, backup de 2FA e a data da última mudança. No dia em que essa planilha passou de oitenta linhas, o líder de operações parou de rolar e admitiu o óbvio: isso não era um sistema, era uma vulnerabilidade com uma barra de busca. Esta é a história de como aquela agência aprendeu a onboard client ad account without sharing login — fazer o onboarding de conta de anúncios de cliente sem compartilhar login algum — um token de System-User inserido uma vez, descoberta automática revelando cada conta, e papéis internos em vez de senhas.

Este é um composto extraído de padrões comuns de agência, mas o modo de falha e a correção são reais. Os números exatos são ilustrativos; a proliferação de credenciais, e o modo como ela fica perigosa à medida que uma agência escala, não é.

O ponto de ruptura: um login para cada cliente

Em seus primeiros anos, a agência fazia o onboarding de clientes do único jeito que conhecia. Um novo cliente assinava, e a call de kickoff terminava com o mesmo pedido constrangedor: "Pode compartilhar seu login do Meta para entrarmos na conta de anúncios?" Às vezes o cliente entregava a senha pessoal do Facebook. Às vezes criava um usuário descartável com direitos de admin. De um jeito ou de outro, a agência saía com mais uma credencial para armazenar, e a aba "Logins" ganhava outra linha.

Com dez clientes isso era irritante. Com oitenta era um risco em tempo integral. Cada senha que mudava do lado do cliente quebrava o acesso silenciosamente até uma campanha ficar parada. Cada prompt de 2FA caía num telefone de uma pessoa, que se tornava um único ponto de falha para toda a carteira de negócios. E ninguém conseguia responder à pergunta que deveria ter uma resposta de uma palavra: quem, exatamente, tem acesso à conta deste cliente agora?

Por que os logins compartilhados eram o risco de verdade

A agência tinha assumido que seu risco vivia na performance — uma semana ruim, uma meta perdida. A exposição real era a planilha de logins. Como detalhamos em por que os logins compartilhados estão matando sua agência de anúncios, uma credencial compartilhada é o pior de todos os mundos ao mesmo tempo: não pode ser atribuída, não pode ser revogada com segurança e não pode ser auditada.

Três falhas se empilhavam. Primeiro, sementes 2FA e senhas viviam num gerenciador de senhas, então acesso a um cofre era acesso a oitenta clientes — uma superfície de violação que nenhum cliente teria aprovado. Segundo, juniores tinham acesso total por padrão, porque um login compartilhado não tem noção de papéis; entregar "a senha" a um novo buyer entregava tudo a ele. Terceiro, o offboarding era uma caçada manual: quando um buyer saía, alguém tinha de lembrar de cada Business Manager que aquele buyer havia tocado e remover o acesso à mão, conta por conta, torcendo para nada escapar.

Esse último mantinha o líder de operações acordado à noite. Um buyer que sai com acesso remanescente em dezenas de Business Managers de clientes é o resultado padrão de um modelo de login compartilhado — exatamente o tipo de brecha catalogada na nossa lista de erros de permissão de conta de anúncios em agências.

A virada: conecte com um token, não com uma senha

A mudança foi menos uma nova ferramenta do que um novo modelo mental: parar de tratar o acesso à conta como uma credencial a coletar, e começar a tratá-lo como uma conexão a estabelecer uma vez. A agência migrou seu portfólio para a Wevion e conectou as contas de clientes por um token de System-User em vez de um login pessoal.

A mecânica foi quase anticlimática. Para cada cliente, a agência estabelecia um token de System-User contra o Business Manager do cliente — uma conexão sancionada, de nível de máquina, que não depende da senha pessoal ou do 2FA de ninguém. O token era inserido uma vez. Então a descoberta automática fazia a parte que costumava levar uma tarde: lendo o business_id, ela revelava cada conta de anúncios e Business Manager que esse token alcançava e os trazia para o workspace automaticamente — sem copiar IDs de conta entre telas, sem contas esquecidas descobertas três semanas depois.

Um login compartilhado é um segredo que você tem de proteger para sempre. Um token de System-User é uma conexão que você estabelece uma vez e então governa — a distinção explorada em logins separados versus uma camada operacional multimarca. A agência não estava mais no negócio de armazenar senhas. Estava no negócio de conceder acesso.

Mapeando a equipe para papéis, não credenciais

Com as contas conectadas, a agência encarou a pergunta que a era do login compartilhado nunca a deixou fazer de forma limpa: quem na equipe deveria poder fazer o quê, em qual cliente?

O acesso interno baseado em papéis tornou isso uma configuração, não uma credencial. Cada buyer recebia um papel limitado às contas em que de fato trabalhava. Um sênior na carteira enterprise ganhava acesso amplo ali e nenhum na carteira de pequenas empresas. Um júnior ganhava exatamente as contas atribuídas a ele e nada mais. Crucialmente, conceder esse acesso nunca envolvia entregar um login de Meta — o token subjacente ficava com a agência, e o buyer simplesmente operava dentro do workspace sob seu papel nomeado.

Esta é a metade do sistema que os logins compartilhados tornam impossível. Você não pode restringir uma senha — só pode dá-la ou retê-la. Os papéis deixam a agência conceder o acesso preciso de que uma pessoa precisa e nada mais, que é a premissa por trás do fluxo de onboarding disciplinado que descrevemos em o playbook de onboarding de cliente da primeira semana da agência. O acesso virou algo que você atribui, revisa e ajusta — não um segredo que você torce para se manter contido.

Fazendo o onboarding do próximo cliente na primeira semana

A prova apareceu na próxima vez que a agência assinou um cliente. No modelo antigo, fazer o onboarding de uma nova conta era um caso de vários dias e tenso: correr atrás do cliente por credenciais, armazená-las, testar o acesso, descobrir uma subconta que ninguém mencionou, correr atrás de novo, finalmente colocar um buyer trabalhando até o fim da segunda semana.

O novo fluxo comprimiu isso. A agência estabelecia o token de System-User, a descoberta automática revelava as contas e Business Managers do cliente numa única passada, e o líder de operações atribuía aos buyers seus papéis. O buyer estava trabalhando dentro do workspace na primeira semana — não esperando por um reset de senha, não bloqueado por um prompt de 2FA roteado para alguém de férias. O cliente, por sua vez, ficava aliviado por não estar entregando a senha pessoal do Facebook a uma agência externa, transformando um pedido de kickoff desconfortável num ponto de confiança.

O que mudou para segurança e auditoria

A história de segurança foi a parte que o líder de operações não havia antecipado totalmente. Duas coisas melhoraram dramaticamente ao mesmo tempo.

O offboarding foi de uma caçada para um clique. Quando um buyer saía, não havia lista de Business Managers para vasculhar e nenhuma senha compartilhada para resetar em oitenta clientes. O papel do buyer era revogado no workspace, e o acesso dele terminava em toda parte de uma vez — em efetivamente uma ação. A ansiedade do "pegamos tudo?" desaparecia, porque o acesso nunca havia estado espalhado por credenciais em primeiro lugar.

E a agência finalmente conseguia responder à pergunta de acesso. Como cada buyer trabalhava sob um papel nomeado em vez de uma identidade compartilhada, a agência tinha um quadro claro de quem podia tocar o quê, e um registro de quem tocou — as permissões decidem quem pode mudar uma conta, e a trilha registra o que mudaram. Uma agência que roda seu portfólio assim pode dizer a qualquer cliente precisamente quem tem acesso e o que fez, que é uma conversa diferente de "achamos que foi um dos nossos buyers".

A visão de portfólio: um workspace, seis plataformas

O modelo de token-e-papéis não era uma conveniência só-Meta. O mesmo princípio — conecte uma conta uma vez, conceda papéis internos, nunca circule uma credencial — se estende às seis plataformas que o workspace suporta: Meta, Google, TikTok, Taboola, Snapchat e Outbrain. Um cliente rodando Meta e TikTok e um pouco de Taboola não era mais três problemas de login. Era um cliente conectado num workspace, com os buyers da agência trabalhando cada canal sob o mesmo papel que já tinham.

Essa consolidação finalmente aposentou a aba "Logins" de vez. A agência não estava gerenciando oitenta senhas em seis plataformas — um número que teria chegado às centenas de credenciais. Estava gerenciando um portfólio, governado por papéis, conectado por tokens, visível num só lugar. O resto do playbook operacional está no hub de ferramentas de agência.

Sobre preços, o modelo escala com o portfólio em vez da equipe: os assentos são ilimitados em todo plano, então adicionar buyers nunca custa mais, e as contas paralelas escalam de três no nível Free permanente (€0) passando por Starter a €99/mês e Pro a €499/mês até ilimitadas no Plus a €1.499/mês (€1.199 anual, cobrado por ano com -20%), com o Enterprise como plano sob medida. Cada nível pago inclui um teste de 14 dias que coexiste com o plano gratuito.

A lição: separe a camada operacional da credencial

Perguntado o que diria a uma versão mais jovem da agência, o líder de operações é direto: o erro foi tratar o acesso à conta e a ferramenta operacional como a mesma coisa. Não são. A credencial — a senha, a semente 2FA — é do cliente. A camada operacional, onde seus buyers lançam, editam e relatam, é sua. A era do login compartilhado as fundiu, e essa fusão era a fonte de cada problema: a proliferação, as caçadas de offboarding, a pergunta de acesso sem resposta.

Separá-las é a correção inteira. Conecte a conta uma vez por um token de System-User, deixe a descoberta automática revelar tudo que esse token alcança, e dê à sua equipe papéis internos em vez de senhas. Faça isso, e o onboarding do octogésimo primeiro cliente se parece com o onboarding do primeiro — uma conexão estabelecida e alguns papéis atribuídos — em vez de mais uma linha numa planilha que deveria ter parado de crescer muito tempo atrás. A agência que consegue fazer o onboarding de uma conta de cliente sem compartilhar um login é a que consegue continuar adicionando clientes sem seu risco se acumular junto com eles.