Was ist Just-in-time Bereitstellung?
Wenn du eine SaaS-B2B-App entwickelst und Mitgliedschaftsfunktionen unterstützen möchtest, die es Mitgliedern ermöglichen, leicht deinem Arbeitsbereich (Mandant) beizutreten. Du könntest Funktionen wie die unten stehende Tabelle benötigen, und die Just-in-time Bereitstellung ist eine davon, die hilft, den Prozess zu optimieren.
| Funktionen | Ablauf |
|---|---|
| Vom Admin initiierte Einladung | Benutzer können eine E-Mail-Einladung erhalten, um der Organisation beizutreten. |
| Benutzererstellung oder Import über API | Benutzer können ein vorerstelltes Benutzerkonto verwenden, um der Organisation beizutreten. |
| Just-in-time Bereitstellung | Benutzer, die sich zum ersten Mal in der App anmelden, können der Organisation beitreten. |
| Directory Sync (z.B. SCIM) | Verwende die Directory Sync-Funktion des IdP, um Benutzer im Voraus in der App bereitzustellen. |
Just-in-time (JIT) Bereitstellung ist ein Prozess, der in Identity and Access Management-Systemen verwendet wird, um Benutzerkonten dynamisch zu erstellen, wenn sie sich zum ersten Mal in einem System anmelden. Anstatt Benutzerkonten im Voraus bereitzustellen, erstellt JIT Bereitstellung die erforderlichen Benutzerkonten dynamisch, wenn ein Benutzer authentifiziert wird. Just-in-time Bereitstellung ist eine beliebte Funktion mit eigenen Merkmalen wie Effizienz, keine administrative Beteiligung und automatisierte Organisationsmitgliedschaft, usw.
Was sind die Anwendungsfälle für Just-in-time Bereitstellung?
Diese Fälle sind häufig beim Aufbau einer B2B-App, die eine Multi-Tenant-Architektur, Enterprise SSO, die Arbeit mit Unternehmen oder Team-Onboarding-Funktionen erfordert. Hier sind einige beispielhafte Szenarien, denen dein Kunde begegnen könnte.
Schnelles Onboarding
Ein Kunde, der häufige Neueinstellungen oder schnelles Wachstum erlebt, kann JIT Bereitstellung nutzen, um Benutzerkonten für neue Mitarbeiter schnell einzurichten. Hier ist ein Beispiel:
Sarah ist eine neue Mitarbeiterin bei der Firma SuperFantasy, die Okta als Enterprise Identity Provider nutzt. Das HR-Team fügt sie einmalig als Geschäftsidentität in Okta hinzu. Wenn Sarah diese E-Mail verwendet, um sich zum ersten Mal bei einer unternehmensgenutzten Produktivitäts-App namens Smartworkspace anzumelden, erstellt das System automatisch ein Konto und teilt ihr die richtige Rolle innerhalb des Arbeitsbereichs des Unternehmens zu. Auf diese Weise müssen weder Sarah noch das HR-Team bei SuperFantasy mehrere Schritte für die Kontenerstellung und Rollenvergabe durchlaufen.
Fusionen, Übernahmen und Zeitarbeiter
Ein Kunde, der Fusionen oder Übernahmen erlebt, kann mit JIT Bereitstellung den Prozess der Gewährung des Zugriffs auf die Systeme des erwerbenden Unternehmens für viele neue Benutzer vereinfachen. Nehmen wir ein weiteres Beispiel,
Peter arbeitet für MagicTech, das kürzlich von SuperFantasy übernommen wurde. MagicTech ist eine kleinere Organisation ohne Enterprise SSO, verwendet jedoch auch Smartworkspace, wo Peter bereits ein Geschäftskonto hat.
Das HR-Team kann Peter in Okta hinzufügen. Wenn sich Peter zum ersten Mal über Okta bei Smartworkspace anmeldet, verknüpft das System automatisch sein bestehendes Geschäftskonto und gewährt den entsprechenden Zugang zu SuperFantasy.
Die oben genannten Szenarien sind ideal für die Implementierung der JIT-Funktion.
Ist es spezifisch für SAML und Enterprise SSO?
Just-in-time (JIT) Bereitstellung wird oft mit Enterprise SSO in SAML Authentication in Verbindung gebracht, ist aber nicht ausschließlich auf Security Assertion Markup Language (SAML) beschränkt. Die JIT Bereitstellung kann auch mit anderen Authentifizierungsprotokollen wie OAuth 2.0 und OpenID Connect (OIDC) verwendet werden und erfordert nicht immer eine Enterprise SSO -Konfiguration.
Zum Beispiel kann E-Mail-basierte JIT Bereitstellung das Team-Onboarding vereinfachen, indem Benutzer automatisch auf Basis ihrer E-Mail-Domäne einem Arbeitsbereich hinzugefügt werden. Dies ist besonders nützlich für Organisationen, die nicht über das Budget und die Ressourcen verfügen, um Enterprise SSO zu kaufen und zu verwalten.
Die grundlegende Idee hinter der JIT Bereitstellung ist die Automatisierung der Benutzerkontoerstellung oder -aktualisierungen, wenn ein Benutzer erstmals versucht, auf einen Dienst zuzugreifen, unabhängig vom verwendeten spezifischen Protokoll.
Gilt es für neue oder bestehende Benutzer der App?
Just-in-time (JIT) Bereitstellung bezieht sich im Allgemeinen auf den ersten Versuch, auf eine App zuzugreifen. Jedoch nehmen verschiedene Produkte diese Funktionalität unterschiedlich wahr. Einige nutzen JIT Bereitstellung nur für Identitäts- und Kontoerstellung, während andere auch Just-in-time Kontoaktualisierungen, wie erneute Bereitstellung und Attributsynchronisation, einschließen.
Zusätzlich zur automatischen Benutzererstellung ermöglicht SAML JIT Bereitstellung die Gewährung und den Widerruf von Gruppenmitgliedschaften als Teil der Bereitstellung. Es kann auch bereitgestellte Benutzer aktualisieren, um ihre Attribute im Dienstanbieter (Service provider, SP) -Store mit den Benutzerattributen des Identitätsanbieter (Identity provider, IdP) -Stores synchron zu halten.
Wenn du das Szenario der anschließenden Anmeldungen durch bestehende Benutzer in Betracht ziehen möchtest, stelle sicher, dass du ein robustes Bereitstellungssystem zusammen mit deinem JIT-System hast. Zum Beispiel:
- Konfliktlösung: Dein System sollte eine Strategie zur Handhabung von Konflikten haben, wenn bereits ein Konto mit anderen Informationen als denen vorhanden ist, die vom IdP während des JIT-Prozesses zur Verfügung gestellt wurden. Dies kann eine detaillierte Kontrolle der Richtlinien deiner Organisation und der IdP-Konfiguration erfordern.
- Prüfpfade: Es ist wichtig, sowohl neue Kontenerstellungen als auch Updates bestehender Konten durch JIT-Prozesse aus Sicherheits- und Compliance-Gründen zu protokollieren.
- Leistung: Obwohl JIT Bereitstellung schnell erfolgt, sollte der potenzielle Einfluss auf die Anmeldezeiten berücksichtigt werden, insbesondere für bestehende Benutzer, wenn ihre Informationen bei jeder Anmeldung aktualisiert werden.
- Datenkonsistenz: Stelle sicher, dass dein JIT Bereitstellungsprozess die Datenkonsistenz aufrechterhält, insbesondere bei der Aktualisierung bestehender Benutzerkonten.
Was ist der Unterschied zwischen JIT und SCIM?
SCIM ist ein offenes Standardprotokoll, das entwickelt wurde, um die Verwaltung von Benutzeridentitäten über verschiedene Systeme und Domänen hinweg zu vereinfachen und zu automatisieren. Es wird häufig in Directory Sync-Szenarien verwendet.
Der Hauptunterschied zwischen JIT und SCIM besteht darin, dass JIT Konten während des Anmeldeversuchs des Benutzers erstellt, während SCIM Benutzer über einen offline automatisierten Prozess, unabhängig von Benutzeranmeldeversuchen, bereitstellen kann.
Dies bedeutet, dass sich JIT auf das Onboarding neuer Benutzer konzentriert, während sich SCIM auf das vollständige Lebenszyklus-Management von Benutzern konzentriert.
Darüber hinaus ist JIT oft eine Erweiterung von SAML und fehlt eine standardisierte Implementierung über Systeme hinweg, während SCIM ein gut definiertes, standardisiertes Protokoll RFC 7644 für Identitätsmanagement ist.
Einige größere Organisationen nutzen SCIM für die Kontobereitstellung und integrieren es in ihre eigenen Systeme. Dies kann sehr komplex sein und von Fall zu Fall variieren. Diese Organisationen haben oft ein Bereitstellungssystem, das sowohl automatisierte Prozesse als auch manuelle Eingriffe von Administratoren umfasst.