Just-in-Time-Bereitstellung
In Logto ist die Just-in-Time (JIT) Bereitstellung ein Prozess, der verwendet wird, um Organisationsmitgliedschaften und Rollen für Benutzer „on-the-fly“ zuzuweisen, sobald sie sich zum ersten Mal im System anmelden. Anstatt Benutzerkonten im Voraus bereitzustellen, werden bei der JIT-Bereitstellung die erforderlichen Benutzerkonten dynamisch konfiguriert, wenn sich ein Benutzer authentifiziert.
Wie es funktioniert
Hier ist ein Überblick über den JIT-Bereitstellungsprozess:
- Benutzerauthentifizierung: Der Benutzer versucht, sich bei einer Anwendung oder einem Dienst anzumelden, und der Identitätsanbieter (Logto) authentifiziert den Benutzer.
- Kontoanmeldung oder -erstellung: Abhängig vom Status des Benutzers meldet Logto den Benutzer an, erstellt ein neues Konto oder fügt einem bestehenden Konto eine neue Identität hinzu.
- Bereitstellung: Wenn der Benutzer oder seine Identität neu ist, löst Logto den Bereitstellungsprozess aus.
Hier ist ein detailliertes Flussdiagramm der JIT-Bereitstellung:
Die JIT-Bereitstellung ist eine nützliche Funktion für B2B- und Multi-Tenancy-Produkte. Sie macht das Onboarding von Mandantenmitgliedern reibungslos und erfordert keinen administrativen Aufwand.
Wenn du beispielsweise ein Unternehmen aufgenommen hast und möchtest, dass dessen Mitarbeiter sich sicher bei deinem Produkt anmelden und der Organisation mit dem richtigen Rollen-Zugang beitreten, gibt es mehrere Möglichkeiten, dies zu erreichen. Lass uns die möglichen Lösungen erkunden, die Logto bietet, und wie JIT dabei helfen kann.
| Szenario | Benutzertypen | Automatisiert | Verhalten |
|---|---|---|---|
| Admin-Einladung | Neu und bestehend | Benutzer können eine E-Mail-Einladung erhalten, um der Organisation beizutreten. | |
| Management API Benutzererstellung oder Import | Neu und bestehend | Benutzer können ein vorkonfiguriertes Benutzerkonto nutzen, um der Organisation beizutreten. | |
| SSO-Just-in-Time-Bereitstellung | Neu und bestehend | ✅ | Benutzer, die sich zum ersten Mal mit SSO anmelden, können der Organisation beitreten. |
| E-Mail-Domain-Just-in-Time-Bereitstellung | Neu | ✅ | Benutzer mit bestimmten verifizierten Domains, die sich zum ersten Mal anmelden, können der Organisation beitreten. |
| Verzeichnis-Synchronisierung | Neu und bestehend | ✅ | Nutze die Verzeichnis-Synchronisierungsfunktion des IdP, um Benutzer im Voraus in der App bereitzustellen. |
Derzeit unterstützt Logto SSO-Just-in-Time-Bereitstellung und E-Mail-Domain-Just-in-Time-Bereitstellung.
Vorteile der JIT-Bereitstellung
Die JIT-Bereitstellung bietet mehrere Vorteile:
- Effizienz: Reduziert den administrativen Aufwand für die manuelle Erstellung und Verwaltung von Benutzerkonten.
- Skalierbarkeit: Erstellt automatisch Konten für eine große Anzahl von Benutzern ohne vorherige Einrichtung.
- Echtzeit: Stellt sicher, dass Benutzer sofort nach der Authentifizierung auf Ressourcen zugreifen können, ohne Verzögerung.
Wir haben die JIT-Funktionen auf dem skalierbarsten und sichersten Niveau implementiert, um den Bereitstellungsprozess für dich zu vereinfachen und zu beschleunigen. Da Bereitstellungssysteme jedoch komplex und auf die spezifischen Bedürfnisse deiner Kunden zugeschnitten sein können, ist es wichtig, die vorgefertigten JIT-Funktionen von Logto, dein sorgfältiges Systemdesign und die Logto Management API zu kombinieren. Dieser integrierte Ansatz hilft dir, ein robustes und effizientes Bereitstellungssystem zu erstellen.
Unterschiede zwischen JIT und Verzeichnis-Synchronisierung
- JIT-Bereitstellung wird durch benutzerinitiierte Aktionen ausgelöst, während Verzeichnis-Synchronisierung sowohl benutzer- als auch systeminitiiert (geplant oder in Echtzeit) sein kann.
- JIT-Bereitstellung erzwingt keine Mitgliedschafts- oder Rollenzuweisung, während Verzeichnis-Synchronisierung dies kann.
- JIT-Bereitstellung eignet sich besser für das Onboarding neuer Benutzer, unabhängig von der Identitätsquelle des Benutzers, während Verzeichnis-Synchronisierung besser für verwaltete Benutzerkonten geeignet ist.
Kurz gesagt, die JIT-Bereitstellung ist ein flexiblerer und benutzerfreundlicherer Ansatz für das Onboarding von Benutzern, da sie den Benutzern die Freiheit gibt, Organisationen beizutreten oder zu verlassen, und dir die Möglichkeit gibt, bestehende Benutzer nach deinem Ermessen zu verwalten.
Just-in-Time-Bereitstellung in Logto
Just-in-Time (JIT) Bereitstellung wird nur für benutzerinitiierte Aktionen ausgelöst und betrifft nicht die Interaktionen mit der Logto Management API.
Navigiere zu Konsole > Organisationen. Du kannst die JIT-Bereitstellung auf der Detailseite einer Organisation einstellen.
Enterprise SSO-Bereitstellung
Wenn du Enterprise SSO in Logto eingerichtet hast, kannst du das Enterprise SSO deiner Organisation auswählen, um die Just-in-Time-Bereitstellung zu aktivieren.
Wenn eine der folgenden Bedingungen erfüllt ist:
- Neue Benutzer melden sich über Enterprise SSO an;
- Bestehende Benutzer melden sich zum ersten Mal über Enterprise SSO an.
Treten sie automatisch der Organisation bei und erhalten die Standardrollen der Organisation.
E-Mail-Domain-Bereitstellung
Wenn dein Kunde kein dediziertes Enterprise SSO hat, kannst du dennoch E-Mail-Domains für die Just-in-Time-Bereitstellung verwenden.
Wenn sich ein Benutzer registriert und seine verifizierte E-Mail-Adresse mit den auf Organisationsebene konfigurierten JIT-E-Mail-Domains übereinstimmt, wird er der entsprechenden Organisation mit den zugehörigen Rollen zugewiesen.
Die Adressübereinstimmung erkennt die verifizierte E-Mail-Adresse aus allen nicht-Enterprise-SSO-Identitätsquellen, einschließlich:
- E-Mail-Registrierung Authentifizierung
- Soziale Registrierung Authentifizierung
Warum gilt die E-Mail-Domain-Bereitstellung nicht für den Anmeldeprozess bestehender Benutzer?
Die Anmeldung bestehender Benutzer erfordert eine weitere Kontrolle, um festzustellen, ob sie einer bestimmten Organisation zugewiesen oder eine Rolle erhalten können. Dieser Prozess ist dynamisch und hängt von spezifischen Anwendungsfällen und geschäftlichen Anforderungen ab, wie z. B. Anmeldehäufigkeit und organisationsspezifischen Richtlinien.
Wenn du beispielsweise die E-Mail-Domain-Bereitstellung für einen bestehenden Benutzer aktivierst und später eine weitere Benutzergruppe mit einer anderen Rolle aufnehmen möchtest, sollte dem zuvor aufgenommenen Benutzer dann die neue Rolle zugewiesen werden? Dies schafft ein komplexes Szenario für „Just-in-Time-Updates“. Das genaue Verhalten hängt oft davon ab, wie die Anwendung und die IdP-Integration konfiguriert sind. Wir überlassen dir diese Kontrolle, damit du dein Bereitstellungssystem frei gestalten und die häufigsten Szenarien für die Erstellung neuer Konten und das Onboarding von Organisationen abdecken kannst.
E-Mail-Anmeldeerlebnis, wenn die E-Mail-Domain-Bereitstellung aktiviert ist
| Benutzerstatus | Beschreibung |
|---|---|
| Benutzer existiert nicht und registriert sich mit E-Mail | Benutzer wird erstellt und tritt automatisch der entsprechenden Organisation mit passenden Rollen bei. |
| Benutzer existiert mit derselben verifizierten E-Mail-Adresse wie die bereitgestellten E-Mail-Domains | Normales E-Mail-Anmeldeerlebnis. |
Soziales Anmeldeerlebnis, wenn die E-Mail-Domain-Bereitstellung aktiviert ist
| Benutzerstatus | Beschreibung |
|---|---|
| Benutzer existiert nicht, registriert sich mit sozialem Konto und verifizierter E-Mail | Benutzer wird erstellt und tritt automatisch der entsprechenden Organisation mit passenden Rollen bei. |
| Benutzer existiert nicht, registriert sich mit sozialem Konto und nicht verifizierter E-Mail oder ohne E-Mail | Normales soziales Anmeldeerlebnis. |
| Benutzer existiert mit derselben verifizierten E-Mail-Adresse wie die bereitgestellten E-Mail-Domains, meldet sich mit neuer sozialer Identität an | Normales soziales Anmeldeerlebnis. |
Umgang mit potenziellen Konflikten zwischen JIT-Bereitstellungsmethoden
Wenn du zunächst die E-Mail-Domain-Bereitstellung einrichtest und später ein Enterprise SSO mit derselben E-Mail-Domain konfigurierst, passiert Folgendes:
Wenn ein Benutzer seine E-Mail-Adresse eingibt, wird er zum SSO-Identitätsanbieter weitergeleitet und die E-Mail-Authentifizierung wird umgangen. Das bedeutet, dass die E-Mail-Domain-Bereitstellung nicht ausgelöst wird.
Um dies zu adressieren, zeigen wir beim Konfigurieren eine Warnmeldung an. Stelle sicher, dass du in diesem Fall den richtigen SSO-Connector auswählst, um die Enterprise SSO-Bereitstellung zu aktivieren, und verlasse dich nicht auf die E-Mail-Domain-Bereitstellung.
Standardrollen der Organisation
Bei der Bereitstellung von Benutzern in einer Organisation kannst du deren Standardrollen festlegen. Die Rollenliste stammt aus der Organisationstemplate, und du kannst eine Rolle auswählen oder das Feld leer lassen.