문서/SSO 구성/JIT 프로비저닝

JIT 프로비저닝

Just-In-Time (JIT) 프로비저닝은 SSO를 통해 처음 로그인할 때 사용자 계정을 자동으로 생성합니다. 수동 사용자 생성이 필요하지 않습니다 — 사용자는 요청에 따라 프로비저닝됩니다.

설정 필요 없음: JIT 프로비저닝은 SSO가 구성되면 자동으로 활성화됩니다. 추가 설정이 필요하지 않습니다.

JIT 작동 방식

사용자가 SSO를 통해 처음 로그인하면, SecureCodingHub가 자동으로 계정 생성을 처리합니다:

1
사용자가 SSO를 통해 로그인
사용자가 "SSO로 로그인"을 클릭하고 신원 공급자를 통해 처음 인증합니다.
2
인증 응답 수신
SecureCodingHub가 사용자의 신원 클레임이 포함된 IdP의 인증 응답을 수신합니다.
3
사용자 조회
시스템은 ExternalSsoId 먼저로 기존 사용자를 찾은 다음 이메일 일치로 폴백합니다. 후속 로그인에서 이메일 일치만 발견되면, 기존 사용자는 IdP에 계정 연결됩니다 — ExternalSsoId가 새 값으로 업데이트되고 이름이 IdP 클레임에서 새로 고쳐집니다.
4
계정 생성
기존 사용자가 발견되지 않으면 학습자 역할로 새 계정이 생성됩니다.
5
좌석 확인
조직에 사용 가능한 좌석이 없는 경우, 로그인이 오류로 거부됩니다. 사용자는 프로비저닝되지 않습니다.
6
교육 시작
사용자가 로그인되고 즉시 교육을 시작할 수 있습니다. 수동 온보딩 단계가 필요하지 않습니다.

생성되는 것

JIT가 새 사용자를 프로비저닝할 때 다음 프로필 필드가 채워집니다:

필드
이메일SSO 응답에서 (NameID 또는 email 속성)
이름SSO 속성에서 (사용 가능한 경우)
역할학습자 (기본값)
인증 방법sso (OIDC와 SAML에 동일한 값 — 프로토콜은 사용자 레코드에 임베드되지 않음)
외부 SSO IDIdP의 고유 식별자
없음 (나중에 할당하거나 SCIM 사용 가능)

좌석 관리

JIT 프로비저닝은 조직의 좌석 한도(maxSeats)를 존중합니다. 새 사용자가 SSO를 통해 로그인을 시도할 때, 시스템은 계정을 생성하기 전에 사용 가능한 좌석이 있는지 확인합니다.

모든 좌석이 사용 중이면 새 사용자는 오류를 보고 프로비저닝될 수 없습니다. 관리자는 대시보드에서 좌석 사용량을 모니터링하고 더 많은 좌석이 필요하면 플랜을 업그레이드해야 합니다.

JIT + SCIM

전체 라이프사이클 관리를 위해 JIT 프로비저닝을 SCIM과 결합하세요:

기능용도
JIT첫 로그인 시 사용자를 생성합니다. 관리자 작업 없이 즉시 액세스합니다.
SCIM사용자 속성, 그룹/팀 할당을 동기화하고 IdP에서 디프로비저닝을 처리합니다.
JIT + SCIMJIT는 첫 액세스 시 사용자를 생성합니다. SCIM은 사용자 데이터, 팀 및 라이프사이클을 앞으로 동기화 상태로 유지합니다.
권장: 최고의 경험을 위해 JIT를 SCIM과 결합하세요. JIT는 초기 액세스를 처리하고, SCIM은 지속적인 라이프사이클 관리를 처리합니다.

사용자 승격

JIT로 생성된 사용자는 항상 학습자 역할을 할당받습니다. JIT는 조직 관리자 계정을 자동으로 생성하는 것을 지원하지 않습니다.

사용자를 조직 관리자로 승격하려면 기존 관리자가 사용자 페이지로 이동하여 사용자의 역할을 수동으로 변경해야 합니다. 이는 SSO 클레임을 통한 권한 상승을 방지하기 위한 의도적인 보안 조치입니다.

JIT 프로비저닝: 자주 묻는 질문

JIT 프로비저닝이 수동 사용자 생성으로는 해결할 수 없는 무엇을 해결합니까?

JIT 프로비저닝은 사용자가 IdP에 추가되는 것과 그 사용자가 교육을 시작할 수 있는 것 사이의 동기 관리자 단계를 제거합니다. 수동 생성에서는 관리자가 이메일로 사용자를 초대하고 좌석을 하나씩 승인해야 합니다 — 규모에서 오류가 발생하기 쉽습니다. JIT 프로비저닝에서는 IdP 애플리케이션 할당이 단일 진실의 출처이며, SecureCodingHub 계정은 첫 SSO 로그인 시 생성됩니다. 이메일 초대도, 중복 계정도, 대기실도 없습니다.

JIT 대 예약된 사용자 액세스 프로비저닝 — SCIM은 언제 필요합니까?

JIT는 요청에 따라 사용자 액세스 프로비저닝을 처리합니다: 사용자가 로그인하는 순간 계정이 생성됩니다. SCIM은 IdP에서 지속적인 업데이트를 처리하는 예약된 푸시입니다 — 그룹 멤버십 변경, 속성 업데이트 및 디프로비저닝입니다. 계정 생성만 필요한 경우 JIT만으로 충분합니다. 사용자 페이지를 클릭하는 SecureCodingHub 관리자 없이 IdP에서 오프보딩이 자동으로 흐르도록 해야 하는 경우 SCIM과 결합하세요.

JIT는 신원 및 액세스 프로비저닝 라이프사이클에서 어디에 적합합니까?

신원 및 액세스 프로비저닝 라이프사이클에서 JIT는 생성 단계를 다룹니다 — 새 신원이 다운스트림 애플리케이션의 계정이 필요한 순간입니다. 초기 단계(신원 생성, 입사자 워크플로, 그룹 할당)는 IdP에 있습니다. 후기 단계(이동, 퇴사자, 디프로비저닝)는 SCIM에서 가장 잘 처리됩니다. JIT를 완전한 라이프사이클 솔루션으로 취급하는 것은 흔한 실수입니다. 그것은 진입로이지 전체 도로가 아닙니다.

JIT 프로비저닝은 안전합니까 — 악의적인 IdP 클레임이 권한을 상승시킬 수 있습니까?

SecureCodingHub의 JIT 구현은 IdP가 방출하는 역할 클레임에 관계없이 항상 학습자 역할로 새 사용자를 프로비저닝합니다. 조직 관리자로의 승격은 SecureCodingHub UI의 기존 관리자에 의한 명시적 작업이 필요합니다. 설계 의도는 조작된 IdP 클레임을 통한 권한 상승을 방지하는 것입니다 — 공격자가 사용자의 IdP 신원을 침해하더라도 JIT만으로 얻는 최악은 테넌트의 학습자 좌석입니다.