"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "as-tu-besoin-de-mettre-en-œuvre-le-provisionnement-just-in-time-pour-ton-produit-", "hProperties": { "id": "as-tu-besoin-de-mettre-en-œuvre-le-provisionnement-just-in-time-pour-ton-produit-" } }, "depth": 2, "value": "As-tu besoin de mettre en œuvre le provisionnement Just-in-Time pour ton produit ?" }, { "data": { "id": "intégration-rapide", "hProperties": { "id": "intégration-rapide" } }, "depth": 3, "value": "Intégration rapide" }, { "data": { "id": "fusions-acquisitions-et-travailleurs-temporaires", "hProperties": { "id": "fusions-acquisitions-et-travailleurs-temporaires" } }, "depth": 3, "value": "Fusions, acquisitions et travailleurs temporaires" }, { "data": { "id": "est-ce-spécifique-à-saml-et-sso-dentreprise-", "hProperties": { "id": "est-ce-spécifique-à-saml-et-sso-dentreprise-" } }, "depth": 2, "value": "Est-ce spécifique à SAML et SSO d'entreprise ?" }, { "data": { "id": "sapplique-t-il-aux-nouveaux-utilisateurs-ou-aux-utilisateurs-existants-de-lapplication-", "hProperties": { "id": "sapplique-t-il-aux-nouveaux-utilisateurs-ou-aux-utilisateurs-existants-de-lapplication-" } }, "depth": 2, "value": "S'applique-t-il aux nouveaux utilisateurs ou aux utilisateurs existants de l'application ?" }, { "data": { "id": "quelle-est-la-différence-entre-jit-et-scim-", "hProperties": { "id": "quelle-est-la-différence-entre-jit-et-scim-" } }, "depth": 2, "value": "Quelle est la différence entre JIT et SCIM ?" }, { "data": { "id": "provisionnement-just-in-time-dans-logto", "hProperties": { "id": "provisionnement-just-in-time-dans-logto" } }, "depth": 2, "value": "Provisionnement Just-in-Time dans Logto" }, { "data": { "id": "provisionnement-sso-dentreprise", "hProperties": { "id": "provisionnement-sso-dentreprise" } }, "depth": 3, "value": "Provisionnement SSO d'entreprise" }, { "data": { "id": "provisionnement-par-domains-demails", "hProperties": { "id": "provisionnement-par-domains-demails" } }, "depth": 3, "value": "Provisionnement par domains d'emails" }, { "data": { "id": "flux-demails", "hProperties": { "id": "flux-demails" } }, "depth": 4, "value": "Flux d'emails" }, { "data": { "id": "flux-sociaux", "hProperties": { "id": "flux-sociaux" } }, "depth": 4, "value": "Flux sociaux" }, { "data": { "id": "gestion-du-provisionnement-par-domaine-demail-et-le-conflit-potentiel-avec-le-sso-dentreprise", "hProperties": { "id": "gestion-du-provisionnement-par-domaine-demail-et-le-conflit-potentiel-avec-le-sso-dentreprise" } }, "depth": 4, "value": "Gestion du provisionnement par domaine d'email et le conflit potentiel avec le SSO d'entreprise" }, { "data": { "id": "rôles-organisationnels-par-défaut", "hProperties": { "id": "rôles-organisationnels-par-défaut" } }, "depth": 3, "value": "Rôles organisationnels par défaut" }, { "data": { "id": "mise-à-jour-just-in-time-par-sso-dentreprise", "hProperties": { "id": "mise-à-jour-just-in-time-par-sso-dentreprise" } }, "depth": 2, "value": "Mise à jour Just-in-Time par SSO d'entreprise" }]; const readingTime = { "minutes": 9, "words": 2612, "text": "9 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", em: "em", h2: "h2", h3: "h3", h4: "h4", img: "img", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", strong: "strong", table: "table", tbody: "tbody", td: "td", th: "th", thead: "thead", tr: "tr", ul: "ul", ..._provideComponents(), ...props.components }, {LogtoCloudButton, Note} = _components; if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "Avant de discuter du provisionnement Just-in-Time, imagine que tu construis une application SaaS B2B et que tu veux prendre en charge les fonctionnalités d'abonnement, permettant aux membres de rejoindre facilement ton espace de travail (locataire). Quelles fonctionnalités proposerais-tu ? Voici une liste de contrôle pour toi :" }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Scénario" }), _jsx(_components.th, { children: "Flux" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Invitation administrateur" }), _jsx(_components.td, { children: "Les utilisateurs peuvent recevoir une invitation par email pour rejoindre l'organisation." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Création ou importation d'utilisateur API de gestion" }), _jsx(_components.td, { children: "Les utilisateurs peuvent utiliser un compte utilisateur pré-créé pour rejoindre l'organisation." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Provisionnement Just-in-Time" }), _jsx(_components.td, { children: "Les utilisateurs qui se connectent à l'application pour la première fois peuvent rejoindre l'organisation." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Synchronisation de répertoire (ex. SCIM)" }), _jsx(_components.td, { children: "Utilisez la fonctionnalité de synchronisation de répertoire (Directory Sync) de l'IdP pour provisionner les utilisateurs dans l'application à l'avance." })] })] })] }), "\n", _jsx(_components.p, { children: "Le provisionnement Just-in-Time (JIT) est un processus utilisé dans les systèmes de gestion des identités et des accès pour créer des comptes utilisateurs à la volée lorsqu'ils se connectent à un système pour la première fois. Au lieu de provisionner les comptes utilisateurs à l'avance, le provisionnement JIT crée et configure les comptes nécessaires dynamiquement lorsque l'utilisateur s'authentifie.\nLe provisionnement Just-in-Time est une fonctionnalité populaire avec ses propres caractéristiques, telles que l'efficacité, l'absence d'intervention administrative et l'automatisation de l'adhésion à l'organisation, etc.\nMaintenant que tu comprends les bases du provisionnement Just-in-Time, tu pourrais avoir plusieurs questions en te plongeant plus profondément dans le développement de produits dans le monde réel. Je vais aborder ces questions, qui peuvent être controversées et dépendent fortement de tes cas d'affaires spécifiques." }), "\n", _jsxs(_components.h2, { id: "as-tu-besoin-de-mettre-en-œuvre-le-provisionnement-just-in-time-pour-ton-produit-", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#as-tu-besoin-de-mettre-en-œuvre-le-provisionnement-just-in-time-pour-ton-produit-", children: _jsx(_components.span, { children: "#" }) }), "As-tu besoin de mettre en œuvre le provisionnement Just-in-Time pour ton produit ?"] }), "\n", _jsx(_components.p, { children: "Ces cas sont courants lors de la création d'une application B2B impliquant une architecture multi-locataire, SSO d'entreprise, travail avec des entreprises ou nécessitant des fonctionnalités d'intégration d'équipe. Voici quelques scénarios d'exemple que ton client pourrait rencontrer." }), "\n", _jsxs(_components.h3, { id: "intégration-rapide", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#intégration-rapide", children: _jsx(_components.span, { children: "#" }) }), "Intégration rapide"] }), "\n", _jsx(_components.p, { children: "Tu as un client qui connaît une croissance rapide ou des embauches fréquentes peut utiliser le provisionnement JIT pour configurer rapidement les comptes utilisateurs pour les nouveaux employés. Prenons un exemple :" }), "\n", _jsxs(_components.p, { children: ["Sarah est une nouvelle employée chez ", _jsx(_components.code, { children: "SuperFantasy" }), ", qui utilise ", _jsx(_components.code, { children: "Okta" }), " comme fournisseur d'identité d'entreprise. L'équipe RH l'ajoute en tant qu'identité d'entreprise ", _jsx(_components.code, { children: "sarah@superfantacy.com" }), " dans Okta une seule fois. Lorsque Sarah utilise cet email pour se connecter à une application de productivité utilisée par l'entreprise appelée ", _jsx(_components.code, { children: "Smartworkspace" }), " pour la première fois, le système crée automatiquement un compte et provisionne le rôle approprié pour elle au sein de l'espace de travail de l'entreprise. De cette manière, ni Sarah ni l'équipe RH de SuperFantasy n'ont à passer par plusieurs étapes pour la création de compte et l'attribution de rôle."] }), "\n", _jsxs(_components.h3, { id: "fusions-acquisitions-et-travailleurs-temporaires", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#fusions-acquisitions-et-travailleurs-temporaires", children: _jsx(_components.span, { children: "#" }) }), "Fusions, acquisitions et travailleurs temporaires"] }), "\n", _jsx(_components.p, { children: "Tu as un client qui connaît des fusions ou des acquisitions, le provisionnement JIT peut simplifier le processus d'octroi d'accès aux systèmes de l'entreprise acquérante pour de nombreux nouveaux utilisateurs. Prenons un autre exemple:" }), "\n", _jsxs(_components.p, { children: ["Peter travaille pour ", _jsx(_components.code, { children: "MagicTech" }), ", qui a récemment été acquis par ", _jsx(_components.code, { children: "SuperFantasy" }), ". MagicTech est une plus petite organisation sans SSO d'entreprise mais utilise également ", _jsx(_components.code, { children: "Smartworkspace" }), " où Peter a déjà un compte professionnel."] }), "\n", _jsxs(_components.p, { children: ["L'équipe RH peut ajouter Peter dans ", _jsx(_components.code, { children: "Okta" }), ". Lorsque Peter se connecte à Smartworkspace pour la première fois via Okta, le système lie automatiquement son compte professionnel existant et accorde l'accès approprié à SuperFantasy."] }), "\n", _jsx(_components.p, { children: "Les scénarios ci-dessus sont idéaux pour implémenter la fonctionnalité JIT." }), "\n", _jsxs(_components.h2, { id: "est-ce-spécifique-à-saml-et-sso-dentreprise-", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#est-ce-spécifique-à-saml-et-sso-dentreprise-", children: _jsx(_components.span, { children: "#" }) }), "Est-ce spécifique à SAML et SSO d'entreprise ?"] }), "\n", _jsx(_components.p, { children: "Le provisionnement Just-in-Time (JIT) est souvent associé à la connexion unique (SSO) dans l'authentification SAML, mais il n'est pas exclusif à SAML. Le provisionnement JIT peut également être utilisé avec d'autres protocoles d'authentification comme OAuth 2.0 et OpenID Connect, et il ne nécessite pas toujours une configuration SSO d'entreprise." }), "\n", _jsx(_components.p, { children: "Par exemple, le provisionnement JIT basé sur l'email peut simplifier l'intégration d'équipe en ajoutant automatiquement les utilisateurs à un espace de travail en fonction de leur domaine de messagerie. Cela est particulièrement utile pour les organisations qui n'ont pas le budget et les ressources pour acheter et gérer un SSO d'entreprise." }), "\n", _jsx(_components.p, { children: "L'idée fondamentale derrière le provisionnement JIT est d'automatiser la création ou la mise à jour des comptes utilisateurs lorsque l'utilisateur tente d'accéder à un service pour la première fois, quel que soit le protocole utilisé." }), "\n", _jsxs(_components.h2, { id: "sapplique-t-il-aux-nouveaux-utilisateurs-ou-aux-utilisateurs-existants-de-lapplication-", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#sapplique-t-il-aux-nouveaux-utilisateurs-ou-aux-utilisateurs-existants-de-lapplication-", children: _jsx(_components.span, { children: "#" }) }), "S'applique-t-il aux nouveaux utilisateurs ou aux utilisateurs existants de l'application ?"] }), "\n", _jsx(_components.p, { children: "C'est une question délicate. Le provisionnement Just-in-Time (JIT) se réfère généralement à la première tentative d'accès à une application. Cependant, différents produits perçoivent cette fonctionnalité différemment. Certains utilisent le provisionnement JIT uniquement pour la création d'identité et de compte, tandis que d'autres incluent également les mises à jour de compte en temps réel, telles que le reprovisionnement et la synchronisation des attributs." }), "\n", _jsx(_components.p, { children: "En plus de la création automatique d'utilisateur, le provisionnement SAML JIT permet d'accorder et de révoquer des adhésions à des groupes dans le cadre du provisionnement. Il peut également mettre à jour les utilisateurs provisionnés pour maintenir leurs attributs dans le store du fournisseur de service (SP) synchronisés avec les attributs du store du fournisseur d'identité (IDP)." }), "\n", _jsx(_components.p, { children: "Par exemple, dans Oracle Cloud, le provisionnement Just-in-Time peut être configuré de différentes manières." }), "\n", _jsxs(_components.ol, { children: ["\n", _jsx(_components.li, { children: "Création Just-in-Time" }), "\n", _jsx(_components.li, { children: "Mise à jour Just-in-Time" }), "\n"] }), "\n", _jsx(_components.p, { children: _jsx(_components.a, { href: "https://docs.oracle.com/en/cloud/paas/identity-cloud/uaids/understand-saml-just-time-provisioning.html", children: "Administration du service Oracle Identity Cloud : comprendre le provisionnement SAML Just-In-Time." }) }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Lors de la connexion, l'utilisateur :" }), _jsx(_components.th, { children: "Flux" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Existe et le provisionnement JIT est activé." }), _jsx(_components.td, { children: "Flux d'échec normal du SSO." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "N'existe pas et la création JIT est activée." }), _jsx(_components.td, { children: "L'utilisateur est créé et rempli avec les attributs de l'assertion SAML, tels que mappés dans la configuration JIT." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Existe et la mise à jour JIT est activée." }), _jsx(_components.td, { children: "Les valeurs d'attributs de l'utilisateur sont mises à jour avec les attributs de l'assertion SAML, tels que mappés dans la configuration JIT." })] })] })] }), "\n", _jsx(_components.p, { children: "Si tu veux envisager le scénario de connexion d'utilisateur existant subséquent, assure-toi d'avoir un système de provisionnement robuste avec ton système JIT. Par exemple," }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Résolution de conflit" }), " : Ton système doit avoir une stratégie pour gérer les conflits si un compte existe déjà avec des informations différentes de celles fournies par l'IdP pendant le processus JIT. Cela peut nécessiter un contrôle détaillé des politiques de ton organisation et de la configuration de l'IdP."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Trails d'audit" }), " : Il est important de maintenir des journaux des créations de comptes ainsi que des mises à jour de comptes existants via les processus JIT pour des raisons de sécurité et de conformité."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Performance" }), " : Bien que le provisionnement JIT se produise rapidement, considère l'impact potentiel sur les temps de connexion, en particulier pour les utilisateurs existants si tu mets à jour leurs informations à chaque connexion."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Cohérence des données" }), ": Assure-toi que ton processus de provisionnement JIT maintienne la cohérence des données, surtout lors de la mise à jour des comptes utilisateurs existants."] }), "\n"] }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Logto offre un contrôle basique des mises à jour just-in-time au niveau SSO d'entreprise. Nous aborderons cela\nplus en détail dans l'article. ", _jsx(_components.a, { href: "#just-in-time-provisioning-in-logto", children: "En savoir plus" }), "👇"] }) }), "\n", _jsxs(_components.h2, { id: "quelle-est-la-différence-entre-jit-et-scim-", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#quelle-est-la-différence-entre-jit-et-scim-", children: _jsx(_components.span, { children: "#" }) }), "Quelle est la différence entre JIT et SCIM ?"] }), "\n", _jsx(_components.p, { children: "En plus du provisionnement Just-in-Time (JIT), tu as peut-être entendu parler de SCIM (System for Cross-domain Identity Management). SCIM est un protocole standard ouvert conçu pour simplifier et automatiser la gestion des identités d'utilisateur à travers différents systèmes et domaines. Il est couramment utilisé dans des scénarios de synchronisation de répertoire." }), "\n", _jsx(_components.p, { children: "La principale différence entre JIT et SCIM est que JIT crée des comptes lors de la tentative de connexion de l'utilisateur, tandis que SCIM peut provisionner des utilisateurs via un processus automatisé hors ligne, indépendant des tentatives de connexion de l'utilisateur." }), "\n", _jsx(_components.p, { children: "Cela signifie que JIT se concentre sur l'intégration des nouveaux utilisateurs, tandis que SCIM se concentre sur la gestion du cycle de vie complet des utilisateurs." }), "\n", _jsx(_components.p, { children: "De plus, JIT est souvent une extension de SAML et manque d'une implémentation standardisée entre les systèmes, tandis que SCIM est un protocole bien défini et standardisé (RFC 7644) pour la gestion des identités." }), "\n", _jsx(_components.p, { children: "Certaines grandes organisations utilisent SCIM pour le provisionnement des comptes, l'intégrant à leurs propres systèmes. Cela peut être très complexe et varier selon les cas. Ces organisations ont souvent un système de provisionnement qui implique à la fois des processus automatisés et une implication manuelle de l'administrateur." }), "\n", _jsxs(_components.h2, { id: "provisionnement-just-in-time-dans-logto", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#provisionnement-just-in-time-dans-logto", children: _jsx(_components.span, { children: "#" }) }), "Provisionnement Just-in-Time dans Logto"] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.strong, { children: "Provisionnement Just-in-Time par SSO" }), " et ", _jsx(_components.strong, { children: "Provisionnement Just-in-Time par domaine email" }), " sont ce que nous adoptons dans Logto."] }), "\n", _jsx(_components.p, { children: "Dans Logto, nous avons cet ensemble de fonctionnalités au niveau de l'organisation qui permet aux utilisateurs de rejoindre automatiquement l'organisation et de recevoir des attributions de rôles s'ils remplissent certains critères." }), "\n", _jsx(_components.p, { children: "Nous implémentons la fonctionnalité JIT à son niveau le plus évolutif et sécurisé pour simplifier et automatiser le processus de provisionnement pour les développeurs intégrant leurs clients. Cependant, comme nous l'avons discuté précédemment, étant donné que les systèmes de provisionnement peuvent être complexes et adaptés aux besoins spécifiques de tes clients, tu devrais tirer parti des fonctionnalités JIT pré-construites de Logto, de la conception soigneuse de ton système et de l'API de gestion de Logto pour construire un système de provisionnement robuste." }), "\n", _jsx(_components.p, { children: "Prenons ce diagramme pour voir comment cela fonctionne dans Logto," }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "stateDiagram-v2\ndirection LR\n\nclassDef provision font-weight: bold, stroke-width: 2px;\nclass sso_provision, email_provision provision\n\nstate has_account <>\nauthentication: Authentification
de l'utilisateur\nsign_in: Connexion\ncreate_account: Créer un compte\nstate is_sso_1 <>\nstate is_sso_2 <>\nsso_provision: Provisionnement par
SSO d'entreprise\nemail_provision: Provisionnement par
domaine d'email\n\n[*] --> authentication\nauthentication --> has_account: L'utilisateur existe?\nhas_account --> sign_in: Oui\nhas_account --> create_account: Non\nsign_in --> is_sso_1: Est-ce que c'est un SSO
et la première fois ?\nis_sso_1 --> [*]: Non\nis_sso_1 --> sso_provision: Oui\ncreate_account --> is_sso_2: Est-ce un SSO?\nis_sso_2 --> sso_provision: Oui\nsso_provision --> [*]\nis_sso_2 --> email_provision: Non\nemail_provision --> [*]\n" }) }), "\n", _jsx(Note, { children: _jsx(_components.p, { children: "Le provisionnement Just-in-Time (JIT) ne se déclenche que pour les actions initiées par l'utilisateur et n'affecte pas les interactions avec l'API de gestion de Logto." }) }), "\n", _jsxs(_components.h3, { id: "provisionnement-sso-dentreprise", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#provisionnement-sso-dentreprise", children: _jsx(_components.span, { children: "#" }) }), "Provisionnement SSO d'entreprise"] }), "\n", _jsx(_components.p, { children: "Si tu as configuré un SSO d'entreprise dans Logto, tu peux sélectionner ton SSO d'entreprise pour activer le provisionnement Just-in-Time." }), "\n", _jsxs(_components.p, { children: ["Les nouveaux utilisateurs ou les utilisateurs existants se connectant via le SSO d'entreprise ", _jsx(_components.strong, { children: _jsx(_components.em, { children: "pour la première fois" }) }), " rejoindront automatiquement l'organisation et obtiendront les rôles organisationnels par défaut."] }), "\n", _jsx(_components.p, { children: "Le tableau suivant énumère les flux potentiels :" }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Statut de l'utilisateur" }), _jsx(_components.th, { children: "Description du flux" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utilisateur n'existe pas et le JIT est activé." }), _jsx(_components.td, { children: "L'utilisateur est créé et rejoint automatiquement l'organisation correspondante avec les rôles appropriés." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utilisateur existe avec la même adresse email vérifiée que le SSO d'entreprise et le JIT est activé." }), _jsx(_components.td, { children: "L'adresse e-mail de l'utilisateur est automatiquement liée au compte SSO d'entreprise, et il rejoint l'organisation correspondante avec les rôles appropriés." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utilisateur n'existe pas et le JIT n'est pas activé." }), _jsx(_components.td, { children: "Flux d'échec SSO normal." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utilisateur existe et le JIT n'est pas activé." }), _jsx(_components.td, { children: "Flux SSO normal." })] })] })] }), "\n", _jsx(_components.p, { children: _jsx(_components.img, { src: "https://uploads.strapi.logto.io/1/sso_provisioning_e891f182b8.webp", alt: "Provisionnement SSO" }) }), "\n", _jsxs(_components.h3, { id: "provisionnement-par-domains-demails", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#provisionnement-par-domains-demails", children: _jsx(_components.span, { children: "#" }) }), "Provisionnement par domains d'emails"] }), "\n", _jsx(_components.p, { children: "Si une organisation ne dispose pas d'un SSO d'entreprise dédié, tu peux utiliser des domaines d'emails pour activer le provisionnement Just-in-Time. Cela se produit généralement pour les petites entreprises qui n'ont pas le budget pour un SSO d'entreprise mais qui souhaitent tout de même un certain niveau d'automatisation d'intégration des membres et de gestion de la sécurité." }), "\n", _jsx(_components.p, { children: "Lorsque les utilisateurs s'inscrivent, si leurs adresses email vérifiées correspondent aux domaines d'email configurés au niveau de l'organisation, ils seront provisionnés pour les organisations correspondantes avec les rôles correspondants." }), "\n", _jsx(_components.p, { children: _jsx(_components.img, { src: "https://uploads.strapi.logto.io/1/email_provisioning_ab643053fd.webp", alt: "Provisionnement par domaine d'email" }) }), "\n", _jsx(_components.p, { children: "Le provisionnement par domaine d'email fonctionne pour :" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsx(_components.li, { children: "Authentification par inscription par email" }), "\n", _jsx(_components.li, { children: "Authentification par inscription sociale" }), "\n"] }), "\n", _jsxs(Note, { title: "Pourquoi le provisionnement par domaine d'email ne s'applique-t-il pas au processus de connexion d'utilisateur existant ?", children: [_jsx(_components.p, { children: "Le processus de connexion d'utilisateur existant nécessite un contrôle supplémentaire pour déterminer s'ils peuvent être provisionnés dans une organisation spécifique ou se voir attribuer un rôle. Ce processus est dynamique et dépend des cas d'utilisation spécifiques et des besoins de l'entreprise, tels que les stratégies de connexion subséquente et les politiques au niveau de l'organisation." }), _jsx(_components.p, { children: "Par exemple, si tu actives le provisionnement par domaine d'email pour un utilisateur existant et que tu veux ensuite intégrer un autre groupe d'utilisateurs avec un rôle différent, l'utilisateur déjà inscrit doit-il se voir attribuer le nouveau rôle que tu as configuré ?" }), _jsx(_components.p, { children: "Cela crée un scénario complexe pour les « mises à jour Just-in-Time ». Le comportement exact dépend souvent de la manière dont l'application, la configuration de l'organisation et l'intégration IdP sont configurées. Nous donnons ce contrôle à nos développeurs, te permettant de concevoir librement ton système de provisionnement et de gérer les scénarios les plus fréquents pour la création de nouveaux comptes et l'intégration organisationnelle." })] }), "\n", _jsxs(_components.h4, { id: "flux-demails", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#flux-demails", children: _jsx(_components.span, { children: "#" }) }), "Flux d'emails"] }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Statut de l'utilisateur" }), _jsx(_components.th, { children: "Description du flux" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utilisateur n'existe pas et s'inscrit par email, et le JIT est activé." }), _jsx(_components.td, { children: "L'utilisateur est créé et rejoint automatiquement l'organisation correspondante avec les rôles appropriés." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utilisateur existe avec la même adresse email vérifiée que les domaines d'email provisionnés, et le JIT est activé." }), _jsx(_components.td, { children: "Flux de connexion par email normal." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utilisateur n'existe pas et s'inscrit par email, et le JIT n'est pas activé." }), _jsx(_components.td, { children: "Flux d'inscription par email normal." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utilisateur existe et s'inscrit par email, et le JIT n'est pas activé." }), _jsx(_components.td, { children: "Flux de connexion par email normal." })] })] })] }), "\n", _jsxs(_components.h4, { id: "flux-sociaux", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#flux-sociaux", children: _jsx(_components.span, { children: "#" }) }), "Flux sociaux"] }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Statut de l'utilisateur" }), _jsx(_components.th, { children: "Description du flux" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utilisateur n'existe pas, s'inscrit avec un compte social utilisant une adresse email vérifiée, et le JIT est activé." }), _jsx(_components.td, { children: "L'utilisateur est créé et rejoint automatiquement l'organisation correspondante avec les rôles appropriés." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utilisateur n'existe pas, s'inscrit avec un compte social utilisant une adresse email non vérifiée ou sans email, et le JIT est activé." }), _jsx(_components.td, { children: "Flux d'inscription sociale normal." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utilisateur existe avec la même adresse email vérifiée que les domaines d'email provisionnés, se connecte via un compte social, et le JIT est activé." }), _jsx(_components.td, { children: "Flux de connexion sociale normal." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utilisateur n'existe pas, s'inscrit avec un compte social, et le JIT n'est pas activé." }), _jsx(_components.td, { children: "Flux d'inscription sociale normal." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utilisateur existe, se connecte avec un compte social, et le JIT n'est pas activé." }), _jsx(_components.td, { children: "Flux de connexion sociale normal." })] })] })] }), "\n", _jsxs(_components.h4, { id: "gestion-du-provisionnement-par-domaine-demail-et-le-conflit-potentiel-avec-le-sso-dentreprise", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#gestion-du-provisionnement-par-domaine-demail-et-le-conflit-potentiel-avec-le-sso-dentreprise", children: _jsx(_components.span, { children: "#" }) }), "Gestion du provisionnement par domaine d'email et le conflit potentiel avec le SSO d'entreprise"] }), "\n", _jsx(_components.p, { children: "Si tu as initialement configuré le provisionnement par domaine d'email et que tu configures ensuite un SSO d'entreprise avec le même domaine d'email, voici ce qui se passe :" }), "\n", _jsx(_components.p, { children: "Lorsque l'utilisateur entre son adresse email, il sera redirigé vers le flux SSO, contournant l'authentification par email. Cela signifie que le processus JIT ne sera pas déclenché." }), "\n", _jsx(_components.p, { children: "Pour résoudre ce problème, nous afficherons un message d'avertissement lors de la configuration. Assure-toi de gérer ce flux en sélectionnant le SSO correct pour activer le provisionnement Just-in-Time, et ne te fie pas au provisionnement par domaine d'email." }), "\n", _jsx(_components.p, { children: _jsx(_components.img, { src: "https://uploads.strapi.logto.io/1/jit_conflict_fafd37643c.webp", alt: "Résolution des conflits" }) }), "\n", _jsxs(_components.h3, { id: "rôles-organisationnels-par-défaut", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#rôles-organisationnels-par-défaut", children: _jsx(_components.span, { children: "#" }) }), "Rôles organisationnels par défaut"] }), "\n", _jsx(_components.p, { children: "Lors du provisionnement d'utilisateurs, tu peux définir leurs rôles organisationnels par défaut. La liste des rôles provient du modèle d'organisation, et tu peux choisir un rôle ou le laisser vide." }), "\n", _jsxs(_components.h2, { id: "mise-à-jour-just-in-time-par-sso-dentreprise", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#mise-à-jour-just-in-time-par-sso-dentreprise", children: _jsx(_components.span, { children: "#" }) }), "Mise à jour Just-in-Time par SSO d'entreprise"] }), "\n", _jsx(_components.p, { children: "Heureusement, nous avons déjà cette fonctionnalité intégrée dans SSO d'entreprise ! Tu peux choisir si les informations de profil sont synchronisées avec Logto lors de la première connexion ou à chaque connexion. Nous envisagerons également d'ajouter plus de fonctionnalités comme le mappage des rôles et des organisations et le reprovisionnement à l'avenir." }), "\n", _jsxs(_components.p, { children: [_jsx(_components.img, { src: "https://uploads.strapi.logto.io/1/sso_jit_update_f4dbf156a8.webp", alt: "Mise à jour JIT par SSO" }), "\nConsulte ", _jsx(_components.a, { href: "https://docs.logto.io/docs/recipes/single-sign-on/configure-sso/#step-3-customize-sso-experience-and-email-domain", children: "ceci" }), " pour en savoir plus."] }), "\n", _jsx(_components.p, { children: "La fonctionnalité Just-in-Time est immédiatement disponible dans Logto. Inscris-toi à Logto aujourd'hui et commence à automatiser l'intégration des membres pour tes clients." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }