Just-in-Time 프로비저닝
Logto에서 Just-in-Time (JIT) 프로비저닝은 사용자가 시스템에 처음 로그인할 때 즉시 조직 멤버십과 역할을 할당하는 데 사용되는 프로세스입니다. 사용자를 미리 사전 프로비저닝하는 대신, JIT 프로비저닝은 사용자가 인증 (Authentication)할 때 필요한 사용자 계정을 동적으로 구성합니다.
작동 방식
JIT 프로비저닝 프로세스의 개요는 다음과 같습니다:
- 사용자 인증 (Authentication): 사용자가 애플리케이션 또는 서비스에 로그인하려고 시도하면 아이덴티티 제공자 (Logto)가 사용자를 인증합니다.
- 계정 로그인 또는 생성: 사용자의 상태에 따라 Logto는 사용자를 로그인시키거나, 새 계정을 생성하거나, 기존 계정에 새 아이덴티티를 추가합니다.
- 프로비저닝: 사용자가 새롭거나 아이덴티티가 새로울 경우, Logto가 프로비저닝 프로세스를 트리거합니다.
다음은 JIT 프로비저닝의 상세 플로우차트입니다:
JIT 프로비저닝은 B2B 및 다중 테넌시 제품에 유용한 기능입니다. 테넌트 멤버 온보딩을 원활하게 하며 관리자의 개입이 필요하지 않습니다.
예를 들어, 비즈니스를 온보딩하고 해당 직원들이 귀하의 제품에 안전하게 로그인하여 올바른 역할로 조직에 가입하도록 하려면 여러 방법이 있습니다. Logto가 제공하는 가능한 솔루션과 JIT가 어떻게 도움이 되는지 살펴보겠습니다.
| 시나리오 | 사용자 유형 | 자동화됨 | 동작 |
|---|---|---|---|
| 관리자 초대 | 신규 및 기존 | 사용자는 이메일 초대를 받아 조직에 가입할 수 있습니다. | |
| Management API 사용자 생성 또는 가져오기 | 신규 및 기존 | 사용자는 사전 생성된 사용자 계정으로 조직에 가입할 수 있습니다. | |
| SSO Just-in-Time 프로비저닝 | 신규 및 기존 | ✅ | SSO로 처음 로그인하는 사용자는 조직에 가입할 수 있습니다. |
| 이메일 도메인 Just-in-Time 프로비저닝 | 신규 | ✅ | 특정 인증된 도메인을 가진 사용자가 처음 로그인할 때 조직에 가입할 수 있습니다. |
| 디렉터리 동기화 | 신규 및 기존 | ✅ | IdP의 디렉터리 동기화 기능을 사용하여 앱에 사용자를 미리 프로비저닝할 수 있습니다. |
현재 Logto는 SSO Just-in-Time 프로비저닝과 이메일 도메인 Just-in-Time 프로비저닝을 지원합니다.
JIT 프로비저닝의 장점
JIT 프로비저닝은 여러 가지 장점이 있습니다:
- 효율성: 사용자 계정을 수동으로 생성 및 관리하는 관리 오버헤드를 줄여줍니다.
- 확장성: 사전 설정 없이 대규모 사용자에 대한 계정 생성을 자동으로 처리합니다.
- 실시간: 사용자가 인증 (Authentication)하자마자 지연 없이 리소스에 접근할 수 있도록 보장합니다.
우리는 JIT 기능을 가장 확장 가능하고 안전한 수준으로 구현하여 프로비저닝 프로세스를 단순화하고 가속화했습니다. 그러나 프로비저닝 시스템은 복잡할 수 있고, 고객의 특정 요구에 맞게 맞춤화될 수 있으므로, Logto의 사전 구축된 JIT 기능, 신중한 시스템 설계, 그리고 Logto Management API를 결합하는 것이 중요합니다. 이 통합 접근 방식은 견고하고 효율적인 프로비저닝 시스템을 구축하는 데 도움이 됩니다.
JIT와 디렉터리 동기화의 차이점
- JIT 프로비저닝은 사용자 주도 행동에 의해 트리거되며, 디렉터리 동기화는 사용자 주도 또는 시스템 주도(예약 또는 실시간) 모두 가능합니다.
- JIT 프로비저닝은 멤버십 또는 역할 할당을 강제하지 않지만, 디렉터리 동기화는 이를 강제할 수 있습니다.
- JIT 프로비저닝은 사용자의 아이덴티티 소스와 관계없이 신규 사용자 온보딩에 더 적합하며, 디렉터리 동기화는 관리되는 사용자 계정에 더 적합합니다.
요약하면, JIT 프로비저닝은 사용자가 조직에 자유롭게 가입하거나 탈퇴할 수 있도록 하며, 기존 사용자를 귀하의 재량에 따라 처리할 수 있게 해주는 더 유연하고 사용자 친화적인 온보딩 방식입니다.
Logto에서의 Just-in-Time 프로비저닝
Just-in-Time (JIT) 프로비저닝은 사용자 주도 행동에 대해서만 트리거되며, Logto Management API와의 상호작용에는 영향을 주지 않습니다.
콘솔 > 조직로 이동하세요. 조직의 상세 페이지에서 JIT 프로비저닝을 설정할 수 있습니다.
엔터프라이즈 SSO 프로비저닝
Logto에서 엔터프라이즈 SSO를 설정한 경우, 조직 엔터프라이즈 SSO를 선택하여 Just-in-Time 프로비저닝을 활성화할 수 있습니다.
다음 조건 중 하나가 충족되면:
- 신규 사용자가 엔터프라이즈 SSO를 통해 로그인할 때
- 기존 사용자가 엔터프라이즈 SSO를 통해 처음 로그인할 때
이들은 자동으로 조직에 가입하고 기본 조직 역할을 부여받게 됩니다.
이메일 도메인 프로비저닝
클라이언트에 전용 엔터프라이즈 SSO가 없는 경우에도 이메일 도메인을 사용하여 Just-in-Time 프로비저닝을 사용할 수 있습니다.
사용자가 가입할 때, 인증된 이메일 주소가 조직 수준에서 구성된 JIT 이메일 도메인과 일치하면, 해당 조직에 적절한 역할로 프로비저닝됩니다.
주소 매칭은 모든 비엔터프라이즈 SSO 아이덴티티 소스에서 인증된 이메일 주소를 인식할 수 있습니다. 예를 들어:
왜 이메일 도메인 프로비저닝이 기존 사용자 로그인 프로세스에는 적용되지 않나요?
기존 사용자 로그인의 경우, 특정 조직에 프로비저닝되거나 역할을 부여할 수 있는지 추가적인 제어가 필요합니다. 이 프로세스는 동적이며, 로그인 빈도 및 조직 수준 정책 등 특정 사용 사례와 비즈니스 요구에 따라 달라집니다.
예를 들어, 기존 사용자에 대해 이메일 도메인 프로비저닝을 활성화한 후, 다른 역할을 가진 또 다른 사용자 그룹을 온보딩하려는 경우, 이전에 온보딩된 사용자에게 새로 설정한 역할을 부여해야 할까요? 이는 "Just-in-Time 업데이트"에 대한 복잡한 시나리오를 만듭니다. 실제 동작은 애플리케이션 및 IdP 통합 방식에 따라 달라집니다. 우리는 이 제어권을 귀하에게 제공하여, 신규 계정 생성 및 조직 온보딩과 같은 가장 빈번한 시나리오를 자유롭게 설계할 수 있도록 합니다.
이메일 도메인 프로비저닝이 활성화된 경우의 이메일 로그인 경험
| 사용자 상태 | 설명 |
|---|---|
| 사용자가 존재하지 않고 이메일로 가입함 | 사용자가 생성되며, 자동으로 해당 조직에 적절한 역할로 가입됩니다. |
| 사용자가 프로비저닝된 이메일 도메인과 동일한 인증된 이메일 주소로 존재함 | 일반적인 이메일 로그인 경험. |
이메일 도메인 프로비저닝이 활성화된 경우의 소셜 로그인 경험
| 사용자 상태 | 설명 |
|---|---|
| 사용자가 존재하지 않고, 인증된 이메일로 소셜 계정으로 가입함 | 사용자가 생성되며, 자동으로 해당 조직에 적절한 역할로 가입됩니다. |
| 사용자가 존재하지 않고, 인증되지 않은 이메일 또는 이메일 없이 소셜 계정으로 가입함 | 일반적인 소셜 가입 경험. |
| 사용자가 프로비저닝된 이메일 도메인과 동일한 인증된 이메일 주소로 존재하며, 새로운 소셜 아이덴티티로 로그인함 | 일반적인 소셜 로그인 경험. |
JIT 프로비저닝 방식 간의 잠재적 충돌 처리
처음에 이메일 도메인 프로비저닝을 설정한 후, 동일한 이메일 도메인으로 엔터프라이즈 SSO를 구성하면 다음과 같은 일이 발생합니다:
사용자가 이메일 주소를 입력하면, 이메일 인증 (Authentication)을 건너뛰고 SSO 아이덴티티 제공자로 리디렉션됩니다. 즉, 이메일 도메인 프로비저닝이 트리거되지 않습니다.
이를 해결하기 위해 구성 시 경고 메시지를 표시합니다. 올바른 SSO 커넥터를 선택하여 엔터프라이즈 SSO 프로비저닝을 활성화하고, 이메일 도메인 프로비저닝에 의존하지 않도록 하세요.
기본 조직 역할
조직에서 사용자를 프로비저닝할 때, 기본 조직 역할을 설정할 수 있습니다. 역할 목록은 조직 템플릿에서 가져오며, 역할을 선택하거나 비워둘 수 있습니다.