Provisionamento Just-in-Time
No Logto, o provisionamento Just-in-Time (JIT) é um processo usado para atribuir associações a organizações e papéis aos usuários de forma dinâmica, à medida que eles fazem login no sistema pela primeira vez. Em vez de provisionar contas para usuários antecipadamente, o provisionamento JIT configura as contas de usuário necessárias dinamicamente quando um usuário se autentica.
Como funciona
Aqui está uma visão geral do processo de provisionamento JIT:
- Autenticação do usuário: O usuário tenta fazer login em um aplicativo ou serviço, e o provedor de identidade (Logto) autentica o usuário.
- Login ou criação de conta: Dependendo do status do usuário, o Logto faz o login do usuário, cria uma nova conta ou adiciona uma nova identidade a uma conta existente.
- Provisionamento: Se o usuário ou sua identidade for novo, o Logto aciona o processo de provisionamento.
Aqui está um fluxograma detalhado do provisionamento JIT:
O provisionamento JIT é um recurso útil para produtos B2B e de multi-tenancy. Ele torna o processo de integração de membros do locatário suave e não requer envolvimento administrativo.
Por exemplo, se você integrou uma empresa e deseja que seus funcionários façam login com segurança em seu produto e se juntem à organização com o acesso correto aos papéis, existem várias maneiras de alcançar isso. Vamos explorar as soluções possíveis que o Logto oferece e como o JIT pode ajudar.
| Cenário | Tipos de usuário | Automatizado | Comportamento |
|---|---|---|---|
| Convite de administrador | Novo e existente | Os usuários podem receber um convite por e-mail para se juntar à organização. | |
| Criação ou importação de usuário via Management API | Novo e existente | Os usuários podem usar uma conta de usuário pré-criada para se juntar à organização. | |
| Provisionamento just-in-time via SSO | Novo e existente | ✅ | Usuários que fazem login com SSO pela primeira vez podem se juntar à organização. |
| Provisionamento just-in-time por domínio de e-mail | Novo | ✅ | Usuários com domínios verificados específicos que fazem login pela primeira vez podem se juntar à organização. |
| Sincronização de diretório | Novo e existente | ✅ | Use a funcionalidade de sincronização de diretório do IdP para pré-provisionar usuários no aplicativo com antecedência. |
Atualmente, o Logto suporta provisionamento just-in-time via SSO e provisionamento just-in-time por domínio de e-mail.
Benefícios do provisionamento JIT
O provisionamento JIT oferece vários benefícios:
- Eficiência: Reduz a sobrecarga administrativa de criar e gerenciar contas de usuário manualmente.
- Escalabilidade: Lida automaticamente com a criação de contas para um grande número de usuários sem configuração prévia.
- Em tempo real: Garante que os usuários possam acessar recursos assim que se autenticarem, sem atrasos.
Implementamos os recursos JIT no nível mais escalável e seguro para simplificar e acelerar o processo de provisionamento para você. No entanto, como os sistemas de provisionamento podem ser complexos e adaptados às necessidades específicas de seus clientes, é essencial combinar os recursos JIT pré-construídos do Logto, seu design cuidadoso de sistema e o Logto Management API. Essa abordagem integrada ajudará você a construir um sistema de provisionamento robusto e eficiente.
Diferenças entre JIT e sincronização de diretório
- Provisionamento JIT é acionado por ações iniciadas pelo usuário, enquanto sincronização de diretório pode ser tanto iniciada pelo usuário quanto pelo sistema (agendada ou em tempo real).
- Provisionamento JIT não impõe a associação ou atribuição de papéis, enquanto sincronização de diretório pode impô-los.
- Provisionamento JIT é mais adequado para integrar novos usuários, independentemente da fonte de identidade do usuário, enquanto sincronização de diretório é mais adequada para contas de usuário gerenciadas.
Em resumo, o provisionamento JIT é uma abordagem mais flexível e amigável para integrar usuários, pois pode dar aos usuários a liberdade de se juntar ou sair de organizações e permitir que você gerencie os usuários existentes a seu critério.
Provisionamento just-in-time no Logto
O provisionamento just-in-time (JIT) só é acionado por ações iniciadas pelo usuário e não afeta as interações com o Logto Management API.
Navegue até Console > Organizações. Você pode configurar o provisionamento JIT na página de detalhes de uma organização.
Provisionamento SSO corporativo
Se você tiver SSO corporativo configurado no Logto, pode selecionar o SSO corporativo da sua organização para habilitar o provisionamento just-in-time.
Quando uma das seguintes condições for atendida:
- Novos usuários fazem login através do SSO corporativo;
- Usuários existentes fazem login através do SSO corporativo pela primeira vez.
Eles se juntarão automaticamente à organização e receberão papéis padrão da organização.
Provisionamento por domínio de e-mail
Se o seu cliente não tiver um SSO corporativo dedicado, você ainda pode usar domínios de e-mail para o provisionamento just-in-time.
Quando um usuário se inscreve, se o endereço de e-mail verificado corresponder aos domínios de e-mail JIT configurados no nível da organização, ele será provisionado para as organizações apropriadas com os papéis correspondentes.
A correspondência de endereço pode reconhecer o endereço de e-mail verificado de todas as fontes de identidade não SSO corporativas, incluindo:
- Autenticação de inscrição por e-mail
- Autenticação de inscrição social
Por que o provisionamento por domínio de e-mail não se aplica ao processo de login de usuário existente?
O login de usuário existente requer controle adicional para determinar se eles podem ser provisionados para uma organização específica ou receber um papel. Esse processo é dinâmico e depende de casos de uso específicos e necessidades de negócios, como frequência de login e políticas de nível organizacional.
Por exemplo, se você habilitar o provisionamento por domínio de e-mail para um usuário existente e mais tarde quiser integrar outro grupo de usuários com um papel diferente, o usuário previamente integrado deve receber o novo papel que você configurou? Isso cria um cenário complexo para "atualizações just-in-time". O comportamento exato geralmente depende de como a aplicação e a integração do IdP estão configuradas. Damos esse controle a você, permitindo que você projete seu sistema de provisionamento livremente e lide com os cenários mais frequentes para criação de novas contas e integração de organizações.
Experiência de login por e-mail quando o provisionamento por domínio de e-mail está habilitado
| Status do usuário | Descrição |
|---|---|
| Usuário não existe e se inscreve com e-mail | Usuário é criado e automaticamente se junta à organização correspondente com papéis apropriados. |
| Usuário existe com o mesmo endereço de e-mail verificado que os domínios de e-mail provisionados | Experiência normal de login por e-mail. |
Experiência de login social quando o provisionamento por domínio de e-mail está habilitado
| Status do usuário | Descrição |
|---|---|
| Usuário não existe, se inscreve com conta social usando um e-mail verificado | Usuário é criado e automaticamente se junta à organização correspondente com papéis apropriados. |
| Usuário não existe, se inscreve com conta social usando um e-mail não verificado ou sem e-mail | Experiência normal de inscrição social. |
| Usuário existe com o mesmo endereço de e-mail verificado que os domínios de e-mail provisionados, faz login através de uma nova identidade social | Experiência normal de login social. |
Lidando com o potencial conflito entre métodos de provisionamento JIT
Se você inicialmente configurar o provisionamento por domínio de e-mail e mais tarde configurar um SSO corporativo com o mesmo domínio de e-mail, aqui está o que acontece:
Quando um usuário insere seu endereço de e-mail, ele será redirecionado para o provedor de identidade SSO, ignorando a autenticação por e-mail. Isso significa que o provisionamento por domínio de e-mail não será acionado.
Para resolver isso, mostraremos uma mensagem de aviso ao configurar. Certifique-se de lidar com esse caso selecionando o conector SSO correto para habilitar o provisionamento SSO corporativo e não dependa do provisionamento por domínio de e-mail.
Papéis padrão da organização
Ao provisionar usuários em uma organização, você pode definir seus papéis padrão da organização. A lista de papéis vem do modelo de organização, e você pode escolher um papel ou deixá-lo vazio.