What does JIT provisioning solve that manual user creation doesn't?

JIT provisioning removes the synchronous admin step between a user being added to the IdP and that user being able to start training. With manual creation, an admin has to invite users by email and approve seats one by one — error-prone at scale. With JIT provisioning, the IdP application assignment is the single source of truth, and the SecureCodingHub account is created on the first SSO login. No email invitations, no duplicate accounts, no waiting room.

JIT vs scheduled user access provisioning — when do I need SCIM?

JIT handles user access provisioning on demand: an account is created the moment the user logs in. SCIM is the scheduled push from the IdP that handles ongoing updates — group membership changes, attribute updates, and deprovisioning. JIT alone is enough if you only need account creation; combine it with SCIM when you need offboarding to flow automatically from your IdP without a SecureCodingHub admin clicking through the Users page.

Where does JIT fit in the identity and access provisioning lifecycle?

In the identity and access provisioning lifecycle, JIT covers the create stage — the moment a new identity needs an account in a downstream application. The earlier stages (identity creation, joiner workflows, group assignment) live in the IdP; the later stages (mover, leaver, deprovisioning) are best served by SCIM. Treating JIT as a complete lifecycle solution is a common mistake; it is the on-ramp, not the whole road.

Is JIT provisioning safe — can a malicious IdP claim escalate privileges?

SecureCodingHub's JIT implementation always provisions new users with the Learner role, regardless of any role claim the IdP emits. Promotion to Org Admin requires explicit action by an existing admin in the SecureCodingHub UI. The design intent is to prevent privilege escalation through manipulated IdP claims — even if an attacker compromises a user's IdP identity, the worst they get through JIT alone is a Learner seat in your tenant.

JITプロビジョニング

Just-In-Time (JIT) プロビジョニングは、ユーザーが初めてSSO経由でサインインしたときにユーザーアカウントを自動的に作成します。手動のユーザー作成は不要 — ユーザーはオンデマンドでプロビジョニングされます。

セットアップ不要: JITプロビジョニングはSSOが構成されると自動的に有効になります。追加のセットアップは不要です。

JITの仕組み

ユーザーが初めてSSO経由でサインインすると、SecureCodingHubはアカウント作成を自動的に処理します:

ユーザーがSSO経由でサインイン

ユーザーが「SSOでサインイン」をクリックし、IDプロバイダー経由で初めて認証します。

認証レスポンスを受信

SecureCodingHubはユーザーのIDクレームを含む認証レスポンスをIdPから受信します。

ユーザー検索

システムはExternalSsoIdを最初にで既存ユーザーを検索し、その後メールの一致にフォールバックします。後続のログインでメールの一致のみが見つかった場合、既存ユーザーはIdPにアカウントリンクされます — ExternalSsoIdは新しい値に更新され、名前はIdPクレームから更新されます。

アカウント作成

既存のユーザーが見つからない場合、学習者ロールで新しいアカウントが作成されます。

シートチェック

組織に利用可能なシートがない場合、ログインはエラーで拒否されます。ユーザーはプロビジョニングされません。

トレーニング開始

ユーザーはログインしてすぐにトレーニングを開始できます。手動のオンボーディング手順は不要です。

作成されるもの

JITが新しいユーザーをプロビジョニングするとき、次のプロフィールフィールドが入力されます:

フィールド	値
メール	SSOレスポンスから (NameIDまたはemail属性)
名前	SSO属性から (利用可能な場合)
ロール	学習者 (デフォルト)
認証方法	`sso` (OIDCとSAMLで同じ値 — プロトコルはユーザーレコードに埋め込まれません)
外部SSO ID	IdPからの一意の識別子
チーム	なし (後で割り当てることも、SCIMを使用することもできます)

シート管理

JITプロビジョニングは組織のシート制限 (maxSeats) を尊重します。新しいユーザーがSSO経由でサインインを試みると、システムはアカウントを作成する前に利用可能なシートがあるかどうかを確認します。

すべてのシートが使用されている場合、新しいユーザーはエラーを見て、プロビジョニングできません。管理者はダッシュボードからシート使用状況を監視し、さらにシートが必要な場合はプランをアップグレードする必要があります。

JIT + SCIM

完全なライフサイクル管理のために、JITプロビジョニングをSCIMと組み合わせます:

機能	目的
JIT	初回ログイン時にユーザーを作成。管理者アクション不要で即座にアクセス。
SCIM	ユーザー属性、グループ / チーム割り当てを同期し、IdPからのデプロビジョニングを処理。
JIT + SCIM	JITは初回アクセス時にユーザーを作成。SCIMはユーザーデータ、チーム、ライフサイクルを今後同期したままに保ちます。

推奨: 最高の体験のためにJITをSCIMと組み合わせてください。JITは初回アクセスを処理し、SCIMは進行中のライフサイクル管理を処理します。

ユーザーの昇格

JITで作成されたユーザーには常に学習者ロールが割り当てられます。JITは組織管理者アカウントの自動作成をサポートしません。

ユーザーを組織管理者に昇格させるには、既存の管理者がユーザーページに移動し、ユーザーのロールを手動で変更する必要があります。これは、SSOクレーム経由の権限昇格を防ぐための意図的なセキュリティ対策です。

JITプロビジョニング: よくある質問

JITプロビジョニングは手動ユーザー作成では解決できない何を解決しますか？

JITプロビジョニングは、ユーザーがIdPに追加されることと、そのユーザーがトレーニングを開始できることとの間の同期管理者ステップを削除します。手動作成では、管理者がメールでユーザーを招待し、1つずつシートを承認する必要があります — 規模ではエラーが発生しやすいです。JITプロビジョニングでは、IdPアプリケーション割り当てが唯一の信頼できる情報源であり、SecureCodingHubアカウントは初回SSOログイン時に作成されます。メール招待、重複アカウント、待機室はありません。

JIT対スケジュールされたユーザーアクセスプロビジョニング — SCIMはいつ必要ですか？

JITはユーザーアクセスプロビジョニングをオンデマンドで処理します: アカウントはユーザーがログインした瞬間に作成されます。SCIMは、グループメンバーシップの変更、属性の更新、デプロビジョニングなどの継続的な更新を処理するIdPからのスケジュールされたプッシュです。アカウント作成のみが必要な場合は、JITだけで十分です。SecureCodingHub管理者がユーザーページをクリックすることなく、IdPから自動的にオフボーディングが流れる必要がある場合は、SCIMと組み合わせてください。

JITはIDとアクセスプロビジョニングのライフサイクルのどこに当てはまりますか？

IDとアクセスプロビジョニングのライフサイクルでは、JITは作成段階をカバーします — 新しいIDが下流アプリケーションでアカウントを必要とする瞬間。初期段階 (ID作成、joiner workflow、グループ割り当て) はIdPに存在し、後期段階 (mover、leaver、デプロビジョニング) はSCIMによって最もよく提供されます。JITを完全なライフサイクルソリューションとして扱うことはよくある間違いです。それは入口であり、道全体ではありません。

JITプロビジョニングは安全ですか — 悪意のあるIdPクレームが権限を昇格できますか？

SecureCodingHubのJIT実装は、IdPが発行するロールクレームに関係なく、常に学習者ロールで新しいユーザーをプロビジョニングします。組織管理者への昇格には、SecureCodingHub UIで既存の管理者による明示的なアクションが必要です。設計意図は、操作されたIdPクレーム経由の権限昇格を防ぐことです — 攻撃者がユーザーのIdP IDを侵害したとしても、JITだけで得られる最悪はテナント内の学習者シートです。