Provisionnement Just-in-Time
Dans Logto, le provisionnement Just-in-Time (JIT) est un processus utilisé pour attribuer des adhésions à des organisations et des rôles aux utilisateurs à la volée lorsqu'ils se connectent au système pour la première fois. Au lieu de pré-provisionner des comptes pour les utilisateurs à l'avance, le provisionnement JIT configure dynamiquement les comptes utilisateurs nécessaires lorsqu'un utilisateur effectue une Authentification (authenticates).
Comment ça fonctionne
Voici un aperçu général du processus de provisionnement JIT :
- Authentification de l'utilisateur : L'utilisateur tente de se connecter à une application ou un service, et le fournisseur d’identité (Logto) effectue l'Authentification (authenticates) de l'utilisateur.
- Connexion ou création de compte : Selon le statut de l'utilisateur, Logto connecte l'utilisateur, crée un nouveau compte ou ajoute une nouvelle identité à un compte existant.
- Provisionnement : Si l'utilisateur ou son identité est nouveau, Logto déclenche le processus de provisionnement.
Voici un organigramme détaillé du provisionnement JIT :
Le provisionnement JIT est une fonctionnalité utile pour les produits B2B et multi-locataires. Il facilite l'intégration des membres des locataires et ne nécessite aucune intervention administrative.
Par exemple, si vous avez intégré une entreprise et souhaitez que ses employés se connectent en toute sécurité à votre produit et rejoignent l'Organisation (organization) avec le bon accès de Rôle, il existe plusieurs façons d'y parvenir. Explorons les solutions possibles que Logto fournit et comment JIT peut aider.
| Scénario | Types d'utilisateurs | Automatisé | Comportement |
|---|---|---|---|
| Invitation d'administrateur | Nouveaux et existants | Les utilisateurs peuvent recevoir une invitation par e-mail pour rejoindre l'Organisation (organization). | |
| Création ou importation d'utilisateur via Management API | Nouveaux et existants | Les utilisateurs peuvent utiliser un compte utilisateur pré-créé pour rejoindre l'Organisation (organization). | |
| Provisionnement just-in-time SSO | Nouveaux et existants | ✅ | Les utilisateurs qui se connectent avec SSO pour la première fois peuvent rejoindre l'Organisation (organization). |
| Provisionnement just-in-time par domaine de messagerie | Nouveaux | ✅ | Les utilisateurs avec des domaines vérifiés spécifiques qui se connectent pour la première fois peuvent rejoindre l'Organisation (organization). |
| Synchronisation de répertoire | Nouveaux et existants | ✅ | Utilisez la fonctionnalité de synchronisation de répertoire de l'IdP pour pré-provisionner les utilisateurs dans l'application à l'avance. |
Actuellement, Logto prend en charge le provisionnement just-in-time SSO et le provisionnement just-in-time par domaine de messagerie.
Avantages du provisionnement JIT
Le provisionnement JIT offre plusieurs avantages :
- Efficacité : Réduit la charge administrative de la création et de la gestion manuelles des comptes utilisateurs.
- Évolutivité : Gère automatiquement la création de comptes pour un grand nombre d'utilisateurs sans configuration préalable.
- En temps réel : Assure que les utilisateurs peuvent accéder aux ressources dès qu'ils effectuent une Authentification (authenticate), sans délais.
Nous avons mis en œuvre les fonctionnalités JIT à leur niveau le plus évolutif et sécurisé pour simplifier et accélérer le processus de provisionnement pour vous. Cependant, comme les systèmes de provisionnement peuvent être complexes et adaptés aux besoins spécifiques de vos clients, il est essentiel de combiner les fonctionnalités JIT préconstruites de Logto, votre conception soignée du système et le Logto Management API. Cette approche intégrée vous aidera à construire un système de provisionnement robuste et efficace.
Différences entre JIT et synchronisation de répertoire
- Le provisionnement JIT est déclenché par des actions initiées par l'utilisateur, tandis que la synchronisation de répertoire peut être à la fois initiée par l'utilisateur et par le système (planifiée ou en temps réel).
- Le provisionnement JIT n'impose pas l'adhésion ou l'attribution de Rôle, tandis que la synchronisation de répertoire peut les imposer.
- Le provisionnement JIT est plus adapté à l'intégration de nouveaux utilisateurs, quelle que soit la source d'identité de l'utilisateur, tandis que la synchronisation de répertoire est plus adaptée aux comptes utilisateurs gérés.
En bref, le provisionnement JIT est une approche plus flexible et conviviale pour intégrer les utilisateurs, car il peut donner aux utilisateurs la liberté de rejoindre ou de quitter les Organisations (organizations) et vous permet de gérer les utilisateurs existants à votre discrétion.
Provisionnement just-in-time dans Logto
Le provisionnement just-in-time (JIT) ne se déclenche que pour les actions initiées par l'utilisateur et n'affecte pas les interactions avec le Logto Management API.
Provisionnement SSO d’entreprise
Si vous avez configuré le SSO d’entreprise dans Logto, vous pouvez sélectionner votre SSO d’entreprise pour activer le provisionnement just-in-time.
Lorsque l'une des conditions suivantes est remplie :
- Nouveaux utilisateurs se connectant via le SSO d’entreprise ;
- Utilisateurs existants se connectant via le SSO d’entreprise pour la première fois.
Ils rejoindront automatiquement l'Organisation (organization) et obtiendront les Rôles d’organisation par défaut.
Provisionnement par domaine de messagerie
Si votre client n'a pas de SSO d’entreprise dédié, vous pouvez toujours utiliser des domaines de messagerie pour le provisionnement just-in-time.
Lorsqu'un utilisateur s'inscrit, si son adresse e-mail vérifiée correspond aux domaines de messagerie JIT configurés au niveau de l'Organisation (organization), il sera provisionné dans les Organisations (organizations) appropriées avec les Rôles correspondants.
La correspondance d'adresse peut reconnaître l'adresse e-mail vérifiée de toutes les sources d'identité non SSO d’entreprise, y compris :
- Authentification par e-mail lors de l'inscription
- Authentification sociale lors de l'inscription
Pourquoi le provisionnement par domaine de messagerie ne s'applique-t-il pas au processus de connexion des utilisateurs existants ?
La connexion des utilisateurs existants nécessite un contrôle supplémentaire pour déterminer s'ils peuvent être provisionnés dans une Organisation (organization) spécifique ou se voir attribuer un Rôle. Ce processus est dynamique et dépend de cas d'utilisation spécifiques et de besoins commerciaux, tels que la fréquence de connexion et les politiques au niveau de l'Organisation (organization).
Par exemple, si vous activez le provisionnement par domaine de messagerie pour un utilisateur existant et souhaitez ensuite intégrer un autre groupe d'utilisateurs avec un Rôle différent, l'utilisateur précédemment intégré doit-il se voir attribuer le nouveau Rôle que vous avez configuré ? Cela crée un scénario complexe pour les "mises à jour just-in-time". Le comportement exact dépend souvent de la façon dont l'application et l'intégration de l'IdP sont configurées. Nous vous donnons ce contrôle, vous permettant de concevoir librement votre système de provisionnement et de gérer les scénarios les plus fréquents pour la création de nouveaux comptes et l'intégration des Organisations (organizations).
Expérience de connexion par e-mail lorsque le provisionnement par domaine de messagerie est activé
| Statut de l'utilisateur | Description |
|---|---|
| L'utilisateur n'existe pas et s'inscrit avec un e-mail | L'utilisateur est créé et rejoint automatiquement l'Organisation (organization) correspondante avec les Rôles appropriés. |
| L'utilisateur existe avec la même adresse e-mail vérifiée que les domaines de messagerie provisionnés | Expérience de connexion par e-mail normale. |
Expérience de connexion sociale lorsque le provisionnement par domaine de messagerie est activé
| Statut de l'utilisateur | Description |
|---|---|
| L'utilisateur n'existe pas, s'inscrit avec un compte social utilisant un e-mail vérifié | L'utilisateur est créé et rejoint automatiquement l'Organisation (organization) correspondante avec les Rôles appropriés. |
| L'utilisateur n'existe pas, s'inscrit avec un compte social utilisant un e-mail non vérifié ou sans e-mail | Expérience d'inscription sociale normale. |
| L'utilisateur existe avec la même adresse e-mail vérifiée que les domaines de messagerie provisionnés, se connecte via une nouvelle identité sociale | Expérience de connexion sociale normale. |
Gestion du conflit potentiel entre les méthodes de provisionnement JIT
Si vous configurez initialement le provisionnement par domaine de messagerie et configurez ensuite un SSO d’entreprise avec le même domaine de messagerie, voici ce qui se passe :
Lorsqu'un utilisateur saisit son adresse e-mail, il sera redirigé vers le fournisseur d'identité SSO, contournant l'authentification par e-mail. Cela signifie que le provisionnement par domaine de messagerie ne sera pas déclenché.
Pour résoudre ce problème, nous afficherons un message d'avertissement lors de la configuration. Assurez-vous de gérer ce cas en sélectionnant le bon connecteur SSO pour activer le provisionnement SSO d’entreprise, et ne vous fiez pas au provisionnement par domaine de messagerie.
Rôles d’organisation par défaut
Lors du provisionnement des utilisateurs dans une Organisation (organization), vous pouvez définir leurs Rôles d’organisation par défaut. La liste des Rôles provient du modèle d’Organisation (organization), et vous pouvez choisir un Rôle ou le laisser vide.