Just-in-Time 프로비저닝
Logto에서 Just-in-Time (JIT) 프로비저닝은 사용자가 시스템에 처음 로그인할 때 조직 멤버십과 역할을 즉시 할당하는 과정입니다. 사전에 사용자 계정을 미리 프로비저닝하는 대신, JIT 프로비저닝은 사용자가 인증할 때 필요한 사용자 계정을 동적으로 구성합니다.
작동 방식
다음은 JIT 프로비저닝 과정의 개요입니다:
- 사용자 인증 (Authentication): 사용자가 애플리케이션 또는 서비스에 로그인하려고 시도하고, 아이덴티티 제공자 (Logto)가 사용자를 인증합니다.
- 계정 로그인 또는 생성: 사용자의 상태에 따라 Logto는 사용자를 로그인시키거나, 새 계정을 생성하거나, 기존 계정에 새 아이덴티티를 추가합니다.
- 프로비저닝: 사용자가 새롭거나 그들의 아이덴티티가 새로운 경우, Logto는 프로비저닝 과정을 시작합니다.
다음은 JIT 프로비저닝의 상세한 흐름도입니다:
JIT 프로비저닝은 B2B 및 다중 테넌시 제품에 유용한 기능입니다. 이는 테넌트 멤버의 온보딩을 원활하게 하고 관리자의 개입이 필요하지 않습니다.
예를 들어, 비즈니스를 온보딩하고 그 직원들이 귀하의 제품에 안전하게 로그인하여 조직에 올바른 역할 접근을 하도록 하려면 여러 가지 방법이 있습니다. Logto가 제공하는 가능한 솔루션과 JIT가 어떻게 도움이 될 수 있는지 살펴보겠습니다.
| 시나리오 | 사용자 유형 | 자동화됨 | 동작 |
|---|---|---|---|
| 관리자 초대 | 신규 및 기존 | 사용자는 조직에 가입하기 위해 이메일 초대장을 받을 수 있습니다. | |
| Management API 사용자 생성 또는 가져오기 | 신규 및 기존 | 사용자는 조직에 가입하기 위해 미리 생성된 사용자 계정을 사용할 수 있습니다. | |
| SSO Just-in-Time 프로비저닝 | 신규 및 기존 | ✅ | SSO로 처음 로그인하는 사용자는 조직에 가입할 수 있습니다. |
| 이메일 도메인 Just-in-Time 프로비저닝 | 신규 | ✅ | 특정 인증된 도메인을 가진 사용자가 처음 로그인할 때 조직에 가입할 수 있습니다. |
| 디렉토리 동기화 | 신규 및 기존 | ✅ | IdP의 디렉토리 동기화 기능을 사용하여 앱에 사전 프로비저닝된 사용자를 사용할 수 있습니다. |
현재 Logto는 SSO Just-in-Time 프로비저닝과 이메일 도메인 Just-in-Time 프로비저닝을 지원합니다.
JIT 프로비저닝의 이점
JIT 프로비저닝은 여러 가지 이점을 제공합니다:
- 효율성: 사용자 계정을 수동으로 생성하고 관리하는 관리 부담을 줄입니다.
- 확장성: 사전 설정 없이 대량의 사용자에 대한 계정 생성을 자동으로 처리합니다.
- 실시간: 사용자가 인증되자마자 리소스에 접근할 수 있도록 지연 없이 보장합니다.
우리는 JIT 기능을 가장 확장 가능하고 안전한 수준으로 구현하여 프로비저닝 과정을 단순화하고 가속화했습니다. 그러나 프로비저닝 시스템은 복잡하고 고객의 특정 요구에 맞게 조정될 수 있으므로, Logto의 사전 구축된 JIT 기능, 신중한 시스템 설계, Logto Management API를 결합하는 것이 중요합니다. 이 통합 접근 방식은 강력하고 효율적인 프로비저닝 시스템을 구축하는 데 도움이 될 것입니다.
JIT와 디렉토리 동기화의 차이점
- JIT 프로비저닝은 사용자 주도 행동에 의해 트리거되며, 디렉토리 동기화는 사용자 주도 및 시스템 주도 (예약 또는 실시간) 모두 가능합니다.
- JIT 프로비저닝은 멤버십이나 역할 할당을 강제하지 않지만, 디렉토리 동기화는 이를 강제할 수 있습니다.
- JIT 프로비저닝은 사용자의 아이덴티티 소스에 관계없이 새로운 사용자를 온보딩하는 데 더 적합하며, 디렉토리 동기화는 관리되는 사용자 계정에 더 적합합니다.
간단히 말해, JIT 프로비저닝은 사용자가 조직에 가입하거나 떠날 자유를 제공하고 기존 사용자를 자유롭게 처리할 수 있는 더 유연하고 사용자 친화적인 접근 방식입니다.
Logto에서의 Just-in-Time 프로비저닝
Just-in-Time (JIT) 프로비저닝은 사용자 주도 행동에 대해서만 트리거되며 Logto Management API와의 상호작용에는 영향을 미치지 않습니다.
Console > Organizations로 이동하세요. 조직의 세부 정보 페이지에서 JIT 프로비저닝을 설정할 수 있습니다.
엔터프라이즈 SSO 프로비저닝
Logto에서 엔터프라이즈 SSO를 설정한 경우, 조직의 엔터프라이즈 SSO를 선택하여 Just-in-Time 프로비저닝을 활성화할 수 있습니다.
다음 조건 중 하나가 충족되면:
- 새로운 사용자가 엔터프라이즈 SSO를 통해 로그인합니다.
- 기존 사용자가 처음으로 엔터프라이즈 SSO를 통해 로그인합니다.
그들은 자동으로 조직에 가입하고 기본 조직 역할을 받게 됩니다.
이메일 도메인 프로비저닝
고객이 전용 엔터프라이즈 SSO를 가지고 있지 않은 경우에도 이메일 도메인을 사용하여 Just-in-Time 프로비저닝을 사용할 수 있습니다.
사용자가 가입할 때, 인증된 이메일 주소가 조직 수준에서 구성된 JIT 이메일 도메인과 일치하면, 해당 조직에 적절한 역할로 프로비저닝됩니다.
주소 매칭은 모든 비엔터프라이즈 SSO 아이덴티티 소스에서 인증된 이메일 주소를 인식할 수 있습니다. 여기에는 다음이 포함됩니다:
왜 이메일 도메인 프로비저닝이 기존 사용자 로그인 과정에 적용되지 않나요?
기존 사용자 로그인은 특정 조직에 프로비저닝되거나 역할이 부여될 수 있는지를 결정하기 위해 추가적인 제어가 필요합니다. 이 과정은 동적이며 로그인 빈도 및 조직 수준 정책과 같은 특정 사용 사례 및 비즈니스 요구에 따라 달라집니다.
예를 들어, 기존 사용자에 대해 이메일 도메인 프로비저닝을 활성화하고 나중에 다른 역할을 가진 사용자 그룹을 온보딩하려는 경우, 이전에 온보딩된 사용자에게 새로 설정한 역할을 할당해야 할까요? 이는 "Just-in-Time 업데이트"에 대한 복잡한 시나리오를 만듭니다. 정확한 동작은 종종 애플리케이션 및 IdP 통합이 어떻게 구성되었는지에 따라 달라집니다. 우리는 이 제어를 귀하에게 제공하여 귀하의 프로비저닝 시스템을 자유롭게 설계하고 새로운 계정 생성 및 조직 온보딩에 대한 가장 빈번한 시나리오를 처리할 수 있도록 합니다.
이메일 도메인 프로비저닝이 활성화된 경우 이메일 로그인 경험
| 사용자 상태 | 설명 |
|---|---|
| 사용자가 존재하지 않고 이메일로 가입 | 사용자가 생성되고 자동으로 적절한 역할로 해당 조직에 가입됩니다. |
| 사용자가 프로비저닝된 이메일 도메인과 동일한 인증된 이메일 주소로 존재 | 일반적인 이메일 로그인 경험. |
이메일 도메인 프로비저닝이 활성화된 경우 소셜 로그인 경험
| 사용자 상태 | 설명 |
|---|---|
| 사용자가 존재하지 않고 인증된 이메일로 소셜 계정으로 가입 | 사용자가 생성되고 자동으로 적절한 역할로 해당 조직에 가입됩니다. |
| 사용자가 존재하지 않고 인증되지 않은 이메일 또는 이메일 없이 소셜 계정으로 가입 | 일반적인 소셜 가입 경험. |
| 사용자가 프로비저닝된 이메일 도메인과 동일한 인증된 이메일 주소로 존재하고 새로운 소셜 아이덴티티로 로그인 | 일반적인 소셜 로그인 경험. |
JIT 프로비저닝 방법 간의 잠재적 충돌 처리
처음에 이메일 도메인 프로비저닝을 설정하고 나중에 동일한 이메일 도메인으로 엔터프라이즈 SSO를 구성한 경우 다음과 같은 일이 발생합니다:
사용자가 이메일 주소를 입력하면 이메일 인증을 우회하고 SSO 아이덴티티 제공자로 리디렉션됩니다. 이는 이메일 도메인 프로비저닝이 트리거되지 않음을 의미합니다.
이를 해결하기 위해 구성 시 경고 메시지를 표시합니다. 올바른 SSO 커넥터를 선택하여 엔터프라이즈 SSO 프로비저닝을 활성화하고 이메일 도메인 프로비저닝에 의존하지 않도록 하세요.
기본 조직 역할
조직에서 사용자를 프로비저닝할 때 기본 조직 역할을 설정할 수 있습니다. 역할 목록은 조직 템플릿에서 제공되며, 역할을 선택하거나 비워둘 수 있습니다.