การจัดเตรียมแบบ Just-in-Time (JIT provisioning)
ใน Logto, การจัดเตรียมแบบ Just-in-Time (JIT provisioning) คือกระบวนการที่ใช้กำหนดสมาชิกองค์กรและบทบาท (Roles) ให้กับผู้ใช้แบบอัตโนมัติขณะลงชื่อเข้าใช้ระบบครั้งแรก แทนที่จะสร้างบัญชีผู้ใช้ล่วงหน้า JIT provisioning จะตั้งค่าบัญชีผู้ใช้ที่จำเป็นแบบไดนามิกเมื่อผู้ใช้ได้รับการยืนยันตัวตน
วิธีการทำงาน
นี่คือภาพรวมระดับสูงของกระบวนการ JIT provisioning:
- การยืนยันตัวตนของผู้ใช้: ผู้ใช้พยายามลงชื่อเข้าใช้แอปหรือบริการ และผู้ให้บริการข้อมูลระบุตัวตน (Logto) จะยืนยันตัวตนของผู้ใช้
- การลงชื่อเข้าใช้หรือสร้างบัญชี: ขึ้นอยู่กับสถานะของผู้ใช้ Logto จะลงชื่อเข้าใช้ผู้ใช้ สร้างบัญชีใหม่ หรือเพิ่มตัวตนใหม่ให้กับบัญชีที่มีอยู่
- การจัดเตรียม (Provisioning): หากผู้ใช้หรือตัวตนของเขาเป็นรายใหม่ Logto จะเรียกใช้กระบวนการจัดเตรียม
นี่คือแผนผังขั้นตอนโดยละเอียดของ JIT provisioning:
JIT provisioning เป็นฟีเจอร์ที่มีประโยชน์สำหรับ B2B และผลิตภัณฑ์แบบหลายผู้เช่า (multi-tenancy) ช่วยให้การรับสมาชิกผู้เช่าใหม่เป็นไปอย่างราบรื่นโดยไม่ต้องมีผู้ดูแลระบบเข้ามาเกี่ยวข้อง
ตัวอย่างเช่น หากคุณรับธุรกิจหนึ่งเข้าระบบและต้องการให้พนักงานของเขาลงชื่อเข้าใช้ผลิตภัณฑ์ของคุณอย่างปลอดภัยและเข้าร่วมองค์กรด้วยสิทธิ์บทบาทที่ถูกต้อง มีหลายวิธีที่สามารถทำได้ มาดูทางเลือกที่ Logto มีให้และวิธีที่ JIT จะช่วยคุณ
สถานการณ์ | ประเภทผู้ใช้ | อัตโนมัติ | พฤติกรรม |
---|---|---|---|
ผู้ดูแลเชิญ | ใหม่และมีอยู่แล้ว | ผู้ใช้สามารถ รับอีเมลเชิญ เพื่อเข้าร่วมองค์กร | |
การสร้างหรืออิมพอร์ตผู้ใช้ผ่าน Management API | ใหม่และมีอยู่แล้ว | ผู้ใช้สามารถใช้ บัญชีผู้ใช้ที่สร้างไว้ล่วงหน้า เพื่อเข้าร่วมองค์กร | |
SSO just-in-time provisioning | ใหม่และมีอยู่แล้ว | ✅ | ผู้ใช้ที่ลงชื่อเข้าใช้ด้วย SSO ครั้งแรกสามารถเข้าร่วมองค์กรได้ |
การจัดเตรียมแบบ Just-in-Time ด้วยโดเมนอีเมล | ใหม่ | ✅ | ผู้ใช้ที่มีโดเมนที่ได้รับการยืนยันเฉพาะ ลงชื่อเข้าใช้ครั้งแรกสามารถเข้าร่วมองค์กรได้ |
การซิงค์ไดเรกทอรี | ใหม่และมีอยู่แล้ว | ✅ | ใช้ฟังก์ชันซิงค์ไดเรกทอรีของ IdP เพื่อจัดเตรียมผู้ใช้ล่วงหน้าในแอป |
ปัจจุบัน Logto รองรับ SSO just-in-time provisioning และ การจัดเตรียมแบบ Just-in-Time ด้วยโดเมนอีเมล
ข้อดีของ JIT provisioning
JIT provisioning มีข้อดีหลายประการ:
- ประสิทธิภาพ: ลดภาระงานผู้ดูแลระบบในการสร้างและจัดการบัญชีผู้ใช้ด้วยตนเอง
- ขยายขนาดได้: จัดการการสร้างบัญชีสำหรับผู้ใช้จำนวนมากโดยอัตโนมัติ โดยไม่ต้องตั้งค่าล่วงหน้า
- แบบเรียลไทม์: ทำให้แน่ใจว่าผู้ใช้สามารถเข้าถึงทรัพยากรได้ทันทีหลังจากยืนยันตัวตน โดยไม่ต้องรอ
เราได้พัฒนา JIT provisioning ให้มีความสามารถในการขยายขนาดและความปลอดภัยสูงสุด เพื่อให้กระบวนการจัดเตรียมของคุณง่ายและรวดเร็ว อย่างไรก็ตาม เนื่องจากระบบ provisioning อาจซับซ้อนและต้องปรับแต่งให้เหมาะกับความต้องการของลูกค้า จึงควรผสานฟีเจอร์ JIT ที่ Logto มีให้ การออกแบบระบบของคุณอย่างรอบคอบ และ Management API ของ Logto เข้าด้วยกัน วิธีแบบบูรณาการนี้จะช่วยให้คุณสร้างระบบ provisioning ที่แข็งแกร่งและมีประสิทธิภาพ
ความแตกต่างระหว่าง JIT กับการซิงค์ไดเรกทอรี
- JIT provisioning จะถูกเรียกใช้โดยการกระทำของผู้ใช้ ในขณะที่ Directory sync อาจถูกเรียกใช้โดยผู้ใช้หรือระบบ (ตามกำหนดเวลาหรือแบบเรียลไทม์)
- JIT provisioning ไม่บังคับการเป็นสมาชิกหรือการกำหนดบทบาท ในขณะที่ Directory sync สามารถบังคับได้
- JIT provisioning เหมาะกับการรับผู้ใช้ใหม่โดยไม่คำนึงถึงแหล่งที่มาของตัวตนผู้ใช้ ในขณะที่ Directory sync เหมาะกับบัญชีผู้ใช้ที่มีการจัดการ
โดยสรุป JIT provisioning เป็นแนวทางที่ยืดหยุ่นและเป็นมิตรกับผู้ใช้มากกว่าในการรับผู้ใช้ใหม่ เพราะให้ผู้ใช้มีอิสระในการเข้าร่วมหรือออกจากองค์กร และให้คุณจัดการผู้ใช้ที่มีอยู่ได้ตามดุลยพินิจ
Just-in-time provisioning ใน Logto
Just-in-time (JIT) provisioning จะถูกเรียกใช้เฉพาะการกระทำที่ผู้ใช้เป็นผู้เริ่มต้นเท่านั้น และจะไม่ส่งผลต่อการโต้ตอบกับ Logto Management API
ไปที่ Console > Organizations คุณสามารถตั้งค่า JIT provisioning ได้ในหน้ารายละเอียดขององค์กร
การจัดเตรียม SSO สำหรับองค์กร
หากคุณตั้งค่า Enterprise SSO ใน Logto แล้ว คุณสามารถเลือก SSO สำหรับองค์กรของคุณเพื่อเปิดใช้งาน just-in-time provisioning
เมื่อมีเงื่อนไขใดเงื่อนไขหนึ่งต่อไปนี้เกิดขึ้น:
- ผู้ใช้ใหม่ลงชื่อเข้าใช้ผ่าน enterprise SSO
- ผู้ใช้ที่มีอยู่ลงชื่อเข้าใช้ผ่าน enterprise SSO เป็นครั้งแรก
ผู้ใช้เหล่านี้จะเข้าร่วมองค์กรโดยอัตโนมัติและได้รับบทบาทองค์กรเริ่มต้น

การจัดเตรียมด้วยโดเมนอีเมล
หากลูกค้าของคุณไม่มี enterprise SSO เฉพาะ คุณยังสามารถใช้โดเมนอีเมลสำหรับ just-in-time provisioning ได้
เมื่อผู้ใช้สมัครใช้งาน หากอีเมลที่ได้รับการยืนยันตรงกับโดเมน JIT ที่ตั้งค่าไว้ในระดับองค์กร ผู้ใช้จะถูกจัดเตรียมเข้าสู่องค์กรที่เหมาะสมพร้อมบทบาทที่กำหนด

การจับคู่อีเมลนี้จะตรวจสอบอีเมลที่ได้รับการยืนยันจากแหล่งตัวตนที่ไม่ใช่ enterprise SSO ทั้งหมด รวมถึง:
- การสมัครใช้งานด้วยอีเมล การยืนยันตัวตน
- การสมัครใช้งานด้วยโซเชียล การยืนยันตัวตน
ทำไมการจัดเตรียมด้วยโดเมนอีเมลจึงไม่ใช้กับกระบวนการลงชื่อเข้าใช้ของผู้ใช้ที่มีอยู่?
การลงชื่อเข้าใช้ของผู้ใช้ที่มีอยู่ต้องการการควบคุมเพิ่มเติมเพื่อพิจารณาว่าสามารถจัดเตรียมเข้าสู่องค์กรหรือกำหนดบทบาทได้หรือไม่ กระบวนการนี้มีความไดนามิกและขึ้นอยู่กับกรณีการใช้งานและนโยบายระดับองค์กร เช่น ความถี่ในการลงชื่อเข้าใช้
ตัวอย่างเช่น หากคุณเปิดใช้งานการจัดเตรียมด้วยโดเมนอีเมลสำหรับผู้ใช้ที่มีอยู่ และต่อมาต้องการรับกลุ่มผู้ใช้อีกกลุ่มหนึ่งด้วยบทบาทที่ต่างกัน ผู้ใช้ที่รับเข้าระบบก่อนหน้านี้ควรได้รับบทบาทใหม่ที่คุณตั้งค่าหรือไม่? สิ่งนี้สร้างสถานการณ์ที่ซับซ้อนสำหรับ “just-in-time updates” พฤติกรรมที่แน่นอนขึ้นอยู่กับการตั้งค่าแอปและการเชื่อมต่อกับ IdP เราจึงมอบการควบคุมนี้ให้คุณออกแบบระบบ provisioning ได้อย่างอิสระ และรองรับสถานการณ์ที่พบบ่อยที่สุดสำหรับการสร้างบัญชีใหม่และการรับเข้าสู่องค์กร
ประสบการณ์ลงชื่อเข้าใช้ด้วยอีเมลเมื่อเปิดใช้งานการจัดเตรียมด้วยโดเมนอีเมล
สถานะผู้ใช้ | คำอธิบาย |
---|---|
ผู้ใช้ไม่มีอยู่ในระบบและสมัครใช้งานด้วยอีเมล | ผู้ใช้ถูกสร้างและเข้าร่วมองค์กรที่เกี่ยวข้องโดยอัตโนมัติพร้อมบทบาทที่เหมาะสม |
ผู้ใช้มีอยู่ในระบบและใช้อีเมลที่ได้รับการยืนยันตรงกับโดเมนที่ตั้งค่าไว้ | ประสบการณ์ลงชื่อเข้าใช้ด้วยอีเมลตามปกติ |
ประสบการณ์ลงชื่อเข้าใช้ด้วยโซเชียลเมื่อเปิดใช้งานการจัดเตรียมด้วยโดเมนอีเมล
สถานะผู้ใช้ | คำอธิบาย |
---|---|
ผู้ใช้ไม่มีอยู่ในระบบ สมัครใช้งานด้วยบัญชีโซเชียลที่ใช้อีเมลที่ได้รับการยืนยัน | ผู้ใช้ถูกสร้างและเข้าร่วมองค์กรที่เกี่ยวข้องโดยอัตโนมัติพร้อมบทบาทที่เหมาะสม |
ผู้ใช้ไม่มีอยู่ในระบบ สมัครใช้งานด้วยบัญชีโซเชียลที่ใช้อีเมลที่ไม่ได้รับการยืนยันหรือไม่มีอีเมล | ประสบการณ์สมัครใช้งานด้วยโซเชียลตามปกติ |
ผู้ใช้มีอยู่ในระบบและใช้อีเมลที่ได้รับการยืนยันตรงกับโดเมนที่ตั้งค่าไว้ ลงชื่อเข้าใช้ด้วยตัวตนโซเชียลใหม่ | ประสบการณ์ลงชื่อเข้าใช้ด้วยโซเชียลตามปกติ |
การจัดการความขัดแย้งที่อาจเกิดขึ้นระหว่างวิธี JIT provisioning
หากคุณตั้งค่าการจัดเตรียมด้วยโดเมนอีเมลไว้ก่อน แล้วต่อมาคุณตั้งค่า enterprise SSO ที่ใช้โดเมนอีเมลเดียวกัน จะเกิดสิ่งต่อไปนี้:
เมื่อผู้ใช้กรอกอีเมล จะถูกเปลี่ยนเส้นทางไปยังผู้ให้บริการ SSO โดยข้ามการยืนยันตัวตนด้วยอีเมล ซึ่งหมายความว่าการจัดเตรียมด้วยโดเมนอีเมลจะไม่ถูกเรียกใช้
เพื่อแก้ไขปัญหานี้ เราจะแสดงข้อความเตือนเมื่อมีการตั้งค่า โปรดตรวจสอบให้แน่ใจว่าคุณเลือกตัวเชื่อมต่อ SSO ที่ถูกต้องเพื่อเปิดใช้งาน enterprise SSO provisioning และอย่าพึ่งพาการจัดเตรียมด้วยโดเมนอีเมล

บทบาทองค์กรเริ่มต้น
เมื่อจัดเตรียมผู้ใช้ในองค์กร คุณสามารถตั้งค่าบทบาทองค์กรเริ่มต้นได้ รายการบทบาทมาจาก organization template และคุณสามารถเลือกบทบาทหรือปล่อยว่างไว้ก็ได้