Just-in-Time-Bereitstellung
In Logto ist die Just-in-Time (JIT) Bereitstellung ein Prozess, der verwendet wird, um Organisationsmitgliedschaften und Rollen für Benutzer dynamisch zuzuweisen, während sie sich zum ersten Mal im System anmelden. Anstatt Benutzerkonten im Voraus bereitzustellen, konfiguriert die JIT-Bereitstellung die erforderlichen Benutzerkonten dynamisch, wenn sich ein Benutzer authentifiziert.
Wie es funktioniert
Hier ist ein Überblick über den JIT-Bereitstellungsprozess:
- Benutzerauthentifizierung: Der Benutzer versucht, sich bei einer Anwendung oder einem Dienst anzumelden, und der Identitätsanbieter (Logto) authentifiziert den Benutzer.
- Kontoanmeldung oder -erstellung: Abhängig vom Status des Benutzers meldet Logto den Benutzer entweder an, erstellt ein neues Konto oder fügt eine neue Identität zu einem bestehenden Konto hinzu.
- Bereitstellung: Wenn der Benutzer oder seine Identität neu ist, löst Logto den Bereitstellungsprozess aus.
Hier ist ein detailliertes Flussdiagramm der JIT-Bereitstellung:
Die JIT-Bereitstellung ist eine nützliche Funktion für B2B- und Multi-Tenancy-Produkte. Sie erleichtert das Onboarding von Mandantenmitgliedern und erfordert keine administrative Beteiligung.
Zum Beispiel, wenn du ein Unternehmen an Bord genommen hast und möchtest, dass seine Mitarbeiter sich sicher in dein Produkt einloggen und der Organisation mit dem richtigen Rollenzugriff beitreten, gibt es mehrere Möglichkeiten, dies zu erreichen. Lass uns die möglichen Lösungen erkunden, die Logto bietet, und wie JIT helfen kann.
| Szenario | Benutzertypen | Automatisiert | Verhalten |
|---|---|---|---|
| Admin-Einladung | Neu und bestehend | Benutzer können eine E-Mail-Einladung erhalten, um der Organisation beizutreten. | |
| Management API Benutzererstellung oder -import | Neu und bestehend | Benutzer können ein vorab erstelltes Benutzerkonto verwenden, um der Organisation beizutreten. | |
| SSO Just-in-Time-Bereitstellung | Neu und bestehend | ✅ | Benutzer, die sich zum ersten Mal mit SSO anmelden, können der Organisation beitreten. |
| E-Mail-Domain Just-in-Time-Bereitstellung | Neu | ✅ | Benutzer mit bestimmten verifizierten Domains, die sich zum ersten Mal anmelden, können der Organisation beitreten. |
| Verzeichnissynchronisation | Neu und bestehend | ✅ | Verwende die Verzeichnissynchronisationsfunktionalität des IdP, um Benutzer im Voraus in der App bereitzustellen. |
Derzeit unterstützt Logto SSO Just-in-Time-Bereitstellung und E-Mail-Domain Just-in-Time-Bereitstellung.
Vorteile der JIT-Bereitstellung
Die JIT-Bereitstellung bietet mehrere Vorteile:
- Effizienz: Reduziert den administrativen Aufwand für die manuelle Erstellung und Verwaltung von Benutzerkonten.
- Skalierbarkeit: Handhabt automatisch die Kontoerstellung für eine große Anzahl von Benutzern ohne vorherige Einrichtung.
- Echtzeit: Stellt sicher, dass Benutzer sofort nach der Authentifizierung auf Ressourcen zugreifen können, ohne Verzögerungen.
Wir haben die JIT-Funktionen auf ihrem skalierbarsten und sichersten Niveau implementiert, um den Bereitstellungsprozess für dich zu vereinfachen und zu beschleunigen. Da Bereitstellungssysteme jedoch komplex sein und auf die spezifischen Bedürfnisse deiner Kunden zugeschnitten werden können, ist es wichtig, die vorgefertigten JIT-Funktionen von Logto, dein sorgfältiges Systemdesign und die Logto Management API zu kombinieren. Dieser integrierte Ansatz hilft dir, ein robustes und effizientes Bereitstellungssystem aufzubauen.
Unterschiede zwischen JIT und Verzeichnissynchronisation
- JIT-Bereitstellung wird durch benutzerinitiierte Aktionen ausgelöst, während Verzeichnissynchronisation sowohl benutzerinitiiert als auch systeminitiiert (geplant oder in Echtzeit) sein kann.
- JIT-Bereitstellung erzwingt keine Mitgliedschaft oder Rollenzuweisung, während Verzeichnissynchronisation diese erzwingen kann.
- JIT-Bereitstellung ist besser geeignet für das Onboarding neuer Benutzer, unabhängig von der Identitätsquelle des Benutzers, während Verzeichnissynchronisation besser geeignet ist für verwaltete Benutzerkonten.
Kurz gesagt, die JIT-Bereitstellung ist ein flexiblerer und benutzerfreundlicherer Ansatz für das Onboarding von Benutzern, da sie den Benutzern die Freiheit gibt, Organisationen beizutreten oder zu verlassen, und es dir ermöglicht, die bestehenden Benutzer nach eigenem Ermessen zu verwalten.
Just-in-Time-Bereitstellung in Logto
Just-in-Time (JIT) Bereitstellung wird nur für benutzerinitiierte Aktionen ausgelöst und beeinflusst nicht die Interaktionen mit der Logto Management API.
Enterprise SSO-Bereitstellung
Wenn du Enterprise SSO in Logto eingerichtet hast, kannst du dein Organisation Enterprise SSO auswählen, um die Just-in-Time-Bereitstellung zu aktivieren.
Wenn eine der folgenden Bedingungen erfüllt ist:
- Neue Benutzer melden sich über Enterprise SSO an;
- Bestehende Benutzer melden sich zum ersten Mal über Enterprise SSO an.
Sie werden automatisch der Organisation beitreten und erhalten Standard-Organisationsrollen.
E-Mail-Domain-Bereitstellung
Wenn dein Kunde kein dediziertes Enterprise SSO hat, kannst du dennoch E-Mail-Domains für die Just-in-Time-Bereitstellung verwenden.
Wenn sich ein Benutzer anmeldet und seine verifizierte E-Mail-Adresse mit den auf Organisationsebene konfigurierten JIT-E-Mail-Domains übereinstimmt, wird er den entsprechenden Organisationen mit den entsprechenden Rollen zugewiesen.
Das Adressabgleich kann die verifizierte E-Mail-Adresse aus allen nicht-Enterprise SSO-Identitätsquellen erkennen, einschließlich:
- E-Mail-Anmeldeauthentifizierung
- Soziale Anmeldeauthentifizierung
Warum gilt die E-Mail-Domain-Bereitstellung nicht für den Anmeldeprozess bestehender Benutzer?
Die Anmeldung bestehender Benutzer erfordert eine weitere Kontrolle, um festzustellen, ob sie einer bestimmten Organisation zugewiesen oder eine Rolle erhalten können. Dieser Prozess ist dynamisch und hängt von spezifischen Anwendungsfällen und geschäftlichen Anforderungen ab, wie z. B. Anmeldehäufigkeit und organisationsspezifischen Richtlinien.
Zum Beispiel, wenn du die E-Mail-Domain-Bereitstellung für einen bestehenden Benutzer aktivierst und später eine andere Benutzergruppe mit einer anderen Rolle an Bord nehmen möchtest, sollte der zuvor an Bord genommene Benutzer die neue Rolle erhalten, die du eingerichtet hast? Dies schafft ein komplexes Szenario für „Just-in-Time-Updates“. Das genaue Verhalten hängt oft davon ab, wie die Anwendung und die IdP-Integration konfiguriert sind. Wir geben dir diese Kontrolle, damit du dein Bereitstellungssystem frei gestalten und die häufigsten Szenarien für die Erstellung neuer Konten und das Onboarding von Organisationen handhaben kannst.
E-Mail-Anmeldeerfahrung, wenn die E-Mail-Domain-Bereitstellung aktiviert ist
| Benutzerstatus | Beschreibung |
|---|---|
| Benutzer existiert nicht und meldet sich mit E-Mail an | Benutzer wird erstellt und tritt automatisch der entsprechenden Organisation mit geeigneten Rollen bei. |
| Benutzer existiert mit derselben verifizierten E-Mail-Adresse wie bereitgestellte E-Mail-Domains | Normale E-Mail-Anmeldeerfahrung. |
Soziale Anmeldeerfahrung, wenn die E-Mail-Domain-Bereitstellung aktiviert ist
| Benutzerstatus | Beschreibung |
|---|---|
| Benutzer existiert nicht, meldet sich mit einem sozialen Konto mit einer verifizierten E-Mail an | Benutzer wird erstellt und tritt automatisch der entsprechenden Organisation mit geeigneten Rollen bei. |
| Benutzer existiert nicht, meldet sich mit einem sozialen Konto mit einer nicht verifizierten E-Mail oder ohne E-Mail an | Normale soziale Anmeldeerfahrung. |
| Benutzer existiert mit derselben verifizierten E-Mail-Adresse wie bereitgestellte E-Mail-Domains, meldet sich über eine neue soziale Identität an | Normale soziale Anmeldeerfahrung. |
Umgang mit dem potenziellen Konflikt zwischen JIT-Bereitstellungsmethoden
Wenn du zunächst die E-Mail-Domain-Bereitstellung einrichtest und später ein Enterprise SSO mit derselben E-Mail-Domain konfigurierst, passiert Folgendes:
Wenn ein Benutzer seine E-Mail-Adresse eingibt, wird er zum SSO-Identitätsanbieter weitergeleitet und umgeht die E-Mail-Authentifizierung. Das bedeutet, dass die E-Mail-Domain-Bereitstellung nicht ausgelöst wird.
Um dies zu adressieren, zeigen wir eine Warnmeldung bei der Konfiguration an. Stelle sicher, dass du diesen Fall behandelst, indem du den richtigen SSO-Connector auswählst, um die Enterprise SSO-Bereitstellung zu aktivieren, und verlasse dich nicht auf die E-Mail-Domain-Bereitstellung.
Standard-Organisationsrollen
Bei der Bereitstellung von Benutzern in einer Organisation kannst du ihre Standard-Organisationsrollen festlegen. Die Rollenliste stammt aus der Organisationstemplate, und du kannst eine Rolle auswählen oder sie leer lassen.