Provisionamento Just-in-Time
No Logto, o provisionamento Just-in-Time (JIT) é um processo utilizado para atribuir associações a organizações e papéis aos usuários de forma dinâmica, à medida que eles fazem login no sistema pela primeira vez. Em vez de pré-provisionar contas para os usuários com antecedência, o provisionamento JIT configura as contas de usuário necessárias dinamicamente quando um usuário se autentica.
Como funciona
Aqui está uma visão geral do processo de provisionamento JIT:
- Autenticação do usuário: O usuário tenta fazer login em um aplicativo ou serviço, e o provedor de identidade (Logto) autentica o usuário.
- Login ou criação de conta: Dependendo do status do usuário, o Logto faz o login do usuário, cria uma nova conta ou adiciona uma nova identidade a uma conta existente.
- Provisionamento: Se o usuário ou sua identidade for novo, o Logto aciona o processo de provisionamento.
Aqui está um fluxograma detalhado do provisionamento JIT:
O provisionamento JIT é um recurso útil para produtos B2B e de multi-tenancy. Ele torna o onboarding de membros do tenant mais fluido e não requer envolvimento administrativo.
Por exemplo, se você integrou uma empresa e deseja que seus funcionários façam login com segurança em seu produto e entrem na organização com o acesso correto de papel, existem várias maneiras de alcançar isso. Vamos explorar as soluções possíveis que o Logto oferece e como o JIT pode ajudar.
| Cenário | Tipos de usuário | Automatizado | Comportamento |
|---|---|---|---|
| Convite do administrador | Novos e existentes | Usuários podem receber um convite por email para ingressar na organização. | |
| Criação ou importação de usuário via Management API | Novos e existentes | Usuários podem usar uma conta de usuário pré-criada para ingressar na organização. | |
| Provisionamento just-in-time via SSO | Novos e existentes | ✅ | Usuários que fazem login com SSO pela primeira vez podem ingressar na organização. |
| Provisionamento just-in-time por domínio de email | Novos | ✅ | Usuários com domínios verificados específicos que fazem login pela primeira vez podem ingressar na organização. |
| Sincronização de diretório | Novos e existentes | ✅ | Use a funcionalidade de sincronização de diretório do IdP para pré-provisionar usuários no app com antecedência. |
Atualmente, o Logto suporta provisionamento just-in-time via SSO e provisionamento just-in-time por domínio de email.
Benefícios do provisionamento JIT
O provisionamento JIT oferece vários benefícios:
- Eficiência: Reduz o trabalho administrativo de criar e gerenciar contas de usuário manualmente.
- Escalabilidade: Lida automaticamente com a criação de contas para grandes quantidades de usuários sem configuração prévia.
- Tempo real: Garante que os usuários possam acessar recursos assim que se autenticarem, sem atrasos.
Implementamos os recursos JIT no nível mais escalável e seguro para simplificar e acelerar o processo de provisionamento para você. No entanto, como sistemas de provisionamento podem ser complexos e adaptados às necessidades específicas dos seus clientes, é essencial combinar os recursos JIT prontos do Logto, seu design cuidadoso de sistema e a Logto Management API. Essa abordagem integrada ajudará você a construir um sistema de provisionamento robusto e eficiente.
Diferenças entre JIT e sincronização de diretório
- O provisionamento JIT é acionado por ações iniciadas pelo usuário, enquanto a sincronização de diretório pode ser tanto iniciada pelo usuário quanto pelo sistema (agendada ou em tempo real).
- O provisionamento JIT não impõe a associação ou atribuição de papel, enquanto a sincronização de diretório pode impô-las.
- O provisionamento JIT é mais adequado para onboarding de novos usuários independentemente da fonte de identidade, enquanto a sincronização de diretório é mais adequada para contas de usuário gerenciadas.
Em resumo, o provisionamento JIT é uma abordagem mais flexível e amigável para onboarding de usuários, pois pode dar aos usuários a liberdade de entrar ou sair de organizações e permite que você gerencie os usuários existentes conforme sua necessidade.
Provisionamento just-in-time no Logto
O provisionamento just-in-time (JIT) só é acionado por ações iniciadas pelo usuário e não afeta interações com a Logto Management API.
Navegue até Console > Organizações. Você pode configurar o provisionamento JIT na página de detalhes de uma organização.
Provisionamento SSO corporativo
Se você tem SSO corporativo (Enterprise SSO) configurado no Logto, pode selecionar o SSO corporativo da sua organização para habilitar o provisionamento just-in-time.
Quando uma das seguintes condições for atendida:
- Novos usuários fazem login através do SSO corporativo;
- Usuários existentes fazem login através do SSO corporativo pela primeira vez.
Eles ingressarão automaticamente na organização e receberão os papéis padrão da organização.
Provisionamento por domínio de email
Se seu cliente não possui um SSO corporativo dedicado, você ainda pode usar domínios de email para provisionamento just-in-time.
Quando um usuário se cadastra, se o endereço de email verificado corresponder aos domínios de email JIT configurados no nível da organização, ele será provisionado para as organizações apropriadas com os papéis correspondentes.
A correspondência de endereço pode reconhecer o endereço de email verificado de todas as fontes de identidade que não sejam SSO corporativo, incluindo:
- Autenticação de cadastro por email
- Autenticação de cadastro social
Por que o provisionamento por domínio de email não se aplica ao processo de login de usuário existente?
O login de usuário existente requer controle adicional para determinar se ele pode ser provisionado para uma organização específica ou receber um papel. Esse processo é dinâmico e depende de casos de uso e necessidades de negócio específicas, como frequência de login e políticas no nível da organização.
Por exemplo, se você habilitar o provisionamento por domínio de email para um usuário existente e depois quiser integrar outro grupo de usuários com um papel diferente, o usuário já integrado anteriormente deve receber o novo papel que você configurou? Isso cria um cenário complexo para "atualizações just-in-time". O comportamento exato geralmente depende de como a aplicação e a integração com o IdP estão configuradas. Damos esse controle a você, permitindo que projete seu sistema de provisionamento livremente e lide com os cenários mais frequentes de criação de novas contas e onboarding de organizações.
Experiência de login por email quando o provisionamento por domínio de email está habilitado
| Status do usuário | Descrição |
|---|---|
| Usuário não existe e se cadastra por email | Usuário é criado e ingressa automaticamente na organização correspondente com os papéis adequados. |
| Usuário existe com o mesmo endereço de email verificado dos domínios provisionados | Experiência normal de login por email. |
Experiência de login social quando o provisionamento por domínio de email está habilitado
| Status do usuário | Descrição |
|---|---|
| Usuário não existe, se cadastra com conta social usando um email verificado | Usuário é criado e ingressa automaticamente na organização correspondente com os papéis adequados. |
| Usuário não existe, se cadastra com conta social usando um email não verificado ou sem email | Experiência normal de cadastro social. |
| Usuário existe com o mesmo endereço de email verificado dos domínios provisionados, faz login por uma nova identidade social | Experiência normal de login social. |
Lidando com o potencial conflito entre métodos de provisionamento JIT
Se você configurar inicialmente o provisionamento por domínio de email e depois configurar um SSO corporativo com o mesmo domínio de email, veja o que acontece:
Quando um usuário digita seu endereço de email, ele será redirecionado para o provedor de identidade SSO, ignorando a autenticação por email. Isso significa que o provisionamento por domínio de email não será acionado.
Para resolver isso, exibiremos uma mensagem de aviso durante a configuração. Certifique-se de lidar com esse caso selecionando o conector SSO correto para habilitar o provisionamento SSO corporativo e não dependa do provisionamento por domínio de email.
Papéis padrão da organização
Ao provisionar usuários em uma organização, você pode definir seus papéis padrão na organização. A lista de papéis vem do template da organização, e você pode escolher um papel ou deixar em branco.