Aprovisionamiento Just-in-Time
En Logto, el aprovisionamiento Just-in-Time (JIT) es un proceso utilizado para asignar membresías y roles de organización a los usuarios en el momento en que inician sesión en el sistema por primera vez. En lugar de preaprovisionar cuentas para los usuarios con antelación, el aprovisionamiento JIT configura las cuentas de usuario necesarias de forma dinámica cuando un usuario se autentica.
Cómo funciona
Aquí tienes una visión general del proceso de aprovisionamiento JIT:
- Autenticación del usuario: El usuario intenta iniciar sesión en una aplicación o servicio, y el proveedor de identidad (Logto) autentica al usuario.
- Inicio de sesión o creación de cuenta: Dependiendo del estado del usuario, Logto inicia sesión al usuario, crea una nueva cuenta o añade una nueva identidad a una cuenta existente.
- Aprovisionamiento: Si el usuario o su identidad es nuevo, Logto activa el proceso de aprovisionamiento.
Aquí tienes un diagrama de flujo detallado del aprovisionamiento JIT:
El aprovisionamiento JIT es una función útil para productos B2B y de multi-tenencia. Facilita la incorporación de miembros de un tenant y no requiere intervención administrativa.
Por ejemplo, si has incorporado una empresa y quieres que sus empleados inicien sesión de forma segura en tu producto y se unan a la organización con el acceso de rol correcto, existen varias formas de lograrlo. Veamos las posibles soluciones que ofrece Logto y cómo JIT puede ayudar.
| Escenario | Tipos de usuario | Automatizado | Comportamiento |
|---|---|---|---|
| Invitación de administrador | Nuevos y existentes | Los usuarios pueden recibir una invitación por correo electrónico para unirse a la organización. | |
| Creación o importación de usuario vía Management API | Nuevos y existentes | Los usuarios pueden usar una cuenta de usuario pre-creada para unirse a la organización. | |
| Aprovisionamiento just-in-time por SSO | Nuevos y existentes | ✅ | Los usuarios que inician sesión con SSO por primera vez pueden unirse a la organización. |
| Aprovisionamiento just-in-time por dominio de correo | Nuevos | ✅ | Los usuarios con dominios verificados específicos que inician sesión por primera vez pueden unirse a la organización. |
| Sincronización de directorio | Nuevos y existentes | ✅ | Usa la funcionalidad de sincronización de directorio del IdP para preaprovisionar usuarios en la aplicación con antelación. |
Actualmente, Logto admite aprovisionamiento just-in-time por SSO y aprovisionamiento just-in-time por dominio de correo.
Beneficios del aprovisionamiento JIT
El aprovisionamiento JIT ofrece varios beneficios:
- Eficiencia: Reduce la carga administrativa de crear y gestionar cuentas de usuario manualmente.
- Escalabilidad: Gestiona automáticamente la creación de cuentas para grandes cantidades de usuarios sin configuración previa.
- En tiempo real: Garantiza que los usuarios puedan acceder a los recursos tan pronto como se autentiquen, sin demoras.
Hemos implementado las funciones JIT en su nivel más escalable y seguro para simplificar y acelerar el proceso de aprovisionamiento para ti. Sin embargo, dado que los sistemas de aprovisionamiento pueden ser complejos y adaptados a las necesidades específicas de tus clientes, es esencial combinar las funciones JIT preconstruidas de Logto, tu diseño cuidadoso del sistema y el Management API de Logto. Este enfoque integrado te ayudará a construir un sistema de aprovisionamiento robusto y eficiente.
Diferencias entre JIT y sincronización de directorio
- El aprovisionamiento JIT se activa por acciones iniciadas por el usuario, mientras que la sincronización de directorio puede ser tanto iniciada por el usuario como por el sistema (programada o en tiempo real).
- El aprovisionamiento JIT no aplica de forma forzada la membresía o asignación de roles, mientras que la sincronización de directorio sí puede hacerlo.
- El aprovisionamiento JIT es más adecuado para la incorporación de nuevos usuarios sin importar la fuente de identidad del usuario, mientras que la sincronización de directorio es más adecuada para cuentas de usuario gestionadas.
En resumen, el aprovisionamiento JIT es un enfoque más flexible y amigable para la incorporación de usuarios, ya que puede darles la libertad de unirse o abandonar organizaciones y te permite gestionar los usuarios existentes a tu criterio.
Aprovisionamiento just-in-time en Logto
El aprovisionamiento just-in-time (JIT) solo se activa para acciones iniciadas por el usuario y no afecta las interacciones con el Management API de Logto.
Navega a Consola > Organizaciones. Puedes configurar el aprovisionamiento JIT en la página de detalles de una organización.
Aprovisionamiento SSO empresarial
Si tienes SSO empresarial configurado en Logto, puedes seleccionar el SSO empresarial de tu organización para habilitar el aprovisionamiento just-in-time.
Cuando se cumple una de las siguientes condiciones:
- Nuevos usuarios inician sesión a través de SSO empresarial;
- Usuarios existentes inician sesión a través de SSO empresarial por primera vez.
Se unirán automáticamente a la organización y obtendrán los roles predeterminados de la organización.
Aprovisionamiento por dominio de correo
Si tu cliente no tiene un SSO empresarial dedicado, aún puedes usar dominios de correo para el aprovisionamiento just-in-time.
Cuando un usuario se registra, si su dirección de correo verificada coincide con los dominios de correo JIT configurados a nivel de organización, será aprovisionado en las organizaciones correspondientes con los roles asignados.
La coincidencia de direcciones puede reconocer la dirección de correo verificada de todas las fuentes de identidad que no sean SSO empresarial, incluyendo:
- Autenticación de registro por correo electrónico
- Autenticación de registro social
¿Por qué el aprovisionamiento por dominio de correo no se aplica al proceso de inicio de sesión de usuarios existentes?
El inicio de sesión de usuarios existentes requiere un control adicional para determinar si pueden ser aprovisionados en una organización específica o recibir un rol. Este proceso es dinámico y depende de casos de uso y necesidades empresariales específicas, como la frecuencia de inicio de sesión y las políticas a nivel de organización.
Por ejemplo, si habilitas el aprovisionamiento por dominio de correo para un usuario existente y luego quieres incorporar a otro grupo de usuarios con un rol diferente, ¿debería el usuario incorporado previamente recibir el nuevo rol que configuraste? Esto crea un escenario complejo para las "actualizaciones just-in-time". El comportamiento exacto suele depender de cómo se configure la aplicación y la integración con el IdP. Te damos este control a ti, permitiéndote diseñar tu sistema de aprovisionamiento libremente y gestionar los escenarios más frecuentes para la creación de nuevas cuentas y la incorporación a organizaciones.
Experiencia de inicio de sesión por correo cuando el aprovisionamiento por dominio de correo está habilitado
| Estado del usuario | Descripción |
|---|---|
| El usuario no existe y se registra con correo | El usuario es creado y se une automáticamente a la organización correspondiente con los roles apropiados. |
| El usuario existe con la misma dirección de correo verificada que los dominios aprovisionados | Experiencia normal de inicio de sesión por correo. |
Experiencia de inicio de sesión social cuando el aprovisionamiento por dominio de correo está habilitado
| Estado del usuario | Descripción |
|---|---|
| El usuario no existe, se registra con una cuenta social usando un correo verificado | El usuario es creado y se une automáticamente a la organización correspondiente con los roles apropiados. |
| El usuario no existe, se registra con una cuenta social usando un correo no verificado o sin correo | Experiencia normal de registro social. |
| El usuario existe con la misma dirección de correo verificada que los dominios aprovisionados, inicia sesión con una nueva identidad social | Experiencia normal de inicio de sesión social. |
Gestión del posible conflicto entre métodos de aprovisionamiento JIT
Si inicialmente configuras el aprovisionamiento por dominio de correo y luego configuras un SSO empresarial con el mismo dominio de correo, esto es lo que sucede:
Cuando un usuario introduce su dirección de correo, será redirigido al proveedor de identidad SSO, omitiendo la autenticación por correo. Esto significa que el aprovisionamiento por dominio de correo no se activará.
Para abordar esto, mostraremos un mensaje de advertencia al configurar. Asegúrate de gestionar este caso seleccionando el conector SSO correcto para habilitar el aprovisionamiento SSO empresarial y no depender del aprovisionamiento por dominio de correo.
Roles predeterminados de la organización
Al aprovisionar usuarios en una organización, puedes establecer sus roles predeterminados de organización. La lista de roles proviene de la plantilla de organización, y puedes elegir un rol o dejarlo vacío.