Dokümanlar/SSO Yapılandırması/JIT Sağlama

JIT Sağlama

Anında (JIT, Just-In-Time) sağlama, kullanıcılar SSO ile ilk kez giriş yaptıklarında otomatik olarak hesap oluşturur. Manuel kullanıcı oluşturmaya gerek yok — kullanıcılar talep üzerine sağlanır.

Kurulum gerektirmez: JIT sağlama, SSO yapılandırıldığında otomatik olarak etkinleşir. Ek kurulum gerekmez.

JIT Nasıl Çalışır

Bir kullanıcı ilk kez SSO ile giriş yaptığında, SecureCodingHub hesap oluşturmayı otomatik olarak işler:

1
Kullanıcı SSO ile giriş yapar
Bir kullanıcı "SSO ile Giriş Yap"a tıklar ve ilk kez kimlik sağlayıcınız üzerinden kimlik doğrular.
2
Kimlik doğrulama yanıtı alındı
SecureCodingHub, kullanıcının kimlik taleplerini içeren kimlik doğrulama yanıtını IdP'nizden alır.
3
Kullanıcı arama
Sistem önce önce ExternalSsoId'a göre mevcut bir kullanıcıyı arar, sonra e-posta eşleşmesine geri döner. Sonraki bir girişte yalnızca e-posta eşleşmesi bulunursa, mevcut kullanıcı IdP'ye hesap olarak bağlanır — ExternalSsoId yeni değere güncellenir ve adı IdP taleplerinden yenilenir.
4
Hesap oluşturma
Mevcut bir kullanıcı bulunmazsa Öğrenci rolüyle yeni bir hesap oluşturulur.
5
Koltuk kontrolü
Kuruluşun boş koltuğu yoksa giriş bir hatayla reddedilir. Kullanıcı sağlanmaz.
6
Eğitim başlar
Kullanıcı giriş yapar ve hemen eğitime başlayabilir. Manuel hesap açma adımı gerekmez.

Ne Oluşturulur

JIT yeni bir kullanıcıyı sağladığında aşağıdaki profil alanları doldurulur:

AlanDeğer
E-postaSSO yanıtından (NameID veya e-posta özelliği)
AdSSO özelliklerinden (varsa)
RolÖğrenci (varsayılan)
Kimlik Doğrulama Yöntemisso (OIDC ve SAML için aynı değer — protokol kullanıcı kaydında gömülü değildir)
Harici SSO IDIdP'den benzersiz tanımlayıcı
EkipYok (daha sonra atanabilir veya SCIM kullanılabilir)

Koltuk Yönetimi

JIT sağlama, kuruluşunuzun koltuk limitine (maxSeats) saygı gösterir. Yeni bir kullanıcı SSO ile giriş yapmaya çalıştığında, sistem hesap oluşturmadan önce boş koltuk olup olmadığını kontrol eder.

Tüm koltuklar kullanılırsa yeni kullanıcı bir hata görür ve sağlanamaz. Yöneticiler koltuk kullanımını panelden izlemeli ve daha fazla koltuğa ihtiyaçları varsa planlarını yükseltmelidir.

JIT + SCIM

Tam yaşam döngüsü yönetimi için JIT sağlamayı SCIM ile birleştirin:

ÖzellikAmaç
JITİlk girişte kullanıcıları oluşturur. Yönetici aksiyonu gerektirmeden anında erişim.
SCIMKullanıcı özelliklerini, grup/ekip atamalarını senkronize eder ve IdP'nizden hesap kapatmayı işler.
JIT + SCIMJIT, kullanıcıyı ilk erişimde oluşturur. SCIM, kullanıcı verisini, ekipleri ve yaşam döngüsünü ileriye dönük olarak senkronize tutar.
Önerilen: En iyi deneyim için JIT'i SCIM ile birleştirin. JIT ilk erişimi, SCIM sürekli yaşam döngüsü yönetimini üstlenir.

Kullanıcıları Yükseltmek

JIT ile oluşturulan kullanıcılara her zaman Öğrenci rolü atanır. JIT, otomatik olarak Kurum Yöneticisi hesabı oluşturmayı desteklemez.

Bir kullanıcıyı Kurum Yöneticisi'ne yükseltmek için mevcut bir yönetici Kullanıcılar sayfasına gidip kullanıcının rolünü manuel olarak değiştirmelidir. Bu, SSO talepleri yoluyla ayrıcalık yükseltmesini önlemek için bilinçli bir güvenlik önlemidir.

JIT sağlama: sıkça sorulanlar

JIT sağlama, manuel kullanıcı oluşturmanın çözmediği neyi çözer?

JIT sağlama, bir kullanıcının IdP'ye eklenmesi ile o kullanıcının eğitime başlayabilmesi arasındaki eş zamanlı yönetici adımını ortadan kaldırır. Manuel oluşturma ile bir yöneticinin kullanıcıları e-posta ile davet etmesi ve koltukları tek tek onaylaması gerekir — ölçekte hataya açık. JIT sağlama ile IdP uygulama ataması tek doğruluk kaynağıdır ve SecureCodingHub hesabı ilk SSO girişinde oluşturulur. E-posta davetleri, yinelenen hesaplar veya bekleme odası yoktur.

JIT ile zamanlanmış kullanıcı erişim sağlama — SCIM'e ne zaman ihtiyacım olur?

JIT, talep üzerine kullanıcı erişim sağlamayı işler: hesap, kullanıcı giriş yaptığı anda oluşturulur. SCIM ise IdP'den gelen sürekli güncellemeleri — grup üyeliği değişiklikleri, özellik güncellemeleri ve hesap kapatma — işleyen zamanlanmış gönderimdir. Yalnızca hesap oluşturmaya ihtiyacınız varsa JIT tek başına yeterlidir; bir SecureCodingHub yöneticisinin Kullanıcılar sayfasında işlem yapmasına gerek kalmadan hesap kapatmanın IdP'nizden otomatik olarak akmasını istediğinizde SCIM ile birleştirin.

JIT, kimlik ve erişim sağlama yaşam döngüsünde nereye oturur?

Kimlik ve erişim sağlama yaşam döngüsünde JIT, oluşturma aşamasını kapsar — yeni bir kimliğin aşağı akış uygulamasında bir hesaba ihtiyaç duyduğu an. Daha önceki aşamalar (kimlik oluşturma, işe başlama akışları, grup ataması) IdP'de yaşar; sonraki aşamalar (yer değiştirme, ayrılma, hesap kapatma) en iyi SCIM tarafından sunulur. JIT'i tam bir yaşam döngüsü çözümü olarak ele almak yaygın bir hatadır; JIT giriş rampasıdır, yolun tamamı değil.

JIT sağlama güvenli mi — kötü niyetli bir IdP talebi ayrıcalıkları yükseltebilir mi?

SecureCodingHub'ın JIT uygulaması, IdP'nin yaydığı herhangi bir rol talebine bakılmaksızın yeni kullanıcıları her zaman Öğrenci rolüyle sağlar. Kurum Yöneticisi'ne yükseltme, SecureCodingHub UI'sinde mevcut bir yöneticinin açık aksiyonunu gerektirir. Tasarım amacı, manipüle edilmiş IdP talepleri yoluyla ayrıcalık yükseltmesini önlemektir — bir saldırgan bir kullanıcının IdP kimliğini ele geçirse bile yalnızca JIT yoluyla elde edebileceği en kötü şey kiracınızda bir Öğrenci koltuğudur.