ข้ามไปยังเนื้อหาหลัก

การจัดเตรียมแบบ Just-in-Time (JIT provisioning)

ใน Logto, การจัดเตรียมแบบ Just-in-Time (JIT provisioning) คือกระบวนการที่ใช้กำหนดสมาชิกองค์กรและบทบาท (Roles) ให้กับผู้ใช้แบบอัตโนมัติขณะลงชื่อเข้าใช้ระบบครั้งแรก แทนที่จะสร้างบัญชีผู้ใช้ล่วงหน้า JIT provisioning จะตั้งค่าบัญชีผู้ใช้ที่จำเป็นแบบไดนามิกเมื่อผู้ใช้ได้รับการยืนยันตัวตน

วิธีการทำงาน

นี่คือภาพรวมระดับสูงของกระบวนการ JIT provisioning:

  1. การยืนยันตัวตนของผู้ใช้: ผู้ใช้พยายามลงชื่อเข้าใช้แอปหรือบริการ และผู้ให้บริการข้อมูลระบุตัวตน (Logto) จะยืนยันตัวตนของผู้ใช้
  2. การลงชื่อเข้าใช้หรือสร้างบัญชี: ขึ้นอยู่กับสถานะของผู้ใช้ Logto จะลงชื่อเข้าใช้ผู้ใช้ สร้างบัญชีใหม่ หรือเพิ่มตัวตนใหม่ให้กับบัญชีที่มีอยู่
  3. การจัดเตรียม (Provisioning): หากผู้ใช้หรือตัวตนของเขาเป็นรายใหม่ Logto จะเรียกใช้กระบวนการจัดเตรียม

นี่คือแผนผังขั้นตอนโดยละเอียดของ JIT provisioning:

JIT provisioning เป็นฟีเจอร์ที่มีประโยชน์สำหรับ B2B และผลิตภัณฑ์แบบหลายผู้เช่า (multi-tenancy) ช่วยให้การรับสมาชิกผู้เช่าใหม่เป็นไปอย่างราบรื่นโดยไม่ต้องมีผู้ดูแลระบบเข้ามาเกี่ยวข้อง

ตัวอย่างเช่น หากคุณรับธุรกิจหนึ่งเข้าระบบและต้องการให้พนักงานของเขาลงชื่อเข้าใช้ผลิตภัณฑ์ของคุณอย่างปลอดภัยและเข้าร่วมองค์กรด้วยสิทธิ์บทบาทที่ถูกต้อง มีหลายวิธีที่สามารถทำได้ มาดูทางเลือกที่ Logto มีให้และวิธีที่ JIT จะช่วยคุณ

สถานการณ์ประเภทผู้ใช้อัตโนมัติพฤติกรรม
ผู้ดูแลเชิญใหม่และมีอยู่แล้วผู้ใช้สามารถ รับอีเมลเชิญ เพื่อเข้าร่วมองค์กร
การสร้างหรืออิมพอร์ตผู้ใช้ผ่าน Management APIใหม่และมีอยู่แล้วผู้ใช้สามารถใช้ บัญชีผู้ใช้ที่สร้างไว้ล่วงหน้า เพื่อเข้าร่วมองค์กร
SSO just-in-time provisioningใหม่และมีอยู่แล้วผู้ใช้ที่ลงชื่อเข้าใช้ด้วย SSO ครั้งแรกสามารถเข้าร่วมองค์กรได้
การจัดเตรียมแบบ Just-in-Time ด้วยโดเมนอีเมลใหม่ผู้ใช้ที่มีโดเมนที่ได้รับการยืนยันเฉพาะ ลงชื่อเข้าใช้ครั้งแรกสามารถเข้าร่วมองค์กรได้
การซิงค์ไดเรกทอรีใหม่และมีอยู่แล้วใช้ฟังก์ชันซิงค์ไดเรกทอรีของ IdP เพื่อจัดเตรียมผู้ใช้ล่วงหน้าในแอป

ปัจจุบัน Logto รองรับ SSO just-in-time provisioning และ การจัดเตรียมแบบ Just-in-Time ด้วยโดเมนอีเมล

ข้อดีของ JIT provisioning

JIT provisioning มีข้อดีหลายประการ:

  1. ประสิทธิภาพ: ลดภาระงานผู้ดูแลระบบในการสร้างและจัดการบัญชีผู้ใช้ด้วยตนเอง
  2. ขยายขนาดได้: จัดการการสร้างบัญชีสำหรับผู้ใช้จำนวนมากโดยอัตโนมัติ โดยไม่ต้องตั้งค่าล่วงหน้า
  3. แบบเรียลไทม์: ทำให้แน่ใจว่าผู้ใช้สามารถเข้าถึงทรัพยากรได้ทันทีหลังจากยืนยันตัวตน โดยไม่ต้องรอ

เราได้พัฒนา JIT provisioning ให้มีความสามารถในการขยายขนาดและความปลอดภัยสูงสุด เพื่อให้กระบวนการจัดเตรียมของคุณง่ายและรวดเร็ว อย่างไรก็ตาม เนื่องจากระบบ provisioning อาจซับซ้อนและต้องปรับแต่งให้เหมาะกับความต้องการของลูกค้า จึงควรผสานฟีเจอร์ JIT ที่ Logto มีให้ การออกแบบระบบของคุณอย่างรอบคอบ และ Management API ของ Logto เข้าด้วยกัน วิธีแบบบูรณาการนี้จะช่วยให้คุณสร้างระบบ provisioning ที่แข็งแกร่งและมีประสิทธิภาพ

ความแตกต่างระหว่าง JIT กับการซิงค์ไดเรกทอรี

  • JIT provisioning จะถูกเรียกใช้โดยการกระทำของผู้ใช้ ในขณะที่ Directory sync อาจถูกเรียกใช้โดยผู้ใช้หรือระบบ (ตามกำหนดเวลาหรือแบบเรียลไทม์)
  • JIT provisioning ไม่บังคับการเป็นสมาชิกหรือการกำหนดบทบาท ในขณะที่ Directory sync สามารถบังคับได้
  • JIT provisioning เหมาะกับการรับผู้ใช้ใหม่โดยไม่คำนึงถึงแหล่งที่มาของตัวตนผู้ใช้ ในขณะที่ Directory sync เหมาะกับบัญชีผู้ใช้ที่มีการจัดการ

โดยสรุป JIT provisioning เป็นแนวทางที่ยืดหยุ่นและเป็นมิตรกับผู้ใช้มากกว่าในการรับผู้ใช้ใหม่ เพราะให้ผู้ใช้มีอิสระในการเข้าร่วมหรือออกจากองค์กร และให้คุณจัดการผู้ใช้ที่มีอยู่ได้ตามดุลยพินิจ

Just-in-time provisioning ใน Logto

บันทึก:

Just-in-time (JIT) provisioning จะถูกเรียกใช้เฉพาะการกระทำที่ผู้ใช้เป็นผู้เริ่มต้นเท่านั้น และจะไม่ส่งผลต่อการโต้ตอบกับ Logto Management API

ไปที่ Console > Organizations คุณสามารถตั้งค่า JIT provisioning ได้ในหน้ารายละเอียดขององค์กร

การจัดเตรียม SSO สำหรับองค์กร

หากคุณตั้งค่า Enterprise SSO ใน Logto แล้ว คุณสามารถเลือก SSO สำหรับองค์กรของคุณเพื่อเปิดใช้งาน just-in-time provisioning

เมื่อมีเงื่อนไขใดเงื่อนไขหนึ่งต่อไปนี้เกิดขึ้น:

  • ผู้ใช้ใหม่ลงชื่อเข้าใช้ผ่าน enterprise SSO
  • ผู้ใช้ที่มีอยู่ลงชื่อเข้าใช้ผ่าน enterprise SSO เป็นครั้งแรก

ผู้ใช้เหล่านี้จะเข้าร่วมองค์กรโดยอัตโนมัติและได้รับบทบาทองค์กรเริ่มต้น

JIT SSO

การจัดเตรียมด้วยโดเมนอีเมล

หากลูกค้าของคุณไม่มี enterprise SSO เฉพาะ คุณยังสามารถใช้โดเมนอีเมลสำหรับ just-in-time provisioning ได้

เมื่อผู้ใช้สมัครใช้งาน หากอีเมลที่ได้รับการยืนยันตรงกับโดเมน JIT ที่ตั้งค่าไว้ในระดับองค์กร ผู้ใช้จะถูกจัดเตรียมเข้าสู่องค์กรที่เหมาะสมพร้อมบทบาทที่กำหนด

JIT email

การจับคู่อีเมลนี้จะตรวจสอบอีเมลที่ได้รับการยืนยันจากแหล่งตัวตนที่ไม่ใช่ enterprise SSO ทั้งหมด รวมถึง:

  1. การสมัครใช้งานด้วยอีเมล การยืนยันตัวตน
  2. การสมัครใช้งานด้วยโซเชียล การยืนยันตัวตน
บันทึก:

ทำไมการจัดเตรียมด้วยโดเมนอีเมลจึงไม่ใช้กับกระบวนการลงชื่อเข้าใช้ของผู้ใช้ที่มีอยู่?

การลงชื่อเข้าใช้ของผู้ใช้ที่มีอยู่ต้องการการควบคุมเพิ่มเติมเพื่อพิจารณาว่าสามารถจัดเตรียมเข้าสู่องค์กรหรือกำหนดบทบาทได้หรือไม่ กระบวนการนี้มีความไดนามิกและขึ้นอยู่กับกรณีการใช้งานและนโยบายระดับองค์กร เช่น ความถี่ในการลงชื่อเข้าใช้

ตัวอย่างเช่น หากคุณเปิดใช้งานการจัดเตรียมด้วยโดเมนอีเมลสำหรับผู้ใช้ที่มีอยู่ และต่อมาต้องการรับกลุ่มผู้ใช้อีกกลุ่มหนึ่งด้วยบทบาทที่ต่างกัน ผู้ใช้ที่รับเข้าระบบก่อนหน้านี้ควรได้รับบทบาทใหม่ที่คุณตั้งค่าหรือไม่? สิ่งนี้สร้างสถานการณ์ที่ซับซ้อนสำหรับ “just-in-time updates” พฤติกรรมที่แน่นอนขึ้นอยู่กับการตั้งค่าแอปและการเชื่อมต่อกับ IdP เราจึงมอบการควบคุมนี้ให้คุณออกแบบระบบ provisioning ได้อย่างอิสระ และรองรับสถานการณ์ที่พบบ่อยที่สุดสำหรับการสร้างบัญชีใหม่และการรับเข้าสู่องค์กร

ประสบการณ์ลงชื่อเข้าใช้ด้วยอีเมลเมื่อเปิดใช้งานการจัดเตรียมด้วยโดเมนอีเมล

สถานะผู้ใช้คำอธิบาย
ผู้ใช้ไม่มีอยู่ในระบบและสมัครใช้งานด้วยอีเมลผู้ใช้ถูกสร้างและเข้าร่วมองค์กรที่เกี่ยวข้องโดยอัตโนมัติพร้อมบทบาทที่เหมาะสม
ผู้ใช้มีอยู่ในระบบและใช้อีเมลที่ได้รับการยืนยันตรงกับโดเมนที่ตั้งค่าไว้ประสบการณ์ลงชื่อเข้าใช้ด้วยอีเมลตามปกติ

ประสบการณ์ลงชื่อเข้าใช้ด้วยโซเชียลเมื่อเปิดใช้งานการจัดเตรียมด้วยโดเมนอีเมล

สถานะผู้ใช้คำอธิบาย
ผู้ใช้ไม่มีอยู่ในระบบ สมัครใช้งานด้วยบัญชีโซเชียลที่ใช้อีเมลที่ได้รับการยืนยันผู้ใช้ถูกสร้างและเข้าร่วมองค์กรที่เกี่ยวข้องโดยอัตโนมัติพร้อมบทบาทที่เหมาะสม
ผู้ใช้ไม่มีอยู่ในระบบ สมัครใช้งานด้วยบัญชีโซเชียลที่ใช้อีเมลที่ไม่ได้รับการยืนยันหรือไม่มีอีเมลประสบการณ์สมัครใช้งานด้วยโซเชียลตามปกติ
ผู้ใช้มีอยู่ในระบบและใช้อีเมลที่ได้รับการยืนยันตรงกับโดเมนที่ตั้งค่าไว้ ลงชื่อเข้าใช้ด้วยตัวตนโซเชียลใหม่ประสบการณ์ลงชื่อเข้าใช้ด้วยโซเชียลตามปกติ

การจัดการความขัดแย้งที่อาจเกิดขึ้นระหว่างวิธี JIT provisioning

หากคุณตั้งค่าการจัดเตรียมด้วยโดเมนอีเมลไว้ก่อน แล้วต่อมาคุณตั้งค่า enterprise SSO ที่ใช้โดเมนอีเมลเดียวกัน จะเกิดสิ่งต่อไปนี้:

เมื่อผู้ใช้กรอกอีเมล จะถูกเปลี่ยนเส้นทางไปยังผู้ให้บริการ SSO โดยข้ามการยืนยันตัวตนด้วยอีเมล ซึ่งหมายความว่าการจัดเตรียมด้วยโดเมนอีเมลจะไม่ถูกเรียกใช้

เพื่อแก้ไขปัญหานี้ เราจะแสดงข้อความเตือนเมื่อมีการตั้งค่า โปรดตรวจสอบให้แน่ใจว่าคุณเลือกตัวเชื่อมต่อ SSO ที่ถูกต้องเพื่อเปิดใช้งาน enterprise SSO provisioning และอย่าพึ่งพาการจัดเตรียมด้วยโดเมนอีเมล

JIT conflict

บทบาทองค์กรเริ่มต้น

เมื่อจัดเตรียมผู้ใช้ในองค์กร คุณสามารถตั้งค่าบทบาทองค์กรเริ่มต้นได้ รายการบทบาทมาจาก organization template และคุณสามารถเลือกบทบาทหรือปล่อยว่างไว้ก็ได้

ทำความเข้าใจ Just-in-Time provisioning