"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "necesitas-implementar-la-provisión-just-in-time-para-tu-producto", "hProperties": { "id": "necesitas-implementar-la-provisión-just-in-time-para-tu-producto" } }, "depth": 2, "value": "¿Necesitas implementar la provisión Just-in-Time para tu producto?" }, { "data": { "id": "incorporación-rápida", "hProperties": { "id": "incorporación-rápida" } }, "depth": 3, "value": "Incorporación rápida" }, { "data": { "id": "fusiones-adquisiciones-y-trabajadores-temporales", "hProperties": { "id": "fusiones-adquisiciones-y-trabajadores-temporales" } }, "depth": 3, "value": "Fusiones, adquisiciones y trabajadores temporales" }, { "data": { "id": "es-específico-para-saml-y-enterprise-sso", "hProperties": { "id": "es-específico-para-saml-y-enterprise-sso" } }, "depth": 2, "value": "¿Es específico para SAML y Enterprise SSO?" }, { "data": { "id": "aplica-a-nuevos-o-existentes-usuarios-de-la-aplicación", "hProperties": { "id": "aplica-a-nuevos-o-existentes-usuarios-de-la-aplicación" } }, "depth": 2, "value": "¿Aplica a nuevos o existentes usuarios de la aplicación?" }, { "data": { "id": "cuál-es-la-diferencia-entre-jit-y-scim", "hProperties": { "id": "cuál-es-la-diferencia-entre-jit-y-scim" } }, "depth": 2, "value": "¿Cuál es la diferencia entre JIT y SCIM?" }, { "data": { "id": "provisión-just-in-time-en-logto", "hProperties": { "id": "provisión-just-in-time-en-logto" } }, "depth": 2, "value": "Provisión Just-in-Time en Logto" }, { "data": { "id": "provisión-por-sso-empresarial", "hProperties": { "id": "provisión-por-sso-empresarial" } }, "depth": 3, "value": "Provisión por SSO empresarial" }, { "data": { "id": "provisión-por-dominio-de-correo-electrónico", "hProperties": { "id": "provisión-por-dominio-de-correo-electrónico" } }, "depth": 3, "value": "Provisión por dominio de correo electrónico" }, { "data": { "id": "flujo-de-correo-electrónico", "hProperties": { "id": "flujo-de-correo-electrónico" } }, "depth": 4, "value": "Flujo de correo electrónico" }, { "data": { "id": "flujo-social", "hProperties": { "id": "flujo-social" } }, "depth": 4, "value": "Flujo social" }, { "data": { "id": "manejo-de-posibles-conflictos-entre-la-provisión-por-dominio-de-correo-electrónico-y-el-sso-empresarial", "hProperties": { "id": "manejo-de-posibles-conflictos-entre-la-provisión-por-dominio-de-correo-electrónico-y-el-sso-empresarial" } }, "depth": 4, "value": "Manejo de posibles conflictos entre la provisión por dominio de correo electrónico y el SSO empresarial" }, { "data": { "id": "roles-predeterminados-de-organización", "hProperties": { "id": "roles-predeterminados-de-organización" } }, "depth": 3, "value": "Roles predeterminados de organización" }, { "data": { "id": "actualización-just-in-time-por-sso-empresarial", "hProperties": { "id": "actualización-just-in-time-por-sso-empresarial" } }, "depth": 2, "value": "Actualización Just-in-Time por SSO empresarial" }]; const readingTime = { "minutes": 8, "words": 2455, "text": "8 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", em: "em", h2: "h2", h3: "h3", h4: "h4", img: "img", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", strong: "strong", table: "table", tbody: "tbody", td: "td", th: "th", thead: "thead", tr: "tr", ul: "ul", ..._provideComponents(), ...props.components }, {LogtoCloudButton, Note} = _components; if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "Antes de discutir la provisión Just-in-Time, imagina que estás construyendo una aplicación SaaS para B2B y quieres soportar funciones de membresía, permitiendo a los miembros unirse fácilmente a tu espacio de trabajo (inquilino). ¿Qué características propondrías? Aquí tienes una lista de verificación:" }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Escenario" }), _jsx(_components.th, { children: "Flujo" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Invitación de admin" }), _jsx(_components.td, { children: "Los usuarios pueden recibir una invitación por correo electrónico para unirse a la organización." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Creación o importación de usuarios por API de gestión" }), _jsx(_components.td, { children: "Los usuarios pueden usar una cuenta de usuario pre-creada para unirse a la organización." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Provisión Just-in-Time" }), _jsx(_components.td, { children: "Los usuarios que inician sesión en la aplicación por primera vez pueden unirse a la organización." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Sincronización de Directorio (por ej., SCIM)" }), _jsx(_components.td, { children: "Utiliza la funcionalidad de sincronización de directorios del IdP para pre-provisionar usuarios en la aplicación por adelantado." })] })] })] }), "\n", _jsx(_components.p, { children: "La provisión Just-in-Time (JIT) es un proceso utilizado en sistemas de gestión de identidad y acceso para crear cuentas de usuario sobre la marcha cuando inician sesión en un sistema por primera vez. En lugar de pre-provisionar cuentas para los usuarios por adelantado, la provisión JIT crea y configura dinámicamente las cuentas de usuario necesarias cuando un usuario se autentica.\nLa provisión just-in-time es una característica popular con sus propias características, como eficiencia, sin intervención administrativa y membresía automatizada en la organización, etc.\nAhora que entiendes los conceptos básicos de la provisión Just-in-Time, podrías tener varias preguntas a medida que profundizas en el desarrollo de productos en el mundo real. Abordaré estas preguntas, que pueden ser controvertidas y altamente dependientes de tus casos de negocio específicos." }), "\n", _jsxs(_components.h2, { id: "necesitas-implementar-la-provisión-just-in-time-para-tu-producto", children: ["¿Necesitas implementar la provisión Just-in-Time para tu producto?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#necesitas-implementar-la-provisión-just-in-time-para-tu-producto", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Estos casos son comunes al construir una aplicación B2B que involucra arquitectura multi-inquilino, SSO empresarial, trabajar con empresas o requerir funciones de incorporación de equipos. Aquí hay algunos escenarios de muestra que tu cliente podría encontrar." }), "\n", _jsxs(_components.h3, { id: "incorporación-rápida", children: ["Incorporación rápida", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#incorporación-rápida", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Tienes un cliente que experimenta contrataciones frecuentes o un crecimiento rápido, y puede usar la provisión JIT para configurar rápidamente cuentas de usuario para los nuevos empleados. Tomemos un ejemplo:" }), "\n", _jsxs(_components.p, { children: ["Sarah es una nueva empleada en la empresa ", _jsx(_components.code, { children: "SuperFantasy" }), ", que utiliza ", _jsx(_components.code, { children: "Okta" }), " como su proveedor de identidad empresarial. El equipo de RRHH la agrega como una identidad empresarial ", _jsx(_components.code, { children: "sarah@superfantacy.com" }), " en Okta solo una vez. Cuando Sarah utiliza este correo electrónico para iniciar sesión en una aplicación de productividad corporativa llamada ", _jsx(_components.code, { children: "Smartworkspace" }), " por primera vez, el sistema crea automáticamente una cuenta y le asigna el rol adecuado dentro del espacio de trabajo de la empresa. De esta manera, ni Sarah ni el equipo de RRHH en SuperFantasy necesitan realizar múltiples pasos para la creación de la cuenta y la asignación de roles."] }), "\n", _jsxs(_components.h3, { id: "fusiones-adquisiciones-y-trabajadores-temporales", children: ["Fusiones, adquisiciones y trabajadores temporales", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#fusiones-adquisiciones-y-trabajadores-temporales", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Tienes un cliente que está experimentando fusiones o adquiriendo otras empresas, la provisión JIT puede simplificar el proceso de otorgar acceso a los sistemas de la empresa adquiriente para muchos nuevos usuarios. Tomemos otro ejemplo," }), "\n", _jsxs(_components.p, { children: ["Peter trabaja para ", _jsx(_components.code, { children: "MagicTech" }), ", que fue recientemente adquirida por ", _jsx(_components.code, { children: "SuperFantasy" }), ". MagicTech es una organización más pequeña sin SSO empresarial, pero también utiliza ", _jsx(_components.code, { children: "Smartworkspace" }), " donde Peter ya tiene una cuenta comercial."] }), "\n", _jsxs(_components.p, { children: ["El equipo de RRHH puede agregar a Peter en ", _jsx(_components.code, { children: "Okta" }), ". Cuando Peter inicia sesión en Smartworkspace por primera vez a través de Okta, el sistema automáticamente vincula su cuenta comercial existente y le otorga el acceso apropiado a SuperFantasy."] }), "\n", _jsx(_components.p, { children: "Los escenarios anteriores son ideales para implementar la función JIT." }), "\n", _jsxs(_components.h2, { id: "es-específico-para-saml-y-enterprise-sso", children: ["¿Es específico para SAML y Enterprise SSO?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#es-específico-para-saml-y-enterprise-sso", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "La provisión just-in-time (JIT) a menudo se asocia con el inicio de sesión único (SSO) en la autenticación SAML, pero no es exclusivo de SAML. La provisión JIT también se puede utilizar con otros protocolos de autenticación como OAuth 2.0 y OpenID Connect, y no siempre requiere una configuración de SSO empresarial." }), "\n", _jsx(_components.p, { children: "Por ejemplo, la provisión JIT basada en correo electrónico puede agilizar la incorporación de equipos al agregar automáticamente usuarios a un espacio de trabajo basado en su dominio de correo electrónico. Esto es particularmente útil para organizaciones que carecen del presupuesto y los recursos para comprar y gestionar un SSO empresarial." }), "\n", _jsx(_components.p, { children: "La idea fundamental detrás de la provisión JIT es automatizar la creación o actualización de cuentas de usuario cuando un usuario intenta acceder a un servicio por primera vez, independientemente del protocolo específico utilizado." }), "\n", _jsxs(_components.h2, { id: "aplica-a-nuevos-o-existentes-usuarios-de-la-aplicación", children: ["¿Aplica a nuevos o existentes usuarios de la aplicación?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#aplica-a-nuevos-o-existentes-usuarios-de-la-aplicación", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Esta es una pregunta complicada. La provisión just-in-time (JIT) generalmente se refiere al primer intento de acceder a una aplicación. Sin embargo, diferentes productos perciben esta funcionalidad de manera diferente. Algunos usan la provisión JIT solo para la creación de identidad y cuenta, mientras que otros también incluyen actualizaciones de cuentas just-in-time, como reprovisionamiento y sincronización de atributos." }), "\n", _jsx(_components.p, { children: "Además de la creación automática de usuarios, la provisión JIT de SAML permite otorgar y revocar membresías de grupo como parte de la provisión. También puede actualizar usuarios provisionados para mantener sus atributos en el almacén del Proveedor de Servicios (SP) en sincronía con los atributos del almacén de usuarios del Proveedor de Identidad (IDP)." }), "\n", _jsx(_components.p, { children: "Por ejemplo, en Oracle Cloud, la provisión just-in-time se puede configurar de diversas maneras." }), "\n", _jsxs(_components.ol, { children: ["\n", _jsx(_components.li, { children: "Creación just-in-time" }), "\n", _jsx(_components.li, { children: "Actualización just-in-time" }), "\n"] }), "\n", _jsx(_components.p, { children: _jsx(_components.a, { href: "https://docs.oracle.com/en/cloud/paas/identity-cloud/uaids/understand-saml-just-time-provisioning.html", children: "Administrar Oracle Identity Cloud Service: Comprender la provisión just-in-time de SAML." }) }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Cuando el usuario inicia sesión:" }), _jsx(_components.th, { children: "Flujo" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Existe y la provisión JIT está habilitada." }), _jsx(_components.td, { children: "Flujo de fallo de SSO normal." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "No existe y la creación JIT está habilitada." }), _jsx(_components.td, { children: "El usuario es creado y poblado con los atributos de la aserción SAML, como se mapeó en la configuración JIT." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Existe y la actualización JIT está habilitada." }), _jsx(_components.td, { children: "Los valores de los atributos del usuario se actualizan con los atributos de aserción SAML, como se mapeó en la configuración JIT." })] })] })] }), "\n", _jsx(_components.p, { children: "Si deseas considerar el escenario posterior de inicio de sesión de usuario existente, asegúrate de tener un sistema de provisión robusto junto con tu sistema JIT. Por ejemplo," }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Resolución de conflictos" }), ": Tu sistema debe tener una estrategia para manejar conflictos si ya existe una cuenta con información diferente a la proporcionada por el IdP durante el proceso JIT. Esto puede requerir un control detallado de las políticas de tu organización y la configuración del IdP."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Registros de auditoría" }), ": Es importante mantener registros tanto de las nuevas creaciones de cuentas como de las actualizaciones de cuentas existentes a través de procesos JIT por razones de seguridad y cumplimiento."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Rendimiento" }), ": Aunque la provisión JIT ocurre rápidamente, considera el impacto potencial en los tiempos de inicio de sesión, especialmente para los usuarios existentes si estás actualizando su información en cada inicio de sesión."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Consistencia de datos" }), ": Asegúrate de que tu proceso de provisión JIT mantenga la consistencia de los datos, especialmente al actualizar cuentas de usuario existentes."] }), "\n"] }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Logto ofrece control básico de actualizaciones just-in-time a nivel de SSO empresarial. Cubriremos esto\nen más detalle más adelante en el artículo. ", _jsx(_components.a, { href: "#just-in-time-provisioning-in-logto", children: "Aprende más" }), "👇"] }) }), "\n", _jsxs(_components.h2, { id: "cuál-es-la-diferencia-entre-jit-y-scim", children: ["¿Cuál es la diferencia entre JIT y SCIM?", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#cuál-es-la-diferencia-entre-jit-y-scim", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Además de la provisión just-in-time (JIT), es posible que hayas oído hablar de SCIM (System for Cross-domain Identity Management). SCIM es un protocolo estándar abierto diseñado para simplificar y automatizar la gestión de identidades de usuarios en diferentes sistemas y dominios. Se utiliza comúnmente en escenarios de sincronización de directorios." }), "\n", _jsx(_components.p, { children: "La principal diferencia entre JIT y SCIM es que JIT crea cuentas durante el intento de inicio de sesión del usuario, mientras que SCIM puede provisionar usuarios a través de un proceso automatizado fuera de línea, independiente de los intentos de inicio de sesión del usuario." }), "\n", _jsx(_components.p, { children: "Esto significa que JIT se enfoca en la incorporación de nuevos usuarios, mientras que SCIM se enfoca en la gestión del ciclo de vida completo de los usuarios." }), "\n", _jsx(_components.p, { children: "Además, JIT a menudo es una extensión de SAML y carece de una implementación estandarizada en diferentes sistemas, mientras que SCIM es un protocolo bien definido y estandarizado (RFC 7644) para la gestión de identidades." }), "\n", _jsx(_components.p, { children: "Algunas organizaciones más grandes usan SCIM para la provisión de cuentas, integrándolo con sus propios sistemas. Esto puede ser muy complejo y varía caso por caso. Estas organizaciones a menudo tienen un sistema de provisión que involucra tanto procesos automatizados como la intervención de un administrativo." }), "\n", _jsxs(_components.h2, { id: "provisión-just-in-time-en-logto", children: ["Provisión Just-in-Time en Logto", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#provisión-just-in-time-en-logto", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.strong, { children: "Provisión Just-in-Time por SSO" }), " y ", _jsx(_components.strong, { children: "Provisión Just-in-Time por dominio de correo electrónico" }), " son lo que abrazamos en Logto."] }), "\n", _jsx(_components.p, { children: "En Logto, tenemos este conjunto de características a nivel de organización que permite a los usuarios unirse automáticamente a la organización y recibir asignaciones de roles si cumplen con criterios específicos." }), "\n", _jsx(_components.p, { children: "Implementamos la característica JIT en su nivel más escalable y seguro para simplificar y automatizar el proceso de provisión para los desarrolladores que incorporan a sus clientes. Sin embargo, como discutimos anteriormente, dado que los sistemas de provisión pueden ser complejos y adaptados a las necesidades específicas de tus clientes, debes aprovechar las funciones JIT pre-construidas de Logto, tu diseño cuidadoso del sistema y la API de gestión de Logto para construir un sistema de provisión robusto." }), "\n", _jsx(_components.p, { children: "Veamos este diagrama para ver cómo funciona en Logto," }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "stateDiagram-v2\ndirection LR\n\nclassDef provision font-weight: bold, stroke-width: 2px;\nclass sso_provision, email_provision provision\n\nstate has_account <>\nauthentication: Usuario
autenticación\nsign_in: Iniciar sesión\ncreate_account: Crear cuenta\nstate is_sso_1 <>\nstate is_sso_2 <>\nsso_provision: Provisión por
SSO empresarial\nemail_provision: Provisión por
dominio de correo electrónico\n\n[*] --> authentication\nauthentication --> has_account: ¿Usuario existe?\nhas_account --> sign_in: Sí\nhas_account --> create_account: No\nsign_in --> is_sso_1: ¿Es SSO
y primera vez?\nis_sso_1 --> [*]: No\nis_sso_1 --> sso_provision: Sí\ncreate_account --> is_sso_2: ¿Es SSO?\nis_sso_2 --> sso_provision: Sí\nsso_provision --> [*]\nis_sso_2 --> email_provision: No\nemail_provision --> [*]\n" }) }), "\n", _jsx(Note, { children: _jsx(_components.p, { children: "La provisión just-in-time (JIT) solo se activa para acciones iniciadas por el usuario y no afecta\nlas interacciones con la API de gestión de Logto." }) }), "\n", _jsxs(_components.h3, { id: "provisión-por-sso-empresarial", children: ["Provisión por SSO empresarial", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#provisión-por-sso-empresarial", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Si tienes el SSO empresarial configurado en Logto, puedes seleccionar el SSO empresarial de tu organización para habilitar la provisión just-in-time." }), "\n", _jsxs(_components.p, { children: ["Los usuarios nuevos o existentes que inicien sesión a través del SSO empresarial ", _jsx(_components.strong, { children: _jsx(_components.em, { children: "por primera vez" }) }), " se unirán automáticamente a la organización y obtendrán roles de organización predeterminados."] }), "\n", _jsx(_components.p, { children: "La siguiente tabla describe los posibles flujos:" }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Estado del usuario" }), _jsx(_components.th, { children: "Descripción del flujo" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "El usuario no existe, y JIT está habilitado." }), _jsx(_components.td, { children: "El usuario es creado y se une automáticamente a la organización correspondiente con los roles adecuados." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "El usuario existe con la misma dirección de correo electrónico verificada que el SSO empresarial, y JIT está habilitado." }), _jsx(_components.td, { children: "La dirección de correo electrónico del usuario se vincula automáticamente con la cuenta de SSO empresarial, y se une a la organización correspondiente con los roles adecuados." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "El usuario no existe, y JIT no está habilitado." }), _jsx(_components.td, { children: "Flujo normal de fallo de SSO." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "El usuario existe, y JIT no está habilitado." }), _jsx(_components.td, { children: "Flujo normal de SSO." })] })] })] }), "\n", _jsx(_components.p, { children: _jsx(_components.img, { src: "https://uploads.strapi.logto.io/1/sso_provisioning_e891f182b8.webp", alt: "Provisión por SSO" }) }), "\n", _jsxs(_components.h3, { id: "provisión-por-dominio-de-correo-electrónico", children: ["Provisión por dominio de correo electrónico", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#provisión-por-dominio-de-correo-electrónico", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Si una organización no tiene un SSO empresarial dedicado, puedes usar dominios de correo electrónico para habilitar la provisión Just-in-Time. Esto generalmente ocurre en empresas más pequeñas que no tienen el presupuesto para SSO empresarial pero aún quieren algún nivel de automatización de incorporación de miembros y gestión de seguridad." }), "\n", _jsx(_components.p, { children: "Cuando los usuarios se registran, si sus direcciones de correo electrónico verificadas coinciden con los dominios de correo electrónico configurados a nivel de organización, serán provisionados a la(s) organización(es) correspondiente(s) con los roles adecuados." }), "\n", _jsx(_components.p, { children: _jsx(_components.img, { src: "https://uploads.strapi.logto.io/1/email_provisioning_ab643053fd.webp", alt: "Provisión por dominio de correo electrónico" }) }), "\n", _jsx(_components.p, { children: "La provisión por dominio de correo electrónico funciona para:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsx(_components.li, { children: "Autenticación por registro con correo electrónico" }), "\n", _jsx(_components.li, { children: "Autenticación por registro social" }), "\n"] }), "\n", _jsxs(Note, { title: "¿Por qué la provisión por dominio de correo electrónico no se aplica al proceso de inicio de sesión de usuarios existentes?", children: [_jsx(_components.p, { children: "El inicio de sesión de usuarios existentes requiere un control adicional para determinar si pueden ser provisionados a una organización específica o recibir un rol. Este proceso es dinámico y depende de casos de uso y necesidades de negocio específicas, como estrategias de inicio de sesión posterior y políticas a nivel de organización." }), _jsx(_components.p, { children: "Por ejemplo, si habilitas la provisión por dominio de correo electrónico para un usuario existente y luego quieres incorporar a otro grupo de usuarios con un rol diferente, ¿debería asignarse el nuevo rol que configuraste al usuario previamente incorporado?" }), _jsx(_components.p, { children: "Esto crea un escenario complejo para las “actualizaciones Just-in-Time”. El comportamiento exacto a menudo depende de cómo estén configurados la aplicación, la configuración de la organización y la integración del IdP. Damos este control a nuestros desarrolladores, permitiéndote diseñar libremente tu sistema de provisión y manejar los escenarios más frecuentes para la creación de nuevas cuentas e incorporación de organizaciones." })] }), "\n", _jsxs(_components.h4, { id: "flujo-de-correo-electrónico", children: ["Flujo de correo electrónico", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#flujo-de-correo-electrónico", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Estado del usuario" }), _jsx(_components.th, { children: "Descripción del flujo" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "El usuario no existe y se registra con correo electrónico, y JIT está habilitado." }), _jsx(_components.td, { children: "El usuario es creado y se une automáticamente a la organización correspondiente con los roles adecuados." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "El usuario existe con la misma dirección de correo electrónico verificada que el dominio de correo provisionado, y JIT está habilitado." }), _jsx(_components.td, { children: "Flujo normal de inicio de sesión por correo electrónico." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "El usuario no existe y se registra con correo electrónico, y JIT no está habilitado." }), _jsx(_components.td, { children: "Flujo normal de registro por correo electrónico." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "El usuario existe y se registra con correo electrónico, y JIT no está habilitado." }), _jsx(_components.td, { children: "Flujo normal de inicio de sesión por correo electrónico." })] })] })] }), "\n", _jsxs(_components.h4, { id: "flujo-social", children: ["Flujo social", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#flujo-social", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Estado del usuario" }), _jsx(_components.th, { children: "Descripción del flujo" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "El usuario no existe, se registra con cuenta social utilizando un correo verificado, y JIT está habilitado." }), _jsx(_components.td, { children: "El usuario es creado y se une automáticamente a la organización correspondiente con los roles adecuados." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "El usuario no existe, se registra con cuenta social utilizando un correo no verificado o sin correo, y JIT está habilitado." }), _jsx(_components.td, { children: "Flujo normal de registro social." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "El usuario existe con la misma dirección de correo electrónico verificada que el dominio de correo provisionado, inicia sesión a través de cuenta social, y JIT está habilitado." }), _jsx(_components.td, { children: "Flujo normal de inicio de sesión social." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "El usuario no existe, se registra con cuenta social, y JIT no está habilitado." }), _jsx(_components.td, { children: "Flujo normal de registro social." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "El usuario existe, inicia sesión con cuenta social, y JIT no está habilitado." }), _jsx(_components.td, { children: "Flujo normal de inicio de sesión social." })] })] })] }), "\n", _jsxs(_components.h4, { id: "manejo-de-posibles-conflictos-entre-la-provisión-por-dominio-de-correo-electrónico-y-el-sso-empresarial", children: ["Manejo de posibles conflictos entre la provisión por dominio de correo electrónico y el SSO empresarial", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#manejo-de-posibles-conflictos-entre-la-provisión-por-dominio-de-correo-electrónico-y-el-sso-empresarial", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Si configuraste inicialmente la provisión por dominio de correo electrónico y luego configuraste un SSO empresarial con el mismo dominio de correo electrónico, esto es lo que sucede:" }), "\n", _jsx(_components.p, { children: "Cuando un usuario ingresa su dirección de correo electrónico, será redirigido al flujo de SSO, omitiendo la autenticación por correo electrónico. Esto significa que el proceso JIT no se activará." }), "\n", _jsx(_components.p, { children: "Para abordar esto, mostraremos un mensaje de advertencia durante la configuración. Asegúrate de manejar este flujo seleccionando el SSO correcto para habilitar la provisión just-in-time, y no confíes en la provisión por dominio de correo electrónico." }), "\n", _jsx(_components.p, { children: _jsx(_components.img, { src: "https://uploads.strapi.logto.io/1/jit_conflict_fafd37643c.webp", alt: "Resolución de conflictos" }) }), "\n", _jsxs(_components.h3, { id: "roles-predeterminados-de-organización", children: ["Roles predeterminados de organización", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#roles-predeterminados-de-organización", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Al provisionar usuarios, puedes establecer sus roles predeterminados en la organización. La lista de roles proviene de la plantilla de la organización, y puedes elegir un rol o dejarlo en blanco." }), "\n", _jsxs(_components.h2, { id: "actualización-just-in-time-por-sso-empresarial", children: ["Actualización Just-in-Time por SSO empresarial", _jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#actualización-just-in-time-por-sso-empresarial", children: _jsx(_components.span, { children: "#" }) })] }), "\n", _jsx(_components.p, { children: "Afortunadamente, ¡ya tenemos esta función incorporada en el SSO empresarial! Puedes elegir si la información de perfil se sincroniza con Logto en el primer inicio de sesión o en cada inicio de sesión. También consideraremos agregar más funciones como mapeo de roles y organización y reprovisionamiento en el futuro." }), "\n", _jsxs(_components.p, { children: [_jsx(_components.img, { src: "https://uploads.strapi.logto.io/1/sso_jit_update_f4dbf156a8.webp", alt: "Actualización JIT por SSO" }), "\nConsulta ", _jsx(_components.a, { href: "https://docs.logto.io/docs/recipes/single-sign-on/configure-sso/#step-3-customize-sso-experience-and-email-domain", children: "esto" }), " para aprender más."] }), "\n", _jsx(_components.p, { children: "La función Just-in-Time está disponible de inmediato en Logto. Regístrate en Logto hoy y comienza a automatizar la incorporación de clientes a la membresía." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }