Approvisionnement Just-in-Time
Dans Logto, l'approvisionnement Just-in-Time (JIT) est un processus utilisé pour attribuer des appartenances à des organisations et des rôles aux utilisateurs à la volée lorsqu'ils se connectent au système pour la première fois. Au lieu de pré-approvisionner des comptes pour les utilisateurs à l'avance, l'approvisionnement JIT configure dynamiquement les comptes utilisateurs nécessaires lorsqu'un utilisateur s'authentifie.
Comment ça fonctionne
Voici un aperçu général du processus d'approvisionnement JIT :
- Authentification de l'utilisateur : L'utilisateur tente de se connecter à une application ou un service, et le fournisseur d'identité (Logto) authentifie l'utilisateur.
- Connexion ou création de compte : Selon le statut de l'utilisateur, Logto connecte l'utilisateur, crée un nouveau compte ou ajoute une nouvelle identité à un compte existant.
- Approvisionnement : Si l'utilisateur ou son identité est nouveau, Logto déclenche le processus d'approvisionnement.
Voici un organigramme détaillé de l'approvisionnement JIT :
L'approvisionnement JIT est une fonctionnalité utile pour les produits B2B et multi-tenants. Il facilite l'intégration des membres des locataires sans nécessiter d'intervention administrative.
Par exemple, si vous avez intégré une entreprise et souhaitez que ses employés se connectent en toute sécurité à votre produit et rejoignent l'organisation avec le bon accès aux rôles, il existe plusieurs façons d'y parvenir. Explorons les solutions possibles que Logto propose et comment JIT peut aider.
Scénario | Types d'utilisateurs | Automatisé | Comportement |
---|---|---|---|
Invitation d'administrateur | Nouveaux et existants | Les utilisateurs peuvent recevoir une invitation par e-mail pour rejoindre l'organisation. | |
Création ou importation d'utilisateur via Management API | Nouveaux et existants | Les utilisateurs peuvent utiliser un compte utilisateur pré-créé pour rejoindre l'organisation. | |
Approvisionnement just-in-time SSO | Nouveaux et existants | ✅ | Les utilisateurs qui se connectent avec SSO pour la première fois peuvent rejoindre l'organisation. |
Approvisionnement just-in-time par domaine de messagerie | Nouveaux | ✅ | Les utilisateurs avec des domaines vérifiés spécifiques qui se connectent pour la première fois peuvent rejoindre l'organisation. |
Synchronisation de répertoire | Nouveaux et existants | ✅ | Utilisez la fonctionnalité de synchronisation de répertoire de l'IdP pour pré-approvisionner les utilisateurs dans l'application à l'avance. |
Actuellement, Logto prend en charge l'approvisionnement just-in-time SSO et l'approvisionnement just-in-time par domaine de messagerie.
Avantages de l'approvisionnement JIT
L'approvisionnement JIT offre plusieurs avantages :
- Efficacité : Réduit la charge administrative de la création et de la gestion manuelles des comptes utilisateurs.
- Évolutivité : Gère automatiquement la création de comptes pour un grand nombre d'utilisateurs sans configuration préalable.
- En temps réel : Assure que les utilisateurs peuvent accéder aux ressources dès qu'ils s'authentifient, sans délais.
Nous avons mis en œuvre les fonctionnalités JIT à leur niveau le plus évolutif et sécurisé pour simplifier et accélérer le processus d'approvisionnement pour vous. Cependant, comme les systèmes d'approvisionnement peuvent être complexes et adaptés aux besoins spécifiques de vos clients, il est essentiel de combiner les fonctionnalités JIT préconstruites de Logto, votre conception soignée du système et le Logto Management API. Cette approche intégrée vous aidera à construire un système d'approvisionnement robuste et efficace.
Différences entre JIT et synchronisation de répertoire
- L'approvisionnement JIT est déclenché par des actions initiées par l'utilisateur, tandis que la synchronisation de répertoire peut être à la fois initiée par l'utilisateur et par le système (planifiée ou en temps réel).
- L'approvisionnement JIT n'impose pas l'appartenance ou l'attribution de rôles, tandis que la synchronisation de répertoire peut les imposer.
- L'approvisionnement JIT est plus adapté à l'intégration de nouveaux utilisateurs, quelle que soit la source d'identité de l'utilisateur, tandis que la synchronisation de répertoire est plus adaptée aux comptes utilisateurs gérés.
En bref, l'approvisionnement JIT est une approche plus flexible et conviviale pour intégrer les utilisateurs, car il peut donner aux utilisateurs la liberté de rejoindre ou de quitter des organisations et vous permet de gérer les utilisateurs existants à votre discrétion.
Approvisionnement just-in-time dans Logto
L'approvisionnement just-in-time (JIT) ne se déclenche que pour les actions initiées par l'utilisateur et n'affecte pas les interactions avec le Logto Management API.
Accédez à Console > Organisations. Vous pouvez définir l'approvisionnement JIT dans la page de détails d'une organisation.
Approvisionnement SSO d'entreprise
Si vous avez configuré le SSO d’entreprise dans Logto, vous pouvez sélectionner votre SSO d'entreprise pour activer l'approvisionnement just-in-time.
Lorsque l'une des conditions suivantes est remplie :
- De nouveaux utilisateurs se connectent via le SSO d'entreprise ;
- Des utilisateurs existants se connectent via le SSO d'entreprise pour la première fois.
Ils rejoindront automatiquement l'organisation et obtiendront les rôles d'organisation par défaut.
Approvisionnement par domaine de messagerie
Si votre client n'a pas de SSO d'entreprise dédié, vous pouvez toujours utiliser des domaines de messagerie pour l'approvisionnement just-in-time.
Lorsqu'un utilisateur s'inscrit, si son adresse e-mail vérifiée correspond aux domaines de messagerie JIT configurés au niveau de l'organisation, il sera approvisionné dans les organisations appropriées avec les r ôles correspondants.
La correspondance d'adresse peut reconnaître l'adresse e-mail vérifiée de toutes les sources d'identité non SSO d'entreprise, y compris :
- Authentification Inscription par e-mail
- Authentification Inscription sociale
Pourquoi l'approvisionnement par domaine de messagerie ne s'applique-t-il pas au processus de connexion des utilisateurs existants ?
La connexion des utilisateurs existants nécessite un contrôle supplémentaire pour déterminer s'ils peuvent être approvisionnés dans une organisation spécifique ou se voir attribuer un rôle. Ce processus est dynamique et dépend de cas d'utilisation spécifiques et de besoins commerciaux, tels que la fréquence de connexion et les politiques au niveau de l'organisation.
Par exemple, si vous activez l'approvisionnement par domaine de messagerie pour un utilisateur existant et souhaitez ensuite intégrer un autre groupe d'utilisateurs avec un rôle différent, l'utilisateur précédemment intégré doit-il se voir attribuer le nouveau rôle que vous avez configuré ? Cela crée un scénario complexe pour les "mises à jour just-in-time". Le comportement exact dépend souvent de la façon dont l'application et l'intégration IdP sont configurées. Nous vous donnons ce contrôle, vous permettant de concevoir librement votre système d'approvisionnement et de gérer les scénarios les plus fréquents pour la création de nouveaux comptes et l'intégration d'organisations.
Expérience de connexion par e-mail lorsque l'approvisionnement par domaine de messagerie est activé
Statut de l'utilisateur | Description |
---|---|
L'utilisateur n'existe pas et s'inscrit avec un e-mail | L'utilisateur est créé et rejoint automatiquement l'organisation correspondante avec les rôles appropriés. |
L'utilisateur existe avec la même adresse e-mail vérifiée que les domaines de messagerie approvisionnés | Expérience de connexion par e-mail normale. |
Expérience de connexion sociale lorsque l'approvisionnement par domaine de messagerie est activé
Statut de l'utilisateur | Description |
---|---|
L'utilisateur n'existe pas, s'inscrit avec un compte social utilisant un e-mail vérifié | L'utilisateur est créé et rejoint automatiquement l'organisation correspondante avec les rôles appropriés. |
L'utilisateur n'existe pas, s'inscrit avec un compte social utilisant un e-mail non vérifié ou sans e-mail | Expérience d'inscription sociale normale. |
L'utilisateur existe avec la même adresse e-mail vérifiée que les domaines de messagerie approvisionnés, se connecte via une nouvelle identité sociale | Expérience de connexion sociale normale. |
Gestion du conflit potentiel entre les méthodes d'approvisionnement JIT
Si vous configurez initialement l'approvisionnement par domaine de messagerie et configurez ensuite un SSO d'entreprise avec le même domaine de messagerie, voici ce qui se passe :
Lorsqu'un utilisateur entre son adresse e-mail, il sera redirigé vers le fournisseur d'identité SSO, contournant l'authentification par e-mail. Cela signifie que l'approvisionnement par domaine de messagerie ne sera pas déclenché.
Pour résoudre ce problème, nous afficherons un message d'avertissement lors de la configuration. Assurez-vous de gérer ce cas en sélectionnant le bon connecteur SSO pour activer l'approvisionnement SSO d'entreprise, et ne vous fiez pas à l'approvisionnement par domaine de messagerie.
Rôles d'organisation par défaut
Lors de l'approvisionnement des utilisateurs dans une organisation, vous pouvez définir leurs rôles d'organisation par défaut. La liste des rôles provient du modèle d'organisation, et vous pouvez choisir un rôle ou le laisser vide.