ما هو التوفير الفوري (Just-in-time provisioning)؟
إذا كنت تقوم بتطوير تطبيق SaaS B2B وتريد دعم ميزات العضوية، مما يتيح للأعضاء الانضمام بسهولة إلى مساحة العمل (المستأجر) الخاصة بك. قد تحتاج إلى ميزات مثل الجدول أدناه، والتوفير الفوري هو واحد منها، مما يسهل العملية.
| الميزات | التدفق |
|---|---|
| دعوة بإدارة المسؤول | يمكن للمستخدمين تلقي دعوة بريد إلكتروني للانضمام إلى المنظمة. |
| إنشاء أو استيراد المستخدمين عبر API | يمكن للمستخدمين استخدام حساب مستخدم مُنشأ مسبقًا للانضمام إلى المنظمة. |
| التوفير الفوري | المستخدمون الذين يقومون بتسجيل الدخول إلى التطبيق لأول مرة يمكنهم الانضمام إلى المنظمة. |
| مزامنة الدليل (مثل SCIM) | استخدام وظيفة مزامنة الدليل لمزود الهوية لـ إعداد المستخدمين في التطبيق مسبقًا. |
التوفير الفوري (JIT provisioning) هو عملية تستخدم في أنظمة إدارة الهوية والتحكم في الوصول لإنشاء حسابات المستخدمين فورًا عند تسجيل دخولهم إلى النظام لأول مرة. بدلاً من إعداد الحسابات مسبقًا للمستخدمين، يقوم التوفير الفوري بإنشاء وتكوين الحسابات اللازمة ديناميكيًا عندما يقوم المستخدم بالمصادقة (authentication). يعتبر التوفير الفوري ميزة شائعة بخصائصه مثل الكفاءة، وعدم الحاجة للتورط الإداري، وعضوية المنظمة المؤتمتة، إلخ.
ما هي حالات الاستخدام للتوفير الفوري (Just-in-time provisioning)؟
هذه الحالات شائعة عند بناء تطبيق B2B يتضمن بنية متعددة المستأجرين، أو Enterprise SSO، أو العمل مع الشركات، أو يتطلب ميزات إعداد فرق. إليك بعض السيناريوهات التي قد يواجهها عملاؤك.
الإعداد السريع
لديك عميل يعاني من التوظيف المتكرر أو النمو السريع يمكنه استخدام التوفير الفوري لإعداد حسابات المستخدمين سريعًا للموظفين الجدد. إليك مثال:
سارة هي موظفة جديدة في شركة SuperFantasy التي تستخدم Okta كمزود الهوية المؤسسية. تضيفها فريق الموارد البشرية كهوية عمل في Okta مرة واحدة فقط. عندما تستخدم سارة هذا البريد الإلكتروني لتسجيل الدخول لأول مرة إلى تطبيق الإنتاجية الذي يُستخدم مؤسسيًا يسمى Smartworkspace، يقوم النظام تلقائيًا بإنشاء حساب وتوفير الدور المناسب لها داخل مساحة العمل الخاصة بالشركة. بهذه الطريقة، لا تحتاج سارة أو فريق الموارد البشرية في SuperFantasy إلى المرور عبر خطوات متعددة لإنشاء الحساب وتعيين الدور.
عمليات الدمج والاستحواذ والعمال المؤقتين
لديك عميل يعاني من عمليات الدمج أو الاستحواذ على الآخرين، يمكن لتوفير الفوري تبسيط عملية منح الوصول لأنظمة الشركة المستحوذة للعديد من المستخدمين الجدد. لنأخذ مثالًا آخر،
يعمل بيتر لدى MagicTech التي استحوذت عليها حديثًا شركة SuperFantasy. MagicTech هي منظمة أصغر بدون Enterprise SSO ولكن تستخدم Smartworkspace كذلك حيث أن بيتر لديه بالفعل حساب عمل.
يمكن لفريق الموارد البشرية إضافة بيتر في Okta. عندما يسجل بيتر الدخول لأول مرة إلى Smartworkspace عبر Okta، يقوم النظام تلقائيًا بربط حساب العمل الموجود لديه ومنح الوصول المناسب إلى SuperFantasy.
السيناريوهات المذكورة أعلاه مثالية لتنفيذ ميزة التوفير الفوري (JIT).
هل هو محدد إلى SAML و Enterprise SSO؟
غالبًا ما يرتبط التوفير الفوري (JIT) بـ الدخول الموحد للمؤسسات (Enterprise SSO) في مصادقة SAML، لكنه ليس مقتصرًا على لغة ترميز تأكيد الأمان (Security Assertion Markup Language, SAML) . يمكن استخدام التوفير الفوري مع بروتوكولات المصادقة الأخرى مثل OAuth 2.0 و OpenID Connect (OIDC) ، ولا يتطلب دائمًا إعداد الدخول الموحد للمؤسسات (Enterprise SSO) .
على سبيل المثال، يمكن لتوفير الفوري المستند إلى البريد الإلكتروني تسهيل إعداد الفريق عن طريق إضافة المستخدمين تلقائيًا إلى مساحة العمل بناءً على نطاق بريدهم الإلكتروني. هذا مفيد بشكل خاص للمنظمات التي تفتقر إلى الموارد لشراء وإدارة Enterprise SSO.
الفكرة الأساسية وراء التوفير الفوري (JIT) هي أتمتة إنشاء حساب المستخدم أو تحديثه عندما يحاول المستخدم الوصول إلى الخدمة لأول مرة، بغض النظر عن البروتوكول المحدد المستخدم.
هل ينطبق على المستخدمين الجدد أو الحاليين للتطبيق؟
عادةً ما يشير التوفير الفوري (JIT) إلى المحاولة الأولى للوصول إلى التطبيق. ومع ذلك، تدرك المنتجات المختلفة هذه الوظيفة بشكل مختلف. تستخدم بعض المنتجات التوفير JIT لإنشاء الهوية والحساب فقط، بينما يشمل البعض الآخر أيضًا تحديث الحساب الفوري، مثل إعادة التوفير ومزامنة السمات.
بالإضافة إلى إنشاء المستخدم تلقائيًا، يتيح توفير SAML JIT منح وسحب عضويات المجموعة كجزء من التوفير. ويمكنه أيضًا تحديث المستخدمين المجهزين للحفاظ على السمات الخاصة بهم في متجر مزود الخدمة (Service Provider, SP) متزامنة مع السمات الموجودة في متجر مزود الهوية (Identity provider, IdP) .
إذا كنت ترغب في النظر في سيناريو تسجيل الدخول اللاحق للمستخدمين الحاليين، فتأكد من أن لديك نظام توفير متكامل بجانب نظام JIT الخاص بك. على سبيل المثال،
- حل تعارض: يجب أن يكون لنظامك استراتيجية لمعالجة التعارضات إذا كان هناك حساب موجود بالفعل بمعلومات مختلفة عن تلك المقدمة من مزود الهوية أثناء عملية JIT. قد يتطلب ذلك سيطرة دقيقة على سياسات منظمتك وتكوين مزود الهوية.
- سجلات التدقيق: من المهم الحفاظ على سجلات لكل من إنشاء الحسابات الجديدة وتحديث الحسابات الحالية من خلال عمليات JIT لأسباب تتعلق بالأمن والامتثال.
- الأداء: على الرغم من أن التوفير الفوري يحدث بسرعة، قم بأخذ التأثير المحتمل على أوقات تسجيل الدخول بعين الاعتبار، خصوصًا للمستخدمين الحاليين إذا كنت تقوم بتحديث معلوماتهم في كل مرة تسجيل دخول.
- اتساق البيانات: تأكد من أن عملية التوفير الفوري الخاصة بك تحافظ على اتساق البيانات، خصوصًا عند تحديث حسابات المستخدمين الحالية.
ما هو الفرق بين JIT وSCIM؟
SCIM هو بروتوكول معيار مفتوح مصمم لتبسيط وأتمتة إدارة هوية المستخدم عبر الأنظمة والمجالات المختلفة. يُستخدم عادة في سيناريوهات مزامنة الدليل.
الفرق الرئيسي بين JIT وSCIM هو أن JIT ينشئ الحسابات أثناء محاولة تسجيل الدخول للمستخدم، بينما يمكن لـ SCIM توفير المستخدمين من خلال عملية مؤتمتة غير متصلة بالإنترنت، بغض النظر عن محاولات تسجيل الدخول للمستخدم.
هذا يعني أن JIT يركز على عملية إعداد المستخدمين الجدد، بينما يركز SCIM على إدارة دورة الحياة الكاملة للمستخدمين.
علاوة على ذلك، يعتبر JIT عادة امتدادًا لـ SAML ويفتقر إلى تنفيذ موحد عبر الأنظمة، في حين أن SCIM هو بروتوكول قياسي معرف جيدًا RFC 7644 لإدارة الهوية.
تستخدم بعض المنظمات الكبيرة SCIM لتوفير الحسابات، بدمجه مع أنظمتها الخاصة. يمكن أن يكون هذا معقدًا للغاية ويختلف من حالة إلى حالة. غالبًا ما تحتوي هذه المنظمات على نظام توفير يتضمن عمليات مؤتمتة وكذلك مشاركة يدوية من قِبَل المسؤولين.