Aprovisionamiento Just-in-Time
En Logto, el aprovisionamiento Just-in-Time (JIT) es un proceso utilizado para asignar membresías de organización y roles a los usuarios sobre la marcha a medida que inician sesión en el sistema por primera vez. En lugar de aprovisionar cuentas para los usuarios por adelantado, el aprovisionamiento JIT configura las cuentas de usuario necesarias dinámicamente cuando un usuario se autentica.
Cómo funciona
Aquí tienes una visión general del proceso de aprovisionamiento JIT:
- Autenticación del usuario: El usuario intenta iniciar sesión en una aplicación o servicio, y el proveedor de identidad (Logto) autentica al usuario.
- Inicio de sesión o creación de cuenta: Dependiendo del estado del usuario, Logto inicia sesión al usuario, crea una nueva cuenta o añade una nueva identidad a una cuenta existente.
- Aprovisionamiento: Si el usuario o su identidad es nuevo, Logto activa el proceso de aprovisionamiento.
Aquí tienes un diagrama de flujo detallado del aprovisionamiento JIT:
El aprovisionamiento JIT es una característica útil para productos B2B y de multi-tenancy. Facilita la incorporación de miembros de inquilinos sin necesidad de intervención administrativa.
Por ejemplo, si has incorporado un negocio y deseas que sus empleados inicien sesión de manera segura en tu producto y se unan a la organización con el acceso correcto a roles, hay varias formas de lograrlo. Exploremos las posibles soluciones que Logto ofrece y cómo JIT puede ayudar.
| Escenario | Tipos de usuario | Automatizado | Comportamiento |
|---|---|---|---|
| Invitación de administrador | Nuevo y existente | Los usuarios pueden recibir una invitación por correo electrónico para unirse a la organización. | |
| Creación o importación de usuario de Management API | Nuevo y existente | Los usuarios pueden usar una cuenta de usuario pre-creada para unirse a la organización. | |
| Aprovisionamiento just-in-time SSO | Nuevo y existente | ✅ | Los usuarios que inician sesión con SSO por primera vez pueden unirse a la organización. |
| Aprovisionamiento just-in-time de dominio de correo electrónico | Nuevo | ✅ | Los usuarios con dominios verificados específicos que inician sesión por primera vez pueden unirse a la organización. |
| Sincronización de directorio | Nuevo y existente | ✅ | Usa la funcionalidad de sincronización de directorio del IdP para preaprovisionar usuarios en la aplicación por adelantado. |
Actualmente, Logto admite aprovisionamiento just-in-time SSO y aprovisionamiento just-in-time de dominio de correo electrónico.
Beneficios del aprovisionamiento JIT
El aprovisionamiento JIT ofrece varios beneficios:
- Eficiencia: Reduce la carga administrativa de crear y gestionar cuentas de usuario manualmente.
- Escalabilidad: Maneja automáticamente la creación de cuentas para un gran número de usuarios sin configuración previa.
- En tiempo real: Asegura que los usuarios puedan acceder a los recursos tan pronto como se autentiquen, sin demoras.
Hemos implementado las características JIT en su nivel más escalable y seguro para simplificar y acelerar el proceso de aprovisionamiento para ti. Sin embargo, dado que los sistemas de aprovisionamiento pueden ser complejos y adaptados a las necesidades específicas de tus clientes, es esencial combinar las características JIT preconstruidas de Logto, tu diseño cuidadoso del sistema y el Logto Management API. Este enfoque integrado te ayudará a construir un sistema de aprovisionamiento robusto y eficiente.
Diferencias entre JIT y sincronización de directorio
- El aprovisionamiento JIT se activa por acciones iniciadas por el usuario, mientras que la sincronización de directorio puede ser tanto iniciada por el usuario como por el sistema (programada o en tiempo real).
- El aprovisionamiento JIT no impone la asignación de membresía o roles, mientras que la sincronización de directorio puede imponerlos.
- El aprovisionamiento JIT es más adecuado para la incorporación de nuevos usuarios independientemente de la fuente de identidad del usuario, mientras que la sincronización de directorio es más adecuada para cuentas de usuario gestionadas.
En resumen, el aprovisionamiento JIT es un enfoque más flexible y amigable para el usuario para la incorporación de usuarios, ya que puede dar a los usuarios la libertad de unirse o abandonar organizaciones y permitirte manejar los usuarios existentes a tu discreción.
Aprovisionamiento just-in-time en Logto
El aprovisionamiento just-in-time (JIT) solo se activa para acciones iniciadas por el usuario y no afecta las interacciones con el Logto Management API.
Navega a Consola > Organizaciones. Puedes configurar el aprovisionamiento JIT en la página de detalles de una organización.
Aprovisionamiento SSO empresarial
Si tienes SSO empresarial configurado en Logto, puedes seleccionar tu SSO empresarial de la organización para habilitar el aprovisionamiento just-in-time.
Cuando se cumple una de las siguientes condiciones:
- Los nuevos usuarios inician sesión a través de SSO empresarial;
- Los usuarios existentes inician sesión a través de SSO empresarial por primera vez.
Automáticamente se unirán a la organización y obtendrán roles predeterminados de la organización.
Aprovisionamiento de dominio de correo electrónico
Si tu cliente no tiene un SSO empresarial dedicado, aún puedes usar dominios de correo electrónico para el aprovisionamiento just-in-time.
Cuando un usuario se registra, si su dirección de correo electrónico verificada coincide con los dominios de correo electrónico JIT configurados a nivel de la organización, serán aprovisionados a las organizaciones apropiadas con los roles correspondientes.
La coincidencia de direcciones puede reconocer la dirección de correo electrónico verificada de todas las fuentes de identidad no SSO empresarial, incluyendo:
- Autenticación de registro por correo electrónico
- Autenticación de registro social
¿Por qué el aprovisionamiento de dominio de correo electrónico no se aplica al proceso de inicio de sesión de usuarios existentes?
El inicio de sesión de usuarios existentes requiere un control adicional para determinar si pueden ser aprovisionados a una organización específica o se les puede otorgar un rol. Este proceso es dinámico y depende de casos de uso específicos y necesidades comerciales, como la frecuencia de inicio de sesión y las políticas a nivel de organización.
Por ejemplo, si habilitas el aprovisionamiento de dominio de correo electrónico para un usuario existente y luego deseas incorporar a otro grupo de usuarios con un rol diferente, ¿debería el usuario previamente incorporado recibir el nuevo rol que configuraste? Esto crea un escenario complejo para "actualizaciones just-in-time". El comportamiento exacto a menudo depende de cómo se configuran la aplicación y la integración del IdP. Te damos este control, permitiéndote diseñar tu sistema de aprovisionamiento libremente y manejar los escenarios más frecuentes para la creación de nuevas cuentas y la incorporación a organizaciones.
Experiencia de inicio de sesión por correo electrónico cuando el aprovisionamiento de dominio de correo electrónico está habilitado
| Estado del usuario | Descripción |
|---|---|
| El usuario no existe y se registra con correo electrónico | El usuario es creado y se une automáticamente a la organización correspondiente con roles apropiados. |
| El usuario existe con la misma dirección de correo electrónico verificada que los dominios de correo electrónico aprovisionados | Experiencia normal de inicio de sesión por correo electrónico. |
Experiencia de inicio de sesión social cuando el aprovisionamiento de dominio de correo electrónico está habilitado
| Estado del usuario | Descripción |
|---|---|
| El usuario no existe, se registra con una cuenta social usando un correo electrónico verificado | El usuario es creado y se une automáticamente a la organización correspondiente con roles apropiados. |
| El usuario no existe, se registra con una cuenta social usando un correo electrónico no verificado o sin correo electrónico | Experiencia normal de registro social. |
| El usuario existe con la misma dirección de correo electrónico verificada que los dominios de correo electrónico aprovisionados, inicia sesión a través de una nueva identidad social | Experiencia normal de inicio de sesión social. |
Manejo del posible conflicto entre métodos de aprovisionamiento JIT
Si inicialmente configuras el aprovisionamiento de dominio de correo electrónico y luego configuras un SSO empresarial con el mismo dominio de correo electrónico, esto es lo que sucede:
Cuando un usuario ingresa su dirección de correo electrónico, será redirigido al proveedor de identidad SSO, omitiendo la autenticación por correo electrónico. Esto significa que el aprovisionamiento de dominio de correo electrónico no se activará.
Para abordar esto, mostraremos un mensaje de advertencia al configurar. Asegúrate de manejar este caso seleccionando el conector SSO correcto para habilitar el aprovisionamiento SSO empresarial, y no confíes en el aprovisionamiento de dominio de correo electrónico.
Roles predeterminados de la organización
Al aprovisionar usuarios en una organización, puedes establecer sus roles predeterminados de la organización. La lista de roles proviene de la plantilla de organización, y puedes elegir un rol o dejarlo vacío.