Approvisionnement Just-in-Time
Dans Logto, l’approvisionnement Just-in-Time (JIT) est un processus utilisé pour attribuer des appartenances à des organisations et des rôles aux utilisateurs à la volée lorsqu’ils se connectent au système pour la première fois. Au lieu de pré-approvisionner les comptes utilisateurs à l’avance, l’approvisionnement JIT configure dynamiquement les comptes nécessaires lors de l’authentification de l’utilisateur.
Fonctionnement
Voici un aperçu général du processus d’approvisionnement JIT :
- Authentification de l’utilisateur : L’utilisateur tente de se connecter à une application ou un service, et le fournisseur d’identité (Logto) authentifie l’utilisateur.
- Connexion ou création de compte : Selon le statut de l’utilisateur, Logto connecte l’utilisateur, crée un nouveau compte ou ajoute une nouvelle identité à un compte existant.
- Approvisionnement : Si l’utilisateur ou son identité est nouveau, Logto déclenche le processus d’approvisionnement.
Voici un organigramme détaillé de l’approvisionnement JIT :
L’approvisionnement JIT est une fonctionnalité utile pour les produits B2B et multi-locataires. Il facilite l’intégration des membres d’un locataire sans intervention administrative.
Par exemple, si vous avez intégré une entreprise et souhaitez que ses employés se connectent en toute sécurité à votre produit et rejoignent l’organisation avec le bon accès aux rôles, plusieurs solutions sont possibles. Explorons les solutions proposées par Logto et comment JIT peut vous aider.
| Scénario | Types d’utilisateurs | Automatisé | Comportement |
|---|---|---|---|
| Invitation par un administrateur | Nouveaux et existants | Les utilisateurs peuvent recevoir une invitation par e-mail pour rejoindre l’organisation. | |
| Création ou import d’utilisateur via Management API | Nouveaux et existants | Les utilisateurs peuvent utiliser un compte utilisateur pré-créé pour rejoindre l’organisation. | |
| Approvisionnement SSO just-in-time | Nouveaux et existants | ✅ | Les utilisateurs qui se connectent avec le SSO pour la première fois peuvent rejoindre l’organisation. |
| Approvisionnement just-in-time par domaine e-mail | Nouveaux | ✅ | Les utilisateurs avec des domaines vérifiés spécifiques qui se connectent pour la première fois peuvent rejoindre l’organisation. |
| Synchronisation d’annuaire | Nouveaux et existants | ✅ | Utilisez la fonctionnalité de synchronisation d’annuaire du IdP pour pré-approvisionner les utilisateurs dans l’application à l’avance. |
Actuellement, Logto prend en charge l’approvisionnement SSO just-in-time et l’approvisionnement just-in-time par domaine e-mail.
Avantages de l’approvisionnement JIT
L’approvisionnement JIT offre plusieurs avantages :
- Efficacité : Réduit la charge administrative liée à la création et à la gestion manuelle des comptes utilisateurs.
- Scalabilité : Gère automatiquement la création de comptes pour un grand nombre d’utilisateurs sans configuration préalable.
- Temps réel : Permet aux utilisateurs d’accéder aux ressources dès leur authentification, sans délai.
Nous avons implémenté les fonctionnalités JIT au niveau le plus évolutif et sécurisé pour simplifier et accélérer le processus d’approvisionnement pour vous. Cependant, comme les systèmes d’approvisionnement peuvent être complexes et adaptés aux besoins spécifiques de vos clients, il est essentiel de combiner les fonctionnalités JIT préconstruites de Logto, une conception système soignée de votre part et le Management API de Logto. Cette approche intégrée vous aidera à construire un système d’approvisionnement robuste et efficace.
Différences entre JIT et la synchronisation d’annuaire
- L’approvisionnement JIT est déclenché par des actions initiées par l’utilisateur, tandis que la synchronisation d’annuaire peut être initiée par l’utilisateur ou par le système (planifiée ou en temps réel).
- L’approvisionnement JIT n’impose pas l’appartenance ou l’attribution de rôles, tandis que la synchronisation d’annuaire peut les imposer.
- L’approvisionnement JIT est plus adapté à l’intégration de nouveaux utilisateurs quelle que soit la source d’identité, tandis que la synchronisation d’annuaire convient mieux aux comptes utilisateurs gérés.
En résumé, l’approvisionnement JIT est une approche plus flexible et conviviale pour l’intégration des utilisateurs, car il leur donne la liberté de rejoindre ou quitter des organisations et vous permet de gérer les utilisateurs existants à votre discrétion.
Approvisionnement just-in-time dans Logto
L’approvisionnement just-in-time (JIT) ne se déclenche que pour les actions initiées par l’utilisateur et n’affecte pas les interactions avec le Management API de Logto.
Naviguez vers Console > Organisations. Vous pouvez configurer l’approvisionnement JIT dans la page de détails d’une organisation.
Approvisionnement SSO d’entreprise
Si vous avez configuré un SSO d’entreprise dans Logto, vous pouvez sélectionner le SSO d’entreprise de votre organisation pour activer l’approvisionnement just-in-time.
Lorsque l’une des conditions suivantes est remplie :
- Nouveaux utilisateurs se connectant via le SSO d’entreprise ;
- Utilisateurs existants se connectant via le SSO d’entreprise pour la première fois.
Ils rejoindront automatiquement l’organisation et obtiendront les rôles d’organisation par défaut.
Approvisionnement par domaine e-mail
Si votre client ne dispose pas d’un SSO d’entreprise dédié, vous pouvez toujours utiliser les domaines e-mail pour l’approvisionnement just-in-time.
Lorsqu’un utilisateur s’inscrit, si son adresse e-mail vérifiée correspond aux domaines e-mail JIT configurés au niveau de l’organisation, il sera approvisionné dans les organisations appropriées avec les rôles correspondants.
La correspondance d’adresse reconnaît l’adresse e-mail vérifiée de toutes les sources d’identité non SSO d’entreprise, y compris :
- Authentification inscription par e-mail
- Authentification inscription sociale
Pourquoi l’approvisionnement par domaine e-mail ne s’applique-t-il pas au processus de connexion des utilisateurs existants ?
La connexion d’un utilisateur existant nécessite un contrôle supplémentaire pour déterminer s’il peut être approvisionné dans une organisation spécifique ou se voir attribuer un rôle. Ce processus est dynamique et dépend de cas d’utilisation et de besoins métier spécifiques, tels que la fréquence de connexion et les politiques au niveau de l’organisation.
Par exemple, si vous activez l’approvisionnement par domaine e-mail pour un utilisateur existant et souhaitez ensuite intégrer un autre groupe d’utilisateurs avec un rôle différent, l’utilisateur précédemment intégré doit-il se voir attribuer le nouveau rôle que vous avez défini ? Cela crée un scénario complexe de « mises à jour just-in-time ». Le comportement exact dépend souvent de la façon dont l’application et l’intégration IdP sont configurées. Nous vous laissons ce contrôle, vous permettant de concevoir librement votre système d’approvisionnement et de gérer les scénarios les plus fréquents de création de nouveaux comptes et d’intégration à une organisation.
Expérience de connexion par e-mail lorsque l’approvisionnement par domaine e-mail est activé
| Statut de l’utilisateur | Description |
|---|---|
| L’utilisateur n’existe pas et s’inscrit avec un e-mail | L’utilisateur est créé et rejoint automatiquement l’organisation correspondante avec les rôles appropriés. |
| L’utilisateur existe avec la même adresse e-mail vérifiée que les domaines provisionnés | Expérience de connexion par e-mail normale. |
Expérience de connexion sociale lorsque l’approvisionnement par domaine e-mail est activé
| Statut de l’utilisateur | Description |
|---|---|
| L’utilisateur n’existe pas, s’inscrit avec un compte social utilisant un e-mail vérifié | L’utilisateur est créé et rejoint automatiquement l’organisation correspondante avec les rôles appropriés. |
| L’utilisateur n’existe pas, s’inscrit avec un compte social utilisant un e-mail non vérifié ou sans e-mail | Expérience d’inscription sociale normale. |
| L’utilisateur existe avec la même adresse e-mail vérifiée que les domaines provisionnés, se connecte via une nouvelle identité sociale | Expérience de connexion sociale normale. |
Gestion du conflit potentiel entre les méthodes d’approvisionnement JIT
Si vous configurez initialement l’approvisionnement par domaine e-mail puis configurez ultérieurement un SSO d’entreprise avec le même domaine e-mail, voici ce qui se passe :
Lorsqu’un utilisateur saisit son adresse e-mail, il sera redirigé vers le fournisseur d’identité SSO, contournant l’authentification par e-mail. Cela signifie que l’approvisionnement par domaine e-mail ne sera pas déclenché.
Pour cela, nous afficherons un message d’avertissement lors de la configuration. Veillez à gérer ce cas en sélectionnant le bon connecteur SSO pour activer l’approvisionnement SSO d’entreprise, et ne comptez pas sur l’approvisionnement par domaine e-mail.
Rôles d’organisation par défaut
Lors de l’approvisionnement des utilisateurs dans une organisation, vous pouvez définir leurs rôles d’organisation par défaut. La liste des rôles provient du modèle d’organisation, et vous pouvez choisir un rôle ou laisser vide.