Provisionamento Just-in-Time
No Logto, o provisionamento Just-in-Time (JIT) é um processo usado para atribuir associações de organização e papéis aos usuários de forma dinâmica à medida que eles fazem login no sistema pela primeira vez. Em vez de pré-provisionar contas para usuários com antecedência, o provisionamento JIT configura as contas de usuário necessárias dinamicamente quando um usuário se autentica.
Como funciona
Aqui está uma visão geral do processo de provisionamento JIT:
- Autenticação do usuário: O usuário tenta fazer login em um aplicativo ou serviço, e o provedor de identidade (Logto) autentica o usuário.
- Login ou criação de conta: Dependendo do status do usuário, o Logto faz login do usuário, cria uma nova conta ou adiciona uma nova identidade a uma conta existente.
- Provisionamento: Se o usuário ou sua identidade for novo, o Logto aciona o processo de provisionamento.
Aqui está um fluxograma detalhado do provisionamento JIT:
O provisionamento JIT é um recurso útil para produtos B2B e multi-tenancy. Ele torna o onboarding de membros do locatário suave e não requer envolvimento administrativo.
Por exemplo, se você integrou uma empresa e deseja que seus funcionários façam login com segurança em seu produto e se juntem à organização com o acesso correto de papel, existem várias maneiras de alcançar isso. Vamos explorar as soluções possíveis que o Logto oferece e como o JIT pode ajudar.
| Cenário | Tipos de usuário | Automatizado | Comportamento |
|---|---|---|---|
| Convite de administrador | Novo e existente | Usuários podem receber um convite por email para se juntar à organização. | |
| Criação ou importação de usuário via Management API | Novo e existente | Usuários podem usar uma conta de usuário pré-criada para se juntar à organização. | |
| Provisionamento just-in-time SSO | Novo e existente | ✅ | Usuários que fazem login com SSO pela primeira vez podem se juntar à organização. |
| Provisionamento just-in-time por domínio de email | Novo | ✅ | Usuários com domínios verificados específicos que fazem login pela primeira vez podem se juntar à organização. |
| Sincronização de diretório | Novo e existente | ✅ | Use a funcionalidade de sincronização de diretório do IdP para pré-provisionar usuários no aplicativo com antecedência. |
Atualmente, o Logto suporta provisionamento just-in-time SSO e provisionamento just-in-time por domínio de email.
Benefícios do provisionamento JIT
O provisionamento JIT oferece vários benefícios:
- Eficiência: Reduz a sobrecarga administrativa de criar e gerenciar contas de usuário manualmente.
- Escalabilidade: Lida automaticamente com a criação de contas para um grande número de usuários sem configuração prévia.
- Em tempo real: Garante que os usuários possam acessar recursos assim que se autenticarem, sem atrasos.
Implementamos os recursos JIT no nível mais escalável e seguro para simplificar e acelerar o processo de provisionamento para você. No entanto, como os sistemas de provisionamento podem ser complexos e adaptados às necessidades específicas de seus clientes, é essencial combinar os recursos JIT pré-construídos do Logto, seu design cuidadoso de sistema e o Logto Management API. Essa abordagem integrada ajudará você a construir um sistema de provisionamento robusto e eficiente.
Diferenças entre JIT e sincronização de diretório
- Provisionamento JIT é acionado por ações iniciadas pelo usuário, enquanto Sincronização de diretório pode ser tanto iniciada pelo usuário quanto pelo sistema (agendada ou em tempo real).
- Provisionamento JIT não impõe a associação ou atribuição de papel, enquanto Sincronização de diretório pode impô-las.
- Provisionamento JIT é mais adequado para onboarding de novos usuários, independentemente da fonte de identidade do usuário, enquanto Sincronização de diretório é mais adequada para contas de usuário gerenciadas.
Em resumo, o provisionamento JIT é uma abordagem mais flexível e amigável para onboarding de usuários, pois pode dar aos usuários a liberdade de se juntar ou sair de organizações e permitir que você gerencie os usuários existentes a seu critério.
Provisionamento just-in-time no Logto
O provisionamento just-in-time (JIT) só é acionado por ações iniciadas pelo usuário e não afeta interações com o Logto Management API.
Provisionamento SSO corporativo
Se você configurou o SSO corporativo no Logto, pode selecionar seu SSO corporativo da organização para habilitar o provisionamento just-in-time.
Quando uma das seguintes condições é atendida:
- Novos usuários fazem login através do SSO corporativo;
- Usuários existentes fazem login através do SSO corporativo pela primeira vez.
Eles se juntarão automaticamente à organização e receberão papéis padrão da organização.
Provisionamento por domínio de email
Se o seu cliente não tiver um SSO corporativo dedicado, você ainda pode usar domínios de email para provisionamento just-in-time.
Quando um usuário se inscreve, se o endereço de email verificado corresponder aos domínios de email JIT configurados no nível da organização, ele será provisionado para as organizações apropriadas com os papéis correspondentes.
A correspondência de endereço pode reconhecer o endereço de email verificado de todas as fontes de identidade não SSO corporativo, incluindo:
- Autenticação de inscrição por email
- Autenticação de inscrição social
Por que o provisionamento por domínio de email não se aplica ao processo de login de usuário existente?
O login de usuário existente requer controle adicional para determinar se eles podem ser provisionados para uma organização específica ou receber um papel. Esse processo é dinâmico e depende de casos de uso específicos e necessidades de negócios, como frequência de login e políticas de nível organizacional.
Por exemplo, se você habilitar o provisionamento por domínio de email para um usuário existente e mais tarde quiser integrar outro grupo de usuários com um papel diferente, o usuário previamente integrado deve ser atribuído ao novo papel que você configurou? Isso cria um cenário complexo para "atualizações just-in-time". O comportamento exato geralmente depende de como a aplicação e a integração do IdP estão configuradas. Damos esse controle a você, permitindo que você projete seu sistema de provisionamento livremente e lide com os cenários mais frequentes de criação de novas contas e onboarding de organizações.
Experiência de login por email quando o provisionamento por domínio de email está habilitado
| Status do usuário | Descrição |
|---|---|
| Usuário não existe e se inscreve com email | Usuário é criado e automaticamente se junta à organização correspondente com papéis apropriados. |
| Usuário existe com o mesmo endereço de email verificado que os domínios de email provisionados | Experiência normal de login por email. |
Experiência de login social quando o provisionamento por domínio de email está habilitado
| Status do usuário | Descrição |
|---|---|
| Usuário não existe, se inscreve com conta social usando um email verificado | Usuário é criado e automaticamente se junta à organização correspondente com papéis apropriados. |
| Usuário não existe, se inscreve com conta social usando um email não verificado ou sem email | Experiência normal de inscrição social. |
| Usuário existe com o mesmo endereço de email verificado que os domínios de email provisionados, faz login através de uma nova identidade social | Experiência normal de login social. |
Lidando com o potencial conflito entre métodos de provisionamento JIT
Se você inicialmente configurou o provisionamento por domínio de email e mais tarde configurou um SSO corporativo com o mesmo domínio de email, aqui está o que acontece:
Quando um usuário insere seu endereço de email, ele será redirecionado para o provedor de identidade SSO, ignorando a autenticação por email. Isso significa que o provisionamento por domínio de email não será acionado.
Para resolver isso, mostraremos uma mensagem de aviso ao configurar. Certifique-se de lidar com esse caso selecionando o conector SSO correto para habilitar o provisionamento SSO corporativo e não dependa do provisionamento por domínio de email.
Papéis padrão da organização
Ao provisionar usuários em uma organização, você pode definir seus papéis padrão da organização. A lista de papéis vem do modelo da organização, e você pode escolher um papel ou deixá-lo vazio.