"use strict"; const {Fragment: _Fragment, jsx: _jsx, jsxs: _jsxs} = arguments[0]; const {useMDXComponents: _provideComponents} = arguments[0]; const headings = [{ "data": { "id": "hai-bisogno-di-implementare-il-provisioning-just-in-time-per-il-tuo-prodotto", "hProperties": { "id": "hai-bisogno-di-implementare-il-provisioning-just-in-time-per-il-tuo-prodotto" } }, "depth": 2, "value": "Hai bisogno di implementare il provisioning Just-in-Time per il tuo prodotto?" }, { "data": { "id": "onboarding-rapido", "hProperties": { "id": "onboarding-rapido" } }, "depth": 3, "value": "Onboarding rapido" }, { "data": { "id": "fusioni-acquisizioni-e-lavoratori-temporanei", "hProperties": { "id": "fusioni-acquisizioni-e-lavoratori-temporanei" } }, "depth": 3, "value": "Fusioni, acquisizioni e lavoratori temporanei" }, { "data": { "id": "è-specifico-per-saml-e-sso-aziendale", "hProperties": { "id": "è-specifico-per-saml-e-sso-aziendale" } }, "depth": 2, "value": "È specifico per SAML e SSO aziendale?" }, { "data": { "id": "si-applica-ai-nuovi-utenti-o-agli-utenti-esistenti-dellapp", "hProperties": { "id": "si-applica-ai-nuovi-utenti-o-agli-utenti-esistenti-dellapp" } }, "depth": 2, "value": "Si applica ai nuovi utenti o agli utenti esistenti dell'app?" }, { "data": { "id": "qual-è-la-differenza-tra-jit-e-scim", "hProperties": { "id": "qual-è-la-differenza-tra-jit-e-scim" } }, "depth": 2, "value": "Qual è la differenza tra JIT e SCIM?" }, { "data": { "id": "provisioning-just-in-time-su-logto", "hProperties": { "id": "provisioning-just-in-time-su-logto" } }, "depth": 2, "value": "Provisioning Just-in-Time su Logto" }, { "data": { "id": "provisioning-sso-aziendale", "hProperties": { "id": "provisioning-sso-aziendale" } }, "depth": 3, "value": "Provisioning SSO aziendale" }, { "data": { "id": "provisioning-tramite-dominio-email", "hProperties": { "id": "provisioning-tramite-dominio-email" } }, "depth": 3, "value": "Provisioning tramite dominio email" }, { "data": { "id": "flusso-email", "hProperties": { "id": "flusso-email" } }, "depth": 4, "value": "Flusso email" }, { "data": { "id": "flusso-social", "hProperties": { "id": "flusso-social" } }, "depth": 4, "value": "Flusso social" }, { "data": { "id": "gestione-del-potenziale-conflitto-tra-provisioning-tramite-dominio-email-e-sso-aziendale", "hProperties": { "id": "gestione-del-potenziale-conflitto-tra-provisioning-tramite-dominio-email-e-sso-aziendale" } }, "depth": 4, "value": "Gestione del potenziale conflitto tra provisioning tramite dominio email e SSO aziendale" }, { "data": { "id": "ruoli-predefiniti-dellorganizzazione", "hProperties": { "id": "ruoli-predefiniti-dellorganizzazione" } }, "depth": 3, "value": "Ruoli predefiniti dell'organizzazione" }, { "data": { "id": "aggiornamento-just-in-time-sso-aziendale", "hProperties": { "id": "aggiornamento-just-in-time-sso-aziendale" } }, "depth": 2, "value": "Aggiornamento Just-in-Time SSO aziendale" }]; const readingTime = { "minutes": 8, "words": 2340, "text": "8 min read" }; const frontmatter = undefined; function _createMdxContent(props) { const _components = { a: "a", code: "code", h2: "h2", h3: "h3", h4: "h4", img: "img", li: "li", ol: "ol", p: "p", pre: "pre", span: "span", strong: "strong", table: "table", tbody: "tbody", td: "td", th: "th", thead: "thead", tr: "tr", ul: "ul", ..._provideComponents(), ...props.components }, {LogtoCloudButton, Note} = _components; if (!LogtoCloudButton) _missingMdxReference("LogtoCloudButton", true); if (!Note) _missingMdxReference("Note", true); return _jsxs(_Fragment, { children: [_jsx(_components.p, { children: "Prima di discutere il provisioning Just-in-Time, immagina di costruire un'app SaaS B2B e vuoi supportare le funzionalità di adesione, permettendo ai membri di unirsi facilmente al tuo spazio di lavoro (tenant). Quali funzionalità proporresti? Ecco una lista di controllo per te:" }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Scenario" }), _jsx(_components.th, { children: "Flusso" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Invito dell'amministratore" }), _jsx(_components.td, { children: "Gli utenti possono ricevere un invito tramite email per unirsi all'organizzazione." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Creazione o importazione utente API di gestione" }), _jsx(_components.td, { children: "Gli utenti possono utilizzare un account utente pre-creato per unirsi all'organizzazione." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Provisioning Just-in-Time" }), _jsx(_components.td, { children: "Gli utenti che accedono all'app per la prima volta possono unirsi all'organizzazione." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Sincronizzazione della directory (es. SCIM)" }), _jsx(_components.td, { children: "Usa la funzionalità di sincronizzazione della directory dell'IdP per il pre-provisioning degli utenti nell'app." })] })] })] }), "\n", _jsx(_components.p, { children: "Il provisioning Just-in-Time (JIT) è un processo utilizzato nei sistemi di gestione dell'identità e dell'accesso per creare account utente al volo quando si accede a un sistema per la prima volta. Invece di pre-provisionare gli account utente in anticipo, il provisioning JIT crea e configura dinamicamente gli account utente necessari quando un utente si autentica.\nIl provisioning Just-in-Time è una funzionalità popolare con sue caratteristiche peculiari, come efficienza, nessun coinvolgimento amministrativo e automazione dell'adesione all'organizzazione, ecc.\nOra che hai compreso le basi del provisioning Just-in-Time, potresti avere diverse domande mentre ti immergi più a fondo nello sviluppo di prodotti nel mondo reale. Risponderò a queste domande, che possono essere controverse e altamente dipendenti dai tuoi casi aziendali specifici." }), "\n", _jsxs(_components.h2, { id: "hai-bisogno-di-implementare-il-provisioning-just-in-time-per-il-tuo-prodotto", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#hai-bisogno-di-implementare-il-provisioning-just-in-time-per-il-tuo-prodotto", children: _jsx(_components.span, { children: "#" }) }), "Hai bisogno di implementare il provisioning Just-in-Time per il tuo prodotto?"] }), "\n", _jsx(_components.p, { children: "Questi casi sono comuni quando si costruisce un'app B2B che coinvolge architettura multi-tenant, SSO aziendale, collaborazione con imprese o richiede funzionalità per l'onboarding del team. Ecco alcuni scenari di esempio che il tuo cliente potrebbe incontrare." }), "\n", _jsxs(_components.h3, { id: "onboarding-rapido", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#onboarding-rapido", children: _jsx(_components.span, { children: "#" }) }), "Onboarding rapido"] }), "\n", _jsx(_components.p, { children: "Hai un cliente che sta attraversando una frequente assunzione o una rapida crescita e può utilizzare il provisioning JIT per configurare rapidamente gli account utente per i nuovi dipendenti. Prendiamo un esempio:" }), "\n", _jsxs(_components.p, { children: ["Sarah è una nuova dipendente presso l'azienda ", _jsx(_components.code, { children: "SuperFantasy" }), ", che utilizza ", _jsx(_components.code, { children: "Okta" }), " come proprio Identity Provider aziendale. Il team delle risorse umane aggiunge una sola volta il suo account aziendale ", _jsx(_components.code, { children: "sarah@superfantacy.com" }), " in Okta. Quando Sarah utilizza questa email per accedere a un'app di produttività aziendale chiamata ", _jsx(_components.code, { children: "Smartworkspace" }), " per la prima volta, il sistema crea automaticamente un account e assegna il ruolo corretto all'interno dello spazio di lavoro dell'azienda. In questo modo, né Sarah né il team delle risorse umane di SuperFantasy devono affrontare più passaggi per la creazione dell'account e l'assegnazione del ruolo."] }), "\n", _jsxs(_components.h3, { id: "fusioni-acquisizioni-e-lavoratori-temporanei", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#fusioni-acquisizioni-e-lavoratori-temporanei", children: _jsx(_components.span, { children: "#" }) }), "Fusioni, acquisizioni e lavoratori temporanei"] }), "\n", _jsx(_components.p, { children: "Hai un cliente che sta attraversando una fusione o acquisizione di altre aziende, il provisioning JIT può semplificare il processo di concessione dell'accesso ai sistemi dell'azienda acquirente per molti nuovi utenti. Prendiamo un altro esempio," }), "\n", _jsxs(_components.p, { children: ["Peter lavora per ", _jsx(_components.code, { children: "MagicTech" }), ", che è stata recentemente acquisita da ", _jsx(_components.code, { children: "SuperFantasy" }), ". MagicTech è un'organizzazione più piccola senza SSO aziendale, ma utilizza anche ", _jsx(_components.code, { children: "Smartworkspace" }), " e Peter ha già un account aziendale."] }), "\n", _jsxs(_components.p, { children: ["Il team delle risorse umane può aggiungere Peter in ", _jsx(_components.code, { children: "Okta" }), ". Quando Peter accede per la prima volta a Smartworkspace tramite Okta, il sistema collega automaticamente il suo account aziendale esistente e gli concede l'accesso appropriato a SuperFantasy."] }), "\n", _jsx(_components.p, { children: "Gli scenari sopra menzionati sono ideali per l'implementazione della funzionalità JIT." }), "\n", _jsxs(_components.h2, { id: "è-specifico-per-saml-e-sso-aziendale", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#è-specifico-per-saml-e-sso-aziendale", children: _jsx(_components.span, { children: "#" }) }), "È specifico per SAML e SSO aziendale?"] }), "\n", _jsx(_components.p, { children: "Il provisioning Just-in-Time (JIT) è spesso associato al Single sign-on (SSO) nell'autenticazione SAML, ma non è esclusivo di SAML. Il provisioning JIT può essere utilizzato anche con altri protocolli di autenticazione come OAuth 2.0 e OpenID Connect, e non richiede necessariamente una configurazione SSO aziendale." }), "\n", _jsx(_components.p, { children: "Ad esempio, il provisioning JIT basato su email può semplificare l'onboarding del team aggiungendo automaticamente gli utenti a uno spazio di lavoro in base al loro dominio email. Questo è particolarmente utile per le organizzazioni che non hanno il budget e le risorse per acquistare e gestire l'SSO aziendale." }), "\n", _jsx(_components.p, { children: "L'idea fondamentale dietro al provisioning JIT è automatizzare la creazione o l'aggiornamento dell'account utente quando un utente tenta per la prima volta di accedere a un servizio, indipendentemente dal protocollo specifico utilizzato." }), "\n", _jsxs(_components.h2, { id: "si-applica-ai-nuovi-utenti-o-agli-utenti-esistenti-dellapp", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#si-applica-ai-nuovi-utenti-o-agli-utenti-esistenti-dellapp", children: _jsx(_components.span, { children: "#" }) }), "Si applica ai nuovi utenti o agli utenti esistenti dell'app?"] }), "\n", _jsx(_components.p, { children: "Questa è una domanda difficile. Il provisioning Just-in-Time (JIT) generalmente si riferisce al primo tentativo di accesso a un'app. Tuttavia, diversi prodotti percepiscono questa funzionalità in modo diverso. Alcuni utilizzano il provisioning JIT solo per la creazione dell'identità e dell'account, mentre altri includono anche aggiornamenti Just-in-Time dell'account, come il re-provisioning e la sincronizzazione degli attributi." }), "\n", _jsx(_components.p, { children: "Oltre alla creazione automatica dell'utente, il provisioning SAML JIT consente di concedere e revocare l'appartenenza ai gruppi come parte del provisioning. Può anche aggiornare gli utenti provisionati per mantenere i loro attributi nello store del Service Provider (SP) sincronizzati con gli attributi dell'utente nello store dell'Identity Provider (IDP)." }), "\n", _jsx(_components.p, { children: "Ad esempio, in Oracle Cloud, il provisioning Just-in-Time può essere configurato in vari modi." }), "\n", _jsxs(_components.ol, { children: ["\n", _jsx(_components.li, { children: "Creazione Just-in-Time" }), "\n", _jsx(_components.li, { children: "Aggiornamento Just-in-Time" }), "\n"] }), "\n", _jsx(_components.p, { children: _jsx(_components.a, { href: "https://docs.oracle.com/en/cloud/paas/identity-cloud/uaids/understand-saml-just-time-provisioning.html", children: "Amministrare Oracle Identity Cloud Service: Comprendere il provisioning SAML Just-in-Time." }) }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Quando si accede, l'utente:" }), _jsx(_components.th, { children: "Flusso" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Esiste e il provisioning JIT è abilitato." }), _jsx(_components.td, { children: "Flusso normale di fallimento SSO." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Non esiste e la creazione JIT è abilitata." }), _jsx(_components.td, { children: "L'utente viene creato e popolato con gli attributi dell'assertione SAML, come mappato nella configurazione JIT." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "Esiste e l'aggiornamento JIT è abilitato." }), _jsx(_components.td, { children: "I valori degli attributi dell'utente vengono aggiornati con gli attributi dell'assertione SAML, come mappato nella configurazione JIT." })] })] })] }), "\n", _jsx(_components.p, { children: "Se vuoi considerare lo scenario di accesso successivo degli utenti esistenti, assicurati di avere un sistema di provisioning robusto insieme al tuo sistema JIT. Ad esempio," }), "\n", _jsxs(_components.ul, { children: ["\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Risoluzione dei conflitti" }), ": Il tuo sistema dovrebbe avere una strategia per gestire i conflitti se esiste già un account con informazioni diverse da quelle fornite dall'IdP durante il processo JIT. Questo potrebbe richiedere un controllo dettagliato delle politiche della tua organizzazione e della configurazione dell'IdP."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Registro delle attività" }), ": È importante mantenere i log sia delle nuove creazioni di account che degli aggiornamenti degli account esistenti tramite processi JIT per motivi di sicurezza e conformità."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Prestazioni" }), ": Sebbene il provisioning JIT avvenga rapidamente, considera l'impatto potenziale sui tempi di accesso, soprattutto per gli utenti esistenti se stai aggiornando le loro informazioni a ogni accesso."] }), "\n", _jsxs(_components.li, { children: [_jsx(_components.strong, { children: "Coerenza dei dati" }), ": Assicurati che il tuo processo di provisioning JIT mantenga la coerenza dei dati, soprattutto quando aggiorni account utente esistenti."] }), "\n"] }), "\n", _jsx(Note, { children: _jsxs(_components.p, { children: ["Logto offre un controllo di base degli aggiornamenti just-in-time a livello di SSO aziendale. Tratteremo questo argomento\npiù in dettaglio più avanti nell'articolo. ", _jsx(_components.a, { href: "#just-in-time-provisioning-in-logto", children: "Scopri di più" }), "👇"] }) }), "\n", _jsxs(_components.h2, { id: "qual-è-la-differenza-tra-jit-e-scim", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#qual-è-la-differenza-tra-jit-e-scim", children: _jsx(_components.span, { children: "#" }) }), "Qual è la differenza tra JIT e SCIM?"] }), "\n", _jsx(_components.p, { children: "Oltre al provisioning Just-in-Time (JIT), potresti aver sentito parlare di SCIM (System for Cross-domain Identity Management). SCIM è un protocollo standard aperto progettato per semplificare e automatizzare la gestione dell'identità degli utenti attraverso diversi sistemi e domini. Viene comunemente utilizzato negli scenari di sincronizzazione della directory." }), "\n", _jsx(_components.p, { children: "La principale differenza tra JIT e SCIM è che JIT crea account durante il tentativo di accesso dell'utente, mentre SCIM può provisionare utenti tramite un processo automatizzato offline, indipendente dai tentativi di accesso dell'utente." }), "\n", _jsx(_components.p, { children: "Ciò significa che JIT si concentra sull'onboarding dei nuovi utenti, mentre SCIM si concentra sulla gestione del ciclo di vita completo degli utenti." }), "\n", _jsx(_components.p, { children: "Inoltre, JIT è spesso un'estensione di SAML e manca di un'implementazione standardizzata tra i vari sistemi, mentre SCIM è un protocollo ben definito e standardizzato (RFC 7644) per la gestione dell'identità." }), "\n", _jsx(_components.p, { children: "Alcune organizzazioni più grandi utilizzano SCIM per il provisioning degli account, integrandolo con i propri sistemi. Questo può essere molto complesso e variare caso per caso. Queste organizzazioni spesso hanno un sistema di provisioning che coinvolge sia processi automatizzati che il coinvolgimento manuale degli amministratori." }), "\n", _jsxs(_components.h2, { id: "provisioning-just-in-time-su-logto", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#provisioning-just-in-time-su-logto", children: _jsx(_components.span, { children: "#" }) }), "Provisioning Just-in-Time su Logto"] }), "\n", _jsxs(_components.p, { children: [_jsx(_components.strong, { children: "Provisioning SSO Just-in-Time" }), " e ", _jsx(_components.strong, { children: "Provisioning Just-in-Time tramite email" }), " sono ciò che abbracciamo in Logto."] }), "\n", _jsx(_components.p, { children: "In Logto, abbiamo questa funzionalità a livello di organizzazione che consente agli utenti di unirsi automaticamente all'organizzazione e ricevere assegnazioni di ruolo se soddisfano criteri specifici." }), "\n", _jsx(_components.p, { children: "Implementiamo la funzione JIT al livello più scalabile e sicuro per semplificare e automatizzare il processo di provisioning per gli sviluppatori che onboarding i loro clienti. Tuttavia, come discusso in precedenza, poiché i sistemi di provisioning possono essere complessi e su misura per le esigenze specifiche dei tuoi clienti, dovresti sfruttare le funzionalità JIT pre-costruite di Logto, il design accurato del tuo sistema e l'API di gestione di Logto per costruire un sistema di provisioning robusto." }), "\n", _jsx(_components.p, { children: "Esaminiamo questo diagramma per vedere come funziona su Logto," }), "\n", _jsx(_components.pre, { children: _jsx(_components.code, { className: "language-mermaid", children: "stateDiagram-v2\ndirection LR\n\nclassDef provision font-weight: bold, stroke-width: 2px;\nclass sso_provision, email_provision provision\n\nstate has_account <>\nauthentication: Autenticazione
utente\nsign_in: Accedi\ncreate_account: Crea account\nstate is_sso_1 <>\nstate is_sso_2 <>\nsso_provision: Provisioning tramite
SSO aziendale\nemail_provision: Provisioning tramite
dominio email\n\n[*] --> authentication\nauthentication --> has_account: Utente esistente?\nhas_account --> sign_in: Sì\nhas_account --> create_account: No\nsign_in --> is_sso_1: È SSO
e prima volta?\nis_sso_1 --> [*]: No\nis_sso_1 --> sso_provision: Sì\ncreate_account --> is_sso_2: È SSO?\nis_sso_2 --> sso_provision: Sì\nsso_provision --> [*]\nis_sso_2 --> email_provision: No\nemail_provision --> [*]\n" }) }), "\n", _jsx(Note, { children: _jsx(_components.p, { children: "Il provisioning just-in-time (JIT) si attiva solo per azioni avviate dall'utente e non influisce\nsulle interazioni con l'API di gestione Logto." }) }), "\n", _jsxs(_components.h3, { id: "provisioning-sso-aziendale", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#provisioning-sso-aziendale", children: _jsx(_components.span, { children: "#" }) }), "Provisioning SSO aziendale"] }), "\n", _jsx(_components.p, { children: "Se hai configurato SSO aziendale in Logto, puoi selezionare il SSO aziendale della tua organizzazione per abilitare il provisioning just-in-time." }), "\n", _jsxs(_components.p, { children: ["I nuovi o esistenti utenti che accedono tramite SSO aziendale ", _jsx(_components.strong, { children: "per la prima volta" }), " si uniranno automaticamente all'organizzazione e otterranno i ruoli organizzativi predefiniti."] }), "\n", _jsx(_components.p, { children: "La seguente tabella elenca i flussi potenziali:" }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Stato dell'utente" }), _jsx(_components.th, { children: "Descrizione del flusso" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utente non esiste e il JIT è abilitato." }), _jsx(_components.td, { children: "L'utente viene creato e si unisce automaticamente all'organizzazione corrispondente con i ruoli appropriati." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utente esiste con lo stesso indirizzo email verificato del SSO aziendale e il JIT è abilitato." }), _jsx(_components.td, { children: "L'indirizzo email dell'utente viene automaticamente associato all'account SSO aziendale e si unisce all'organizzazione corrispondente con i ruoli appropriati." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utente non esiste e il JIT non è abilitato." }), _jsx(_components.td, { children: "Flusso normale di fallimento SSO." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utente esiste e il JIT non è abilitato." }), _jsx(_components.td, { children: "Flusso SSO normale." })] })] })] }), "\n", _jsx(_components.p, { children: _jsx(_components.img, { src: "https://uploads.strapi.logto.io/1/sso_provisioning_e891f182b8.webp", alt: "Provisioning SSO" }) }), "\n", _jsxs(_components.h3, { id: "provisioning-tramite-dominio-email", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#provisioning-tramite-dominio-email", children: _jsx(_components.span, { children: "#" }) }), "Provisioning tramite dominio email"] }), "\n", _jsx(_components.p, { children: "Se un'organizzazione non ha un SSO aziendale dedicato, puoi utilizzare i domini email per abilitare il provisioning Just-in-Time. Questo si verifica generalmente nelle aziende più piccole che non hanno il budget per SSO aziendale ma desiderano comunque un certo livello di automazione dell'onboarding dei membri e di gestione della sicurezza." }), "\n", _jsx(_components.p, { children: "Quando gli utenti si registrano, se i loro indirizzi email verificati corrispondono ai domini email configurati a livello organizzativo, verranno provisionati all'organizzazione appropriata con i ruoli corrispondenti." }), "\n", _jsx(_components.p, { children: _jsx(_components.img, { src: "https://uploads.strapi.logto.io/1/email_provisioning_ab643053fd.webp", alt: "Provisioning tramite dominio email" }) }), "\n", _jsx(_components.p, { children: "Il provisioning tramite dominio email funziona per:" }), "\n", _jsxs(_components.ol, { children: ["\n", _jsx(_components.li, { children: "Autenticazione tramite registrazione via email" }), "\n", _jsx(_components.li, { children: "Autenticazione tramite registrazione sui social" }), "\n"] }), "\n", _jsxs(Note, { title: "Perché il provisioning tramite dominio email non si applica al processo di accesso degli utenti esistenti", children: [_jsx(_components.p, { children: "L'accesso dell'utente esistente richiede un controllo ulteriore per determinare se può essere provisionato a una specifica organizzazione o assegnato a un ruolo. Questo processo è dinamico e dipende da casi d'uso specifici e dalle esigenze aziendali, come le strategie di accesso successive e le politiche a livello di organizzazione." }), _jsx(_components.p, { children: "Ad esempio, se abiliti il provisioning tramite dominio email per un utente esistente e successivamente desideri far accedere un altro gruppo di utenti con un ruolo diverso, l'utente precedentemente onboardato dovrebbe essere assegnato al nuovo ruolo che hai configurato?" }), _jsx(_components.p, { children: "Questo crea uno scenario complesso per gli \"aggiornamenti Just-in-Time\". Il comportamento esatto dipende spesso da come l'applicazione, la configurazione dell'organizzazione e l'integrazione dell'IdP sono configurate. Diamo questo controllo ai nostri sviluppatori, permettendoti di progettare liberamente il tuo sistema di provisioning e gestire gli scenari più frequenti per la creazione di nuovi account e l'onboarding organizzativo." })] }), "\n", _jsxs(_components.h4, { id: "flusso-email", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#flusso-email", children: _jsx(_components.span, { children: "#" }) }), "Flusso email"] }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Stato dell'utente" }), _jsx(_components.th, { children: "Descrizione del flusso" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utente non esiste e si registra con email, e il JIT è abilitato." }), _jsx(_components.td, { children: "L'utente viene creato e si unisce automaticamente all'organizzazione corrispondente con i ruoli appropriati." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utente esiste con lo stesso indirizzo email verificato dei domini email provisionati e il JIT è abilitato." }), _jsx(_components.td, { children: "Flusso normale di accesso via email." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utente non esiste e si registra con email, e il JIT non è abilitato." }), _jsx(_components.td, { children: "Flusso normale di registrazione via email." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utente esiste e si accede con email, e il JIT non è abilitato." }), _jsx(_components.td, { children: "Flusso normale di accesso via email." })] })] })] }), "\n", _jsxs(_components.h4, { id: "flusso-social", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#flusso-social", children: _jsx(_components.span, { children: "#" }) }), "Flusso social"] }), "\n", _jsxs(_components.table, { children: [_jsx(_components.thead, { children: _jsxs(_components.tr, { children: [_jsx(_components.th, { children: "Stato dell'utente" }), _jsx(_components.th, { children: "Descrizione del flusso" })] }) }), _jsxs(_components.tbody, { children: [_jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utente non esiste, si registra con l'account social utilizzando un'email verificata, e il JIT è abilitato." }), _jsx(_components.td, { children: "L'utente viene creato e si unisce automaticamente all'organizzazione corrispondente con i ruoli appropriati." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utente non esiste, si registra con l'account social utilizzando un'email non verificata o nessuna email, e il JIT è abilitato." }), _jsx(_components.td, { children: "Flusso normale di registrazione social." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utente esiste con lo stesso indirizzo email verificato dei domini email provisionati, si accede tramite account social, e il JIT è abilitato." }), _jsx(_components.td, { children: "Flusso normale di accesso social." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utente non esiste, si registra con l'account social, e il JIT non è abilitato." }), _jsx(_components.td, { children: "Flusso normale di registrazione social." })] }), _jsxs(_components.tr, { children: [_jsx(_components.td, { children: "L'utente esiste, si accede tramite account social, e il JIT non è abilitato." }), _jsx(_components.td, { children: "Flusso normale di accesso social." })] })] })] }), "\n", _jsxs(_components.h4, { id: "gestione-del-potenziale-conflitto-tra-provisioning-tramite-dominio-email-e-sso-aziendale", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#gestione-del-potenziale-conflitto-tra-provisioning-tramite-dominio-email-e-sso-aziendale", children: _jsx(_components.span, { children: "#" }) }), "Gestione del potenziale conflitto tra provisioning tramite dominio email e SSO aziendale"] }), "\n", _jsx(_components.p, { children: "Se hai configurato inizialmente il provisioning tramite dominio email e successivamente configuri un SSO aziendale con lo stesso dominio email, ecco cosa succede:" }), "\n", _jsx(_components.p, { children: "Quando un utente inserisce il proprio indirizzo email, verrà reindirizzato al flusso SSO, saltando l'autenticazione tramite email. Questo significa che il processo JIT non verrà avviato." }), "\n", _jsx(_components.p, { children: "Per affrontare questo problema, verrà mostrato un messaggio di avviso durante la configurazione. Assicurati di gestire questo flusso selezionando il corretto SSO per abilitare il provisioning just-in-time, e non fare affidamento sul provisioning tramite dominio email." }), "\n", _jsx(_components.p, { children: _jsx(_components.img, { src: "https://uploads.strapi.logto.io/1/jit_conflict_fafd37643c.webp", alt: "Risoluzione dei conflitti" }) }), "\n", _jsxs(_components.h3, { id: "ruoli-predefiniti-dellorganizzazione", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#ruoli-predefiniti-dellorganizzazione", children: _jsx(_components.span, { children: "#" }) }), "Ruoli predefiniti dell'organizzazione"] }), "\n", _jsx(_components.p, { children: "Durante il provisioning degli utenti, puoi impostare i loro ruoli predefiniti nell'organizzazione. L'elenco dei ruoli proviene dal template dell'organizzazione e puoi scegliere un ruolo o lasciarlo vuoto." }), "\n", _jsxs(_components.h2, { id: "aggiornamento-just-in-time-sso-aziendale", children: [_jsx(_components.a, { "aria-hidden": "true", tabIndex: "-1", href: "#aggiornamento-just-in-time-sso-aziendale", children: _jsx(_components.span, { children: "#" }) }), "Aggiornamento Just-in-Time SSO aziendale"] }), "\n", _jsx(_components.p, { children: "Fortunatamente, abbiamo già questa funzionalità integrata nello SSO aziendale! Puoi scegliere se sincronizzare le informazioni del profilo su Logto al primo accesso o ogni volta che si effettua l'accesso. Stiamo anche considerando l'aggiunta di ulteriori funzionalità come la mappatura dei ruoli e delle organizzazioni e il re-provisioning in futuro." }), "\n", _jsxs(_components.p, { children: [_jsx(_components.img, { src: "https://uploads.strapi.logto.io/1/sso_jit_update_f4dbf156a8.webp", alt: "Aggiornamento JIT SSO" }), "\nControlla ", _jsx(_components.a, { href: "https://docs.logto.io/docs/recipes/single-sign-on/configure-sso/#step-3-customize-sso-experience-and-email-domain", children: "questo" }), " per saperne di più."] }), "\n", _jsx(_components.p, { children: "La funzionalità Just-in-Time è disponibile immediatamente su Logto. Iscriviti a Logto oggi stesso e inizia ad automatizzare l'onboarding dei tuoi clienti." }), "\n", _jsx(LogtoCloudButton, {})] }); } function MDXContent(props = {}) { const {wrapper: MDXLayout} = { ..._provideComponents(), ...props.components }; return MDXLayout ? _jsx(MDXLayout, { ...props, children: _jsx(_createMdxContent, { ...props }) }) : _createMdxContent(props); } return { headings, readingTime, frontmatter, default: MDXContent }; function _missingMdxReference(id, component) { throw new Error("Expected " + (component ? "component" : "object") + " `" + id + "` to be defined: you likely forgot to import, pass, or provide it."); }