JIT-Bereitstellung
Just-In-Time (JIT)-Bereitstellung erstellt automatisch Benutzerkonten, wenn sie sich zum ersten Mal über SSO anmelden. Keine manuelle Benutzererstellung erforderlich — Benutzer werden bei Bedarf bereitgestellt.
Wie JIT funktioniert
Wenn sich ein Benutzer zum ersten Mal über SSO anmeldet, übernimmt SecureCodingHub die Kontoerstellung automatisch:
ExternalSsoId wird auf den neuen Wert aktualisiert und sein Name wird aus den IdP-Claims aktualisiert.Was erstellt wird
Wenn JIT einen neuen Benutzer bereitstellt, werden die folgenden Profilfelder gefüllt:
| Feld | Wert |
|---|---|
| Aus SSO-Antwort (NameID oder E-Mail-Attribut) | |
| Name | Aus SSO-Attributen (falls verfügbar) |
| Rolle | Lernender (Standard) |
| Auth-Methode | sso (derselbe Wert für OIDC und SAML — Protokoll ist nicht im Benutzerdatensatz eingebettet) |
| Externe SSO-ID | Eindeutige Kennung vom IdP |
| Team | Keines (kann später zugewiesen werden oder SCIM verwenden) |
Sitzplatzverwaltung
Die JIT-Bereitstellung respektiert das Sitzplatzlimit Ihrer Organisation (maxSeats). Wenn ein neuer Benutzer versucht, sich über SSO anzumelden, überprüft das System, ob verfügbare Sitzplätze vorhanden sind, bevor das Konto erstellt wird.
Wenn alle Sitzplätze belegt sind, sieht der neue Benutzer einen Fehler und kann nicht bereitgestellt werden. Administratoren sollten die Sitzplatznutzung vom Dashboard aus überwachen und ihren Plan upgraden, wenn sie mehr Sitzplätze benötigen.
JIT + SCIM
Für die vollständige Lebenszyklusverwaltung kombinieren Sie JIT-Bereitstellung mit SCIM:
| Funktion | Zweck |
|---|---|
| JIT | Erstellt Benutzer bei der ersten Anmeldung. Sofortiger Zugang ohne Administrator-Aktion erforderlich. |
| SCIM | Synchronisiert Benutzerattribute, Gruppen-/Team-Zuweisungen und übernimmt die Deprovisionierung von Ihrem IdP. |
| JIT + SCIM | JIT erstellt den Benutzer beim ersten Zugriff. SCIM hält Benutzerdaten, Teams und Lebenszyklus zukünftig synchron. |
Benutzer befördern
JIT-erstellten Benutzern wird immer die Rolle Lernender zugewiesen. JIT unterstützt nicht das automatische Erstellen von Organisationsadministrator-Konten.
Um einen Benutzer zum Organisationsadministrator zu befördern, muss ein bestehender Administrator zur Seite Benutzer navigieren und die Rolle des Benutzers manuell ändern. Dies ist eine bewusste Sicherheitsmaßnahme, um Privilegienerweiterung durch SSO-Claims zu verhindern.
JIT-Bereitstellung: häufig gestellte Fragen
Was löst die JIT-Bereitstellung, was die manuelle Benutzererstellung nicht löst?
Die JIT-Bereitstellung entfernt den synchronen Administratorschritt zwischen der Hinzufügung eines Benutzers zum IdP und dass dieser Benutzer mit der Schulung beginnen kann. Bei der manuellen Erstellung muss ein Administrator Benutzer per E-Mail einladen und Sitzplätze einzeln genehmigen — fehleranfällig im Maßstab. Mit der JIT-Bereitstellung ist die IdP-Anwendungszuweisung die einzige Quelle der Wahrheit, und das SecureCodingHub-Konto wird bei der ersten SSO-Anmeldung erstellt. Keine E-Mail-Einladungen, keine doppelten Konten, kein Wartebereich.
JIT vs. geplante Benutzerzugangsbereitstellung — wann benötige ich SCIM?
JIT übernimmt die Benutzerzugangsbereitstellung bei Bedarf: Ein Konto wird in dem Moment erstellt, in dem sich der Benutzer anmeldet. SCIM ist der geplante Push vom IdP, der laufende Aktualisierungen übernimmt — Änderungen der Gruppenmitgliedschaft, Attributaktualisierungen und Deprovisionierung. JIT allein reicht aus, wenn Sie nur Kontoerstellung benötigen; kombinieren Sie es mit SCIM, wenn Sie möchten, dass das Offboarding automatisch von Ihrem IdP fließt, ohne dass ein SecureCodingHub-Administrator durch die Benutzerseite klicken muss.
Wo passt JIT in den Identitäts- und Zugangsbereitstellungs-Lebenszyklus?
Im Identitäts- und Zugangsbereitstellungs-Lebenszyklus deckt JIT die Erstellungsphase ab — den Moment, in dem eine neue Identität ein Konto in einer nachgelagerten Anwendung benötigt. Die früheren Phasen (Identitätserstellung, Joiner-Workflows, Gruppenzuweisung) leben im IdP; die späteren Phasen (Mover, Leaver, Deprovisionierung) werden am besten von SCIM bedient. JIT als vollständige Lebenszykluslösung zu behandeln ist ein häufiger Fehler; es ist die Rampe, nicht die gesamte Straße.
Ist JIT-Bereitstellung sicher — kann ein bösartiger IdP-Claim Privilegien erweitern?
Die JIT-Implementierung von SecureCodingHub stellt neue Benutzer immer mit der Rolle Lernender bereit, unabhängig von jeglichem Rollen-Claim, den der IdP ausgibt. Die Beförderung zum Organisationsadministrator erfordert eine explizite Aktion durch einen bestehenden Administrator in der SecureCodingHub-UI. Die Design-Absicht ist es, Privilegienerweiterung durch manipulierte IdP-Claims zu verhindern — selbst wenn ein Angreifer die IdP-Identität eines Benutzers kompromittiert, ist das Schlimmste, was er durch JIT allein erhält, ein Lernender-Sitzplatz in Ihrem Tenant.