Provisionnement JIT
Le provisionnement Just-In-Time (JIT) crée automatiquement des comptes utilisateur lorsqu'ils se connectent pour la première fois via SSO. Aucune création manuelle d'utilisateur nécessaire — les utilisateurs sont provisionnés à la demande.
Comment fonctionne JIT
Lorsqu'un utilisateur se connecte via SSO pour la première fois, SecureCodingHub gère la création de compte automatiquement :
ExternalSsoId est mis à jour vers la nouvelle valeur et son nom est rafraîchi depuis les revendications IdP.Ce qui est créé
Lorsque JIT provisionne un nouvel utilisateur, les champs de profil suivants sont remplis :
| Champ | Valeur |
|---|---|
| Depuis la réponse SSO (NameID ou attribut email) | |
| Nom | Depuis les attributs SSO (si disponibles) |
| Rôle | Apprenant (par défaut) |
| Méthode d'authentification | sso (la même valeur pour OIDC et SAML — le protocole n'est pas intégré dans l'enregistrement utilisateur) |
| ID SSO externe | Identifiant unique de l'IdP |
| Équipe | Aucune (peut être attribuée plus tard, ou utiliser SCIM) |
Gestion des sièges
Le provisionnement JIT respecte la limite de sièges de votre organisation (maxSeats). Lorsqu'un nouvel utilisateur tente de se connecter via SSO, le système vérifie s'il y a des sièges disponibles avant de créer le compte.
Si tous les sièges sont utilisés, le nouvel utilisateur verra une erreur et ne pourra pas être provisionné. Les administrateurs doivent surveiller l'utilisation des sièges depuis le tableau de bord et mettre à niveau leur plan s'ils ont besoin de plus de sièges.
JIT + SCIM
Pour une gestion complète du cycle de vie, combinez le provisionnement JIT avec SCIM :
| Fonctionnalité | Objectif |
|---|---|
| JIT | Crée les utilisateurs à la première connexion. Accès immédiat sans action administrative requise. |
| SCIM | Synchronise les attributs utilisateur, les attributions de groupe/équipe et gère la désinscription depuis votre IdP. |
| JIT + SCIM | JIT crée l'utilisateur au premier accès. SCIM maintient les données utilisateur, les équipes et le cycle de vie en synchronisation pour l'avenir. |
Promotion des utilisateurs
Les utilisateurs créés par JIT se voient toujours attribuer le rôle Apprenant. JIT ne prend pas en charge la création automatique de comptes Administrateur de l'organisation.
Pour promouvoir un utilisateur en Administrateur de l'organisation, un administrateur existant doit naviguer vers la page Utilisateurs et changer manuellement le rôle de l'utilisateur. C'est une mesure de sécurité délibérée pour empêcher l'escalade de privilèges via les revendications SSO.
Provisionnement JIT : questions fréquentes
Que résout le provisionnement JIT que la création manuelle d'utilisateur ne résout pas ?
Le provisionnement JIT élimine l'étape administrative synchrone entre l'ajout d'un utilisateur à l'IdP et la capacité de cet utilisateur à commencer la formation. Avec la création manuelle, un administrateur doit inviter les utilisateurs par e-mail et approuver les sièges un par un — sujet à erreur à l'échelle. Avec le provisionnement JIT, l'attribution de l'application IdP est la seule source de vérité, et le compte SecureCodingHub est créé à la première connexion SSO. Pas d'invitations par e-mail, pas de comptes en double, pas de salle d'attente.
JIT vs provisionnement d'accès utilisateur planifié — quand ai-je besoin de SCIM ?
JIT gère le provisionnement d'accès utilisateur à la demande : un compte est créé au moment où l'utilisateur se connecte. SCIM est le push planifié de l'IdP qui gère les mises à jour continues — changements d'appartenance à un groupe, mises à jour d'attributs et désinscription. JIT seul suffit si vous n'avez besoin que de la création de compte ; combinez-le avec SCIM lorsque vous avez besoin que la désinscription s'écoule automatiquement depuis votre IdP sans qu'un administrateur SecureCodingHub clique à travers la page Utilisateurs.
Où s'inscrit JIT dans le cycle de vie de provisionnement d'identité et d'accès ?
Dans le cycle de vie de provisionnement d'identité et d'accès, JIT couvre l'étape de création — le moment où une nouvelle identité a besoin d'un compte dans une application en aval. Les étapes antérieures (création d'identité, workflows d'arrivée, attribution de groupe) vivent dans l'IdP ; les étapes ultérieures (déplacement, départ, désinscription) sont mieux servies par SCIM. Traiter JIT comme une solution complète de cycle de vie est une erreur courante ; c'est la rampe d'accès, pas toute la route.
Le provisionnement JIT est-il sûr — une revendication IdP malveillante peut-elle escalader les privilèges ?
L'implémentation JIT de SecureCodingHub provisionne toujours les nouveaux utilisateurs avec le rôle Apprenant, quelle que soit la revendication de rôle que l'IdP émet. La promotion vers Administrateur de l'organisation nécessite une action explicite d'un administrateur existant dans l'interface SecureCodingHub. L'intention de conception est d'empêcher l'escalade de privilèges via des revendications IdP manipulées — même si un attaquant compromet l'identité IdP d'un utilisateur, le pire qu'il obtient via JIT seul est un siège Apprenant dans votre tenant.