Qu’est-ce que le provisionnement juste-à-temps ?
Si vous développez une application SaaS B2B et souhaitez prendre en charge des fonctionnalités de membres, permettant aux membres de rejoindre facilement votre espace de travail (tenant). Vous pourriez avoir besoin de fonctionnalités comme celles du tableau ci-dessous, et le provisionnement juste-à-temps en fait partie, aidant à rationaliser le processus.
| Fonctionnalités | Flux |
|---|---|
| Invitation initiée par l’administrateur | Les utilisateurs peuvent recevoir une invitation par email pour rejoindre l’organisation. |
| Création ou importation d’utilisateurs via API | Les utilisateurs peuvent utiliser un compte utilisateur pré-créé pour rejoindre l’organisation. |
| Provisionnement juste-à-temps | Les utilisateurs qui se connectent à l’application pour la première fois peuvent rejoindre l’organisation. |
| Synchronisation de répertoire (par ex. SCIM) | Utilisez la fonctionnalité de synchronisation de répertoire de l’IdP pour pré-provisionner les utilisateurs dans l’application à l’avance. |
Le provisionnement juste-à-temps (JIT) est un processus utilisé dans les systèmes de gestion des identités et des accès pour créer des comptes utilisateurs à la volée lorsqu’ils se connectent à un système pour la première fois. Au lieu de pré-provisionner des comptes utilisateurs à l’avance, le JIT crée et configure automatiquement les comptes utilisateurs nécessaires lorsque l’utilisateur s’authentifie. Le provisionnement juste-à-temps est une fonctionnalité populaire pour son efficacité, son absence d’intervention administrative, et l’automatisation de l’appartenance aux organisations, etc.
Quels sont les cas d’utilisation du provisionnement juste-à-temps ?
Ces cas sont courants lors du développement d’une application B2B avec une architecture multi-tenant, Enterprise SSO, travaillant avec des entreprises, ou nécessitant des fonctionnalités d’intégration d’équipe. Voici quelques scénarios d’exemple que votre client pourrait rencontrer.
Intégration rapide
Vous avez un client qui connaît des recrutements fréquents ou une croissance rapide et qui peut utiliser le provisionnement JIT pour configurer rapidement des comptes utilisateurs pour les nouveaux employés. Voici un exemple :
Sarah est une nouvelle employée chez Company SuperFantasy, qui utilise Okta comme fournisseur d’identité d’entreprise. L’équipe RH l’ajoute en tant qu’identité commerciale dans Okta une seule fois. Lorsque Sarah utilise cet email pour se connecter à une application de productivité utilisée à l’échelle de l’entreprise appelée Smartworkspace pour la première fois, le système crée automatiquement un compte et provisionne le rôle approprié pour elle au sein de l’espace de travail de l’entreprise. Ainsi, ni Sarah ni l’équipe RH de SuperFantasy n’ont besoin de passer par plusieurs étapes pour la création de compte et l’attribution de rôle.
Fusions, acquisitions, et travailleurs temporaires
Votre client connaît des fusions ou des acquisitions d’autres entreprises, le provisionnement JIT peut simplifier le processus d’octroi d’accès aux systèmes de l’entreprise acquérante pour de nombreux nouveaux utilisateurs. Prenons un autre exemple,
Peter travaille pour MagicTech, qui a récemment été acquis par SuperFantasy. MagicTech est une petite organisation sans Enterprise SSO mais utilise aussi Smartworkspace où Peter a déjà un compte commercial.
L’équipe RH peut ajouter Peter dans Okta. Lorsque Peter se connecte à Smartworkspace pour la première fois via Okta, le système lie automatiquement son compte professionnel existant et lui accorde l’accès approprié à SuperFantasy.
Les scénarios ci-dessus sont idéaux pour la mise en œuvre de la fonctionnalité JIT.
Est-ce spécifique à SAML et Enterprise SSO ?
Le provisionnement juste-à-temps (JIT) est souvent associé à SSO d'entreprise (Enterprise SSO) dans l’authentification SAML, mais il n’est pas exclusif à Langage de balisage pour les assertions de sécurité (Security Assertion Markup Language, SAML) . Le JIT peut également être utilisé avec d’autres protocoles d’authentification comme OAuth 2.0 et OpenID Connect (OIDC) , et ne nécessite pas toujours une configuration SSO d'entreprise (Enterprise SSO) .
Par exemple, le provisionnement JIT basé sur l’email peut simplifier l’intégration de l’équipe en ajoutant automatiquement des utilisateurs à un espace de travail en fonction de leur domaine de courrier électronique. Cela est particulièrement utile pour les organisations qui manquent de budget et de ressources pour acheter et gérer l’Enterprise SSO.
L’idée fondamentale derrière le provisionnement JIT est d’automatiser la création ou la mise à jour des comptes utilisateurs lorsqu’un utilisateur tente pour la première fois d’accéder à un service, quel que soit le protocole spécifique utilisé.
Cela s’applique-t-il aux nouveaux utilisateurs ou aux utilisateurs existants de l’application ?
Le provisionnement juste-à-temps (JIT) fait généralement référence à la première tentative d’accès à une application. Cependant, différents produits perçoivent cette fonctionnalité différemment. Certains utilisent le provisionnement JIT uniquement pour la création d’identité et de compte, tandis que d’autres incluent également les mises à jour de compte juste-à-temps, telles que le re-provisionnement et la synchronisation des attributs.
En plus de la création automatique d’utilisateurs, le provisionnement JIT SAML permet d’accorder et de révoquer les adhésions à des groupes dans le cadre du provisionnement. Il peut également mettre à jour les utilisateurs provisionnés pour garder leurs attributs dans le magasin Fournisseur de services (Service provider, SP) en synchronisation avec les attributs du magasin Fournisseur d'identité (Identity provider, IdP) .
Si vous souhaitez envisager le scénario de connexion d’un utilisateur existant ultérieurement, assurez-vous de disposer d’un système de provisionnement solide en complément de votre système JIT. Par exemple,
- Résolution des conflits : Votre système doit avoir une stratégie pour gérer les conflits si un compte existe déjà avec des informations différentes de celles fournies par l’IdP pendant le processus JIT. Cela peut nécessiter un contrôle détaillé des politiques de votre organisation et de la configuration de l’IdP.
- Trails d’audit : Il est important de conserver des journaux de la création de nouveaux comptes et des mises à jour des comptes existants via les processus JIT pour des raisons de sécurité et de conformité.
- Performance : Bien que le provisionnement JIT se fasse rapidement, considérez l’impact potentiel sur les temps de connexion, en particulier pour les utilisateurs existants si vous mettez à jour leurs informations à chaque connexion.
- Cohérence des données : Assurez-vous que votre processus de provisionnement JIT maintient la cohérence des données, notamment lors de la mise à jour des comptes utilisateurs existants.
Quelle est la différence entre JIT et SCIM ?
SCIM est un protocole standard ouvert conçu pour simplifier et automatiser la gestion des identités utilisateurs à travers différents systèmes et domaines. Il est couramment utilisé dans des scénarios de synchronisation de répertoire.
La principale différence entre JIT et SCIM est que JIT crée des comptes lors de la tentative de connexion de l’utilisateur, tandis que SCIM peut provisionner des utilisateurs via un processus automatisé hors ligne, indépendant des tentatives de connexion des utilisateurs.
Cela signifie que JIT se concentre sur l’intégration de nouveaux utilisateurs, tandis que SCIM se concentre sur la gestion du cycle de vie complet des utilisateurs.
De plus, le JIT est souvent une extension de SAML et manque d’une implémentation standardisée à travers les systèmes, tandis que SCIM est un protocole bien défini et standardisé RFC 7644 pour la gestion des identités.
Certaines grandes organisations utilisent SCIM pour le provisionnement des comptes, l’intégrant à leurs propres systèmes. Cela peut être très complexe et varier selon les cas. Ces organisations ont souvent un système de provisionnement qui implique à la fois des processus automatisés et une intervention administrative manuelle.