Just-in-Time Bereitstellung
In Logto ist die Just-in-Time (JIT) Bereitstellung ein Prozess, der verwendet wird, um Organisationsmitgliedschaften und Rollen für Benutzer dynamisch zuzuweisen, während sie sich zum ersten Mal im System anmelden. Anstatt Benutzerkonten im Voraus bereitzustellen, konfiguriert die JIT-Bereitstellung die erforderlichen Benutzerkonten dynamisch, wenn sich ein Benutzer authentifiziert.
Wie es funktioniert
Hier ist ein Überblick über den JIT-Bereitstellungsprozess:
- Benutzerauthentifizierung: Der Benutzer versucht, sich bei einer Anwendung oder einem Dienst anzumelden, und der Identitätsanbieter (Logto) authentifiziert den Benutzer.
- Kontoanmeldung oder -erstellung: Abhängig vom Status des Benutzers meldet Logto den Benutzer entweder an, erstellt ein neues Konto oder fügt eine neue Identität zu einem bestehenden Konto hinzu.
- Bereitstellung: Wenn der Benutzer oder seine Identität neu ist, löst Logto den Bereitstellungsprozess aus.
Hier ist ein detailliertes Flussdiagramm der JIT-Bereitstellung:
Die JIT-Bereitstellung ist eine nützliche Funktion für B2B und Multi-Tenancy-Produkte. Sie erleichtert das Onboarding von Mietgliedern und erfordert keine administrative Beteiligung.
Zum Beispiel, wenn du ein Unternehmen aufgenommen hast und möchtest, dass seine Mitarbeiter sich sicher in dein Produkt einloggen und der Organisation mit dem richtigen Rollen-Zugang beitreten, gibt es mehrere Möglichkeiten, dies zu erreichen. Lass uns die möglichen Lösungen erkunden, die Logto bietet, und wie JIT helfen kann.
| Szenario | Benutzertypen | Automatisiert | Verhalten |
|---|---|---|---|
| Admin-Einladung | Neu und bestehend | Benutzer können eine E-Mail-Einladung erhalten, um der Organisation beizutreten. | |
| Management API Benutzererstellung oder Import | Neu und bestehend | Benutzer können ein vorkonfiguriertes Benutzerkonto verwenden, um der Organisation beizutreten. | |
| SSO Just-in-Time Bereitstellung | Neu und bestehend | ✅ | Benutzer, die sich zum ersten Mal mit SSO anmelden, können der Organisation beitreten. |
| E-Mail-Domain Just-in-Time Bereitstellung | Neu | ✅ | Benutzer mit bestimmten verifizierten Domains, die sich zum ersten Mal anmelden, können der Organisation beitreten. |
| Verzeichnissynchronisation | Neu und bestehend | ✅ | Verwende die Verzeichnissynchronisationsfunktionalität des IdP, um Benutzer im Voraus in der App bereitzustellen. |
Derzeit unterstützt Logto SSO Just-in-Time Bereitstellung und E-Mail-Domain Just-in-Time Bereitstellung.
Vorteile der JIT-Bereitstellung
Die JIT-Bereitstellung bietet mehrere Vorteile:
- Effizienz: Reduziert den administrativen Aufwand für die manuelle Erstellung und Verwaltung von Benutzerkonten.
- Skalierbarkeit: Handhabt automatisch die Kontoerstellung für eine große Anzahl von Benutzern ohne vorherige Einrichtung.
- Echtzeit: Stellt sicher, dass Benutzer sofort nach der Authentifizierung auf Ressourcen zugreifen können, ohne Verzögerungen.
Wir haben die JIT-Funktionen auf ihrem skalierbarsten und sichersten Niveau implementiert, um den Bereitstellungsprozess für dich zu vereinfachen und zu beschleunigen. Da Bereitstellungssysteme jedoch komplex sein und auf die spezifischen Bedürfnisse deiner Kunden zugeschnitten werden können, ist es wichtig, die vorgefertigten JIT-Funktionen von Logto, dein sorgfältiges Systemdesign und die Logto Management API zu kombinieren. Dieser integrierte Ansatz hilft dir, ein robustes und effizientes Bereitstellungssystem aufzubauen.
Unterschiede zwischen JIT und Verzeichnissynchronisation
- JIT-Bereitstellung wird durch benutzerinitiierte Aktionen ausgelöst, während Verzeichnissynchronisation sowohl benutzerinitiiert als auch systeminitiiert (geplant oder in Echtzeit) sein kann.
- JIT-Bereitstellung erzwingt keine Mitgliedschaft oder Rollenzuweisung, während Verzeichnissynchronisation diese erzwingen kann.
- JIT-Bereitstellung ist besser geeignet für das Onboarding neuer Benutzer, unabhängig von der Identitätsquelle des Benutzers, während Verzeichnissynchronisation besser geeignet ist für verwaltete Benutzerkonten.
Kurz gesagt, die JIT-Bereitstellung ist ein flexiblerer und benutzerfreundlicherer Ansatz für das Onboarding von Benutzern, da sie den Benutzern die Freiheit gibt, Organisationen beizutreten oder zu verlassen, und dir ermöglicht, die bestehenden Benutzer nach eigenem Ermessen zu verwalten.
Just-in-Time Bereitstellung in Logto
Just-in-Time (JIT) Bereitstellung wird nur für benutzerinitiierte Aktionen ausgelöst und beeinflusst nicht die Interaktionen mit der Logto Management API.
Navigiere zu Konsole > Organisationen. Du kannst die JIT-Bereitstellung auf der Detailseite einer Organisation einstellen.
Enterprise SSO Bereitstellung
Wenn du Enterprise SSO in Logto eingerichtet hast, kannst du dein Organisations-Enterprise-SSO auswählen, um die Just-in-Time Bereitstellung zu aktivieren.
Wenn eine der folgenden Bedingungen erfüllt ist:
- Neue Benutzer melden sich über Enterprise SSO an;
- Bestehende Benutzer melden sich zum ersten Mal über Enterprise SSO an.
Sie werden automatisch der Organisation beitreten und erhalten Standard-Organisationsrollen.
E-Mail-Domain Bereitstellung
Wenn dein Kunde kein dediziertes Enterprise SSO hat, kannst du dennoch E-Mail-Domains für die Just-in-Time Bereitstellung verwenden.
Wenn sich ein Benutzer anmeldet und seine verifizierte E-Mail-Adresse mit den auf Organisationsebene konfigurierten JIT-E-Mail-Domains übereinstimmt, wird er den entsprechenden Organisationen mit den entsprechenden Rollen zugewiesen.
Das Adressabgleich kann die verifizierte E-Mail-Adresse aus allen nicht-Enterprise-SSO-Identitätsquellen erkennen, einschließlich:
- E-Mail-Anmeldung Authentifizierung
- Soziale Anmeldung Authentifizierung
Warum gilt die E-Mail-Domain Bereitstellung nicht für den Anmeldeprozess bestehender Benutzer?
Die Anmeldung bestehender Benutzer erfordert eine weitere Kontrolle, um festzustellen, ob sie einer bestimmten Organisation zugewiesen oder eine Rolle erhalten können. Dieser Prozess ist dynamisch und hängt von spezifischen Anwendungsfällen und geschäftlichen Anforderungen ab, wie Anmeldefrequenz und organisationsspezifische Richtlinien.
Zum Beispiel, wenn du die E-Mail-Domain Bereitstellung für einen bestehenden Benutzer aktivierst und später eine andere Benutzergruppe mit einer anderen Rolle aufnehmen möchtest, sollte der zuvor aufgenommene Benutzer die neue Rolle erhalten, die du eingerichtet hast? Dies schafft ein komplexes Szenario für „Just-in-Time-Updates“. Das genaue Verhalten hängt oft davon ab, wie die Anwendung und die IdP-Integration konfiguriert sind. Wir geben dir diese Kontrolle, damit du dein Bereitstellungssystem frei gestalten und die häufigsten Szenarien für die Erstellung neuer Konten und das Onboarding von Organisationen handhaben kannst.
E-Mail-Anmeldeerfahrung, wenn die E-Mail-Domain Bereitstellung aktiviert ist
| Benutzerstatus | Beschreibung |
|---|---|
| Benutzer existiert nicht und meldet sich mit E-Mail an | Benutzer wird erstellt und tritt automatisch der entsprechenden Organisation mit passenden Rollen bei. |
| Benutzer existiert mit derselben verifizierten E-Mail-Adresse wie bereitgestellte E-Mail-Domains | Normale E-Mail-Anmeldeerfahrung. |
Soziale Anmeldeerfahrung, wenn die E-Mail-Domain Bereitstellung aktiviert ist
| Benutzerstatus | Beschreibung |
|---|---|
| Benutzer existiert nicht, meldet sich mit sozialem Konto unter Verwendung einer verifizierten E-Mail an | Benutzer wird erstellt und tritt automatisch der entsprechenden Organisation mit passenden Rollen bei. |
| Benutzer existiert nicht, meldet sich mit sozialem Konto unter Verwendung einer nicht verifizierten E-Mail oder ohne E-Mail an | Normale soziale Anmeldungserfahrung. |
| Benutzer existiert mit derselben verifizierten E-Mail-Adresse wie bereitgestellte E-Mail-Domains, meldet sich über eine neue soziale Identität an | Normale soziale Anmeldeerfahrung. |
Umgang mit dem potenziellen Konflikt zwischen JIT-Bereitstellungsmethoden
Wenn du zunächst die E-Mail-Domain Bereitstellung einrichtest und später ein Enterprise SSO mit derselben E-Mail-Domain konfigurierst, passiert Folgendes:
Wenn ein Benutzer seine E-Mail-Adresse eingibt, wird er zum SSO-Identitätsanbieter weitergeleitet und umgeht die E-Mail-Authentifizierung. Das bedeutet, dass die E-Mail-Domain Bereitstellung nicht ausgelöst wird.
Um dies zu adressieren, zeigen wir eine Warnmeldung bei der Konfiguration an. Stelle sicher, dass du diesen Fall behandelst, indem du den richtigen SSO-Connector auswählst, um die Enterprise SSO Bereitstellung zu aktivieren, und verlasse dich nicht auf die E-Mail-Domain Bereitstellung.
Standard-Organisationsrollen
Bei der Bereitstellung von Benutzern in einer Organisation kannst du deren Standard-Organisationsrollen festlegen. Die Rollenliste stammt aus der Organisationstemplate, und du kannst eine Rolle auswählen oder sie leer lassen.