Aprovisionamiento JIT
El aprovisionamiento Just-In-Time (JIT) crea cuentas de usuario automáticamente cuando inician sesión por primera vez vía SSO. No es necesaria la creación manual de usuarios — los usuarios se aprovisionan bajo demanda.
Cómo funciona JIT
Cuando un usuario inicia sesión vía SSO por primera vez, SecureCodingHub se encarga automáticamente de la creación de la cuenta:
ExternalSsoId se actualiza al nuevo valor y su nombre se refresca a partir de los claims del IdP.Qué se crea
Cuando JIT aprovisiona un nuevo usuario, se rellenan los siguientes campos del perfil:
| Campo | Valor |
|---|---|
| Correo | De la respuesta SSO (NameID o atributo de correo) |
| Nombre | De los atributos SSO (si están disponibles) |
| Rol | Estudiante (por defecto) |
| Método de autenticación | sso (el mismo valor para OIDC y SAML — el protocolo no se incrusta en el registro del usuario) |
| ID SSO externo | Identificador único del IdP |
| Equipo | Ninguno (puede asignarse más tarde o usar SCIM) |
Gestión de asientos
El aprovisionamiento JIT respeta el límite de asientos de su organización (maxSeats). Cuando un nuevo usuario intenta iniciar sesión vía SSO, el sistema comprueba si hay asientos disponibles antes de crear la cuenta.
Si todos los asientos están ocupados, el nuevo usuario verá un error y no podrá ser aprovisionado. Los administradores deben monitorizar el uso de asientos desde el panel y actualizar su plan si necesitan más asientos.
JIT + SCIM
Para una gestión completa del ciclo de vida, combine el aprovisionamiento JIT con SCIM:
| Función | Propósito |
|---|---|
| JIT | Crea usuarios en el primer inicio de sesión. Acceso inmediato sin necesidad de acción administrativa. |
| SCIM | Sincroniza los atributos de usuario, las asignaciones de grupo/equipo y gestiona la desaprovisionamiento desde su IdP. |
| JIT + SCIM | JIT crea al usuario en el primer acceso. SCIM mantiene los datos del usuario, los equipos y el ciclo de vida sincronizados a partir de ese momento. |
Promoción de usuarios
Los usuarios creados mediante JIT siempre reciben el rol Estudiante. JIT no admite la creación automática de cuentas de administrador de organización.
Para promover a un usuario a administrador de organización, un administrador existente debe ir a la página Usuarios y cambiar manualmente el rol del usuario. Se trata de una medida de seguridad deliberada para evitar la escalada de privilegios a través de claims de SSO.
Aprovisionamiento JIT: preguntas frecuentes
¿Qué resuelve el aprovisionamiento JIT que la creación manual de usuarios no resuelve?
El aprovisionamiento JIT elimina el paso administrativo síncrono entre añadir un usuario al IdP y que ese usuario pueda empezar a formarse. Con la creación manual, un administrador tiene que invitar a los usuarios por correo y aprobar asientos uno a uno — algo propenso a errores a escala. Con el aprovisionamiento JIT, la asignación de la aplicación en el IdP es la única fuente de verdad, y la cuenta de SecureCodingHub se crea en el primer inicio de sesión SSO. Sin invitaciones por correo, sin cuentas duplicadas, sin sala de espera.
JIT vs aprovisionamiento de acceso programado — ¿cuándo necesito SCIM?
JIT gestiona el aprovisionamiento del acceso de usuario bajo demanda: la cuenta se crea en el momento en que el usuario inicia sesión. SCIM es la sincronización programada desde el IdP que gestiona las actualizaciones continuas — cambios de pertenencia a grupos, actualizaciones de atributos y desaprovisionamiento. JIT por sí solo es suficiente si solo necesita creación de cuentas; combínelo con SCIM cuando necesite que la baja fluya automáticamente desde su IdP sin que un administrador de SecureCodingHub tenga que pasar por la página de Usuarios.
¿Dónde encaja JIT en el ciclo de vida del aprovisionamiento de identidad y acceso?
En el ciclo de vida del aprovisionamiento de identidad y acceso, JIT cubre la fase de creación — el momento en que una nueva identidad necesita una cuenta en una aplicación posterior. Las fases anteriores (creación de identidad, flujos de incorporación, asignación a grupos) viven en el IdP; las fases posteriores (movilidad, baja, desaprovisionamiento) se atienden mejor mediante SCIM. Tratar JIT como una solución de ciclo de vida completa es un error común; es la rampa de entrada, no la carretera entera.
¿Es seguro el aprovisionamiento JIT — puede un claim malicioso del IdP escalar privilegios?
La implementación JIT de SecureCodingHub siempre aprovisiona a los nuevos usuarios con el rol Estudiante, independientemente de cualquier claim de rol que emita el IdP. La promoción a administrador de organización requiere una acción explícita por parte de un administrador existente en la UI de SecureCodingHub. La intención del diseño es evitar la escalada de privilegios a través de claims manipulados del IdP — incluso si un atacante compromete la identidad de un usuario en el IdP, lo peor que obtiene solo con JIT es un asiento de Estudiante en su tenant.